内网安全分析与解决对策

realine

河北鑫博威网络  
[摘要] 随着信息化建设深入，数据交换、资源共享越来越来多，网络安全是网络正常运重要保证，本文从内网建设方面分析了可能存在安全隐患，提出了内网安全的解决对策。
[关键词] 信息化  网络安全  安全域

  随着信息化不断深入，各个单位建设网络越多，有内网、外网等，一般情况，内网与外网是物理隔离的，根据国信办的要求，副省级以上单位的内网需与外网物理隔离，副省级以下单位可以实现逻辑隔。医疗单位的信息系统一般是内网，基本上是与外网物理隔离，但是随前信息化发展，随着医疗卫生事业发展，社保、医保、商业医疗保险、公共卫生信息化发展以及医疗机构自身发展，HIS逐渐向广域HIS发展，内部网络不得不与其他外部网络进行数据交换，内部网与外部网络的数据交换可以通过隔离网闸进行，来保证数据安全。通常各种病毒、系统陷井、隐蔽的访问通道、黑客攻击、WEB站点瘫痪等问题，通过在网络的边缘设置防火墙、入侵检测系统、防病毒系统等构网安全体系架构，将非法入侵者拒之门外，检测恶意的可执行的程序和阻绝网络的滥用。但是对于内部信息的保密安全管理无任何作用。对于一个机构来说，通常的人为控制、教育加监督的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密，如利用Email、FTP、笔记本、光盘、可移动硬盘、打印机等，这都是安全管理人员必须考虑的问题。
一、内网安全隐患分析
在大量安全事件中,最为严重的是内部员工直接造成或参与非法信息外泄事件,并且在内部员工对于内部的组织结构、人员部署、机构设置相对于外部人员要熟悉的多，因此，内部员工造成致使的信息外泄事件往往情节严重，并且损失巨大。一般情况下，内网安全隐患主要表现以下几个方面：
   （一）计算机工作人员由于对专业知识不熟悉而泄密。对电子信息保密的意识还不强，常常由于专业知识不熟悉而泄密。如有些人由于不知道计算机的电磁波辐射会泄露信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会；有些人由于不知道计算机软盘上的剩滋可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密；有此有因事离机时没有及时关机，或者没有采取屏幕保加密措施使各种输入信息、输出信息暴露在界面上。
   （二）单位内部计算机分散，无法达到可控管理。一般医疗卫生单位的计算机一般都有达到100多台以上，这些分散的计算机，对信息、网络管理部门很难做到一种可控管理。如有些人，私自用拨号上互联网，将整个网络暴露互联网；有些人私自安装一些软件导致原有应用系统崩溃，或者系统不能正常运行。
（三）无法有效对移动设备的管理。由于计算机技术飞速发展，各种计算机移动设备层出不穷，如U盘、移动硬盘、手提电脑、PDA、手机、打印机等，都很容易接入各自使用的计算机，一是可能将病毒带入内部网络，二是利用这些移动存贮设备下载一些系统信息、一些工作资料，导致无意中信息泄露。特别是医院HIS系统中，虽然没有涉及到有关国家安全的秘密资料，但是存大量的资料如：病人个人资料、各种用药信息等都是需要保密的。如果管理不善，导致信息资料泄露，造成后果可想而知的。
（四）内网发起攻击，故意泄密。由于电子信息文档不象传统文档那样直观，极其容易复制，且不会留下痕迹，所以窃取信息很容易。内部工作人员徇私枉法，受亲朋好友委托，通过正常的身份验证和密码欺骗技术，从网络和计算机查询有关信息资料（如个人资料档案、涉密信息等）。

二、内网安全目标
在内网建设时，要根据实际情况，为单位内部信息规划一个安全目标，在最小安全投资前提下，最大限度的管理单位信息网络内部信息的安全。一个单位信息安全的目标是：通过安全工程的实施，建立完整的单位信息系统的安全防护体系，在安全法律、法规、政策的支持下，通过制定客户化安全策略，采用合适的安全技术和进行制度化安全管理，从安全策略、安全域、安全系统、分全管理多个层次、多个角度构建单位内部信息安全保障技术框架，实现内部网络的失、泄密管理，阻止单位内部用户通过各种方式泄露敏感信息，并对计算机合进管理，保障内部网络稳定可靠运行，确保内部信息与网络资源受控合法使用，确保内部重要信息的安全与保密。

三、构建内网安全体系统
(一)规划内网的安全策略
内网安全策略是实现内网安全管理的基础，内网安全策略是信息系统安全建设的指导原则、配置规则和检查依据，同时规划的安全策略是动动态的，是可扩展的，可根据时间的推移和内部安全需求的变化而进行调整。内网安全策略主要分为以下几种：
1．个人计算机资源的审计和保护。主要是对个人计算机资源进行收集所有相关信息资源，对不同的个人计算机资源制定不同的保护用段和管理制度。
2．在线信息保护。根据内部网实际情况，并结合相关的法律政策、内部管理制度，定义各种信息的重要性，区分不同信息的重要程度，并制定不同的保护方案和访问控制规则，同时要保证内部网络最大化的合理利用。
3．离线信息保护。根据内部信息系统实际情况，并结合单位内部的管理制度，对可以通过离线方式（移动设备、打印设备等）进行传递的重要信息进行保护，通过定义重要信息以及信息的密级程度后，对离线信息传递设备、方式进行统一规划和控制。
(二)科学规划内网的安全域
   安全域是指根据一定的分方法，将一定数据的计算机划分在同一个范围，使这些计算机在逻辑上是一个安全域。安全域可根据计算机的安全级别或内部行政的范围，划分成不同的安全域。将这些分散的计算机安置在不同的安全域，结合相关管理制度，为每个安全域制定相应的安全策略，使得内部安全管理可以有层次的、也是全面的安全管理。
(三)内网安全防护策略
1．防范从内部发起的攻击。通过共享安全控制技术和文件访问控制，将文件夹共享名和用户名进行绑定，访问用户与IP绑定，还可通过检测内部入侵行为、实时分析网络流量、实现桌面级防火墙功能、监视可疑的网络连接、对计算机的文件夹进行有效控制、计算机日志记录等手段对整个网络内所有计算机内的重要信息进行安全管理。防止内部人员通过正常身份验证和密码欺骗技术，从网络和计算机轻易窃取、篡改和破坏内部重要资料；防止内部恶意破坏网络系统，如先控制内部网络的一台服务器，然后以此为根据地伺机对其他计算机发起攻击。
2．防止有意或无意的信息泄密。内部信息可能从网络、计算机各种端口、打印机、MODEM拨号以及移动存贮设备等各种可能途径泄露出去，造成资源的滥用和泄密。必须建立周密的防计算机泄露的安全体系，如要使用共享打印机必须每次指定的用户登录后方可打印；每台计算机需要增加新的硬件设备必须强制进行身份认证，并对违背安全规则的设备进行拦截或禁止，通过外联监控手段对拨号上网的行为进行控制，防止信息以单点破网的方式泄露出去；采用移动存贮设设备认证技术，对每台计算机的存贮介质进行认证和控制，防止信息被有意或者无意从移动存贮泄露出去。
3．有效的内网监控管理。通示计算机注册表监控、计算机日志监控、计算机事件审核、计算机资源的审计等统一管理、集中控制的安全控制，并通过预警机制，在第一时间通知安全管理员，避免因延误而造成损失。通过实时网络监控，分析网络数据流量分析，一旦发现可疑行为，及时向管理员预警。通过内容检测、敏感信息监控，有助于发现一些违规行为。

四、小结
内网安全防范越来越值得网络安全员重视，内网安全也是网络安全管理员很难监控的一个问题，本文试着几个方面讨论了内网安全防范策略，内网防范策略也是动态更新。构建内网安全防范体系，需根据单位的实际安全需求，同时保证网络最大化的利用，制定切实可行的安全防体系。目前一些网络安全企业已经开始关注内网安全问题，已经研制出一些内网安全产品，这些安全产品布署在内部网络上，可大大减轻网络安全管理员工作量，保证网络安全高效运行。

network