网络安全

        引言

　　 单位网络可分为公众信息网和内部工作网，公众信息网与互联网逻辑隔离，内部工作网与互联网物理隔离。目前认为：对单位内部网络的威胁主要来自于单位外部。因此，将精力放在防止网络遭受来自于单位外部的攻击，而忽视来自单位内部的网络安全威胁。而实际上约50％以上的安全事故(特别是失泄密)来自于单位内部。目前，由于对内部网络安全威胁认识不足，单位安全部门未采取科学的防范措施，导致来自于内部的网络安全事故逐年增加。故对内部工作网的安全问题进行探讨。

　　 1、单位内部网络安全威胁

　　 单位内部网络安全隐患除了来自安全系统的部署缺陷，更大的是来自于单位内部员工，表现在：(1)移动存储介质的无序管理：(2)使用盗版软件、游戏等，造成病毒传播；(3)用户和用户组权限分配不合理；(4)账号及口令管理不严及设置不合理：(5)过多开设服务端口；(6)网络管理员工作量过大、部分网络管理员专业水平不够高、工作责任心差；(7)用户操作失误，可能会损坏网络设备如主机硬件等，误删除文件和数据、误格式化硬盘等；(8)内部的网络攻击。有的员工为了泄私愤、或被策反成为敌方间谍，成为单位泄密者或破坏者。由于这些员工对单位内部的网络架构熟悉，可利用管理上的漏洞，侵入他人计算机进行破坏。

　　 2、常用防范手段

　　 单位内部网络一般都是涉密网络，要求保证涉密信息的绝对安全，一方面通过制定严格的制度加以防范，而更可靠的手段还必须依靠技术防范。涉及国家秘密、单位秘密的计算机系统安全防范的最佳手段就是采用“物理隔离”，即将单位内部网络与外部网络、互联网实现物理上的隔离。

　　 物理隔离可以防止来自外部的网络攻击，但对来自单位内部的网络安全威胁，仍然需要采取必要的安全防范措施。目前较多单位所采取的措施，主要还是制度防范，人为因素很大。网络安全可靠程度与单位员工、管理员的责任心、专业知识水平相关，单一的制度防范无法保证网络的高安全性。

　　 采用技术防范可以保证网络有较高的安全性，网络管理软件可以允许管理员对日常的网络运行状态进行监测、对网络设备进行管理，但安全防范的针对性不强；还有一些单一的网络监测设备或软件如非授权外联监测、主机进程监测等，这些技术适用于网络安全防范中对部分威胁的监测，但对内部网络安全威胁因素考虑得仍然不够周全。

　　 3、单位内部网络安全防范措施

　　 在制定单位内部网络安全防范措施时，应分析单位内部网络与信息安全的威胁因素，对网络安全防范实行周密部署，做到：(1)重点数据，重点防范：重点人物、重点监测；(2)将管理、监测和控制有机地结合；(3)变被动防范为主动防范；变制度防范为技术防范；(4)重视提高网络安全管理员的素质；(5)重视建立网络安全日志及审查制度。主要技术措施为：

　　 (1)重视技术防范

　　 目前，国家有明确的网络安全防范制度、保密制度，国防军工部门还制定下发了《国防科技工业涉密人员保密行为十不准》，各单位也根据内部的特殊情况制定相应的网络安全制度，因此从制度上保证了单位网络的高安全度。但是，在制度执行过程中，人为因素很大，所以制度防范不可靠。

　　 因此，在网络安全防范中要尽可能地减少人为因素，一个最佳的措施就是变制度防范为技术防范．技术防范是硬性的，不以人的意志而转移。

　　 (2)网络安全防范技术及监控手段的集成

　　 物理隔离手段可阻止网络黑客的攻击但未考虑防范单位内部的威胁。在实现单位内部网络与外部网络物理隔离的前提下，可将防火墙技术、漏洞扫描技术、入侵检测技术和安全管理、安全监测和安全控制集成与融合，实现对内部网络的安全防范。网络安全监测需要监测非授权外联、非授权接入及非法入侵；需要监测非授权信息存取；需要对重要数据进行重点保护、重点信息进行重点监测，对可疑人物、可疑事件跟踪监测。

　　 网络安全控制：①控制网络设备的运行状态：②对网络安全监测事件的响应，此响应是实时的。在单位网络安全防范策略中，在实现单位涉密网络与互联网络物理隔离的前提下，将成熟的网络安全防范技术如防火墙、入侵检测、漏洞扫描等技术与先进的网络监控手段集成与融合，不仅能及时发现安全域内潜在的网络安全威胁，减少网络安全事故的发生，而且能做到对安全事故的及时解决。

　　 (3)部署科学的网络与系统的位置和层次

　　 简单的用户平行体系，既给破坏者提供了方便，又给部署网络安全机制带来较大经费压力，较科学的办法是针对重点系统、重点数据建立DMZ区，将要害部分重点保护和逻辑隔离开来，将有限的安全防范资金投入到关键部位。

　　 (4)建立用户行为审计

　　 目前的单位内部网络安全防范策略中，普遍缺乏有效的行为审计功能，一方面导致了不能及时发现和解决网络安全事故，另一方面在网络安全事故发生后，由于没有可信的、完善的网络行为审计记录，要发现网络安全事故的责任人及了解网络安全事故的原因很困难。

　　 建立网络用户行为审计系统，对用户网络行为进行审计，包括：审计登录主机的用户、登录时间、退出时间等有详细记录；对重点数据操作的全过程审计；对发现可疑操作如多次尝试用户名和密码的行为，及时报警并采取必要的安全措施如关机等。

　　 及时分析行为日志的审计，可发现可疑的信息，并重点跟踪监测。有助于发现网络中的薄弱环节及可疑因素；有助于提高单位网络用户的网络安全意识；也是对网络安全破坏分子的震慑。

　　 (5)采用多种准入控制技术主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离，进行修复。使准入控制技术与传统的网络安全技术如防火墙、防病毒技术有机结合，改变“被动的、以事件驱动”为特征的传统内网安全管理模式，变被动防御为主动防御，有效促进内网规范化建设。根据建设和管理经验，提供内网安全防范拓扑结构。

　　 4、结束语

　　 在网络安全防范中，应根据单位的特殊性制定网络安全防范策略，在加强对单位用户的安全制度教育的同时，采用先进的网络安全防范技术。制度防范和技术防范互为补充，才能保障内网的安全。