前言：本站為你精心整理了企業(yè)內(nèi)網(wǎng)安全管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護技術(shù)，對網(wǎng)絡(luò)入侵進行監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風險分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術(shù)也不能獨立有效地完成安全防護，特別是對新類型新變種的病毒、蠕蟲，防護技術(shù)總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護措施就連接到危險的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動用戶計算機連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設(shè)備，重者成為攻擊整個企業(yè)網(wǎng)絡(luò)媒介，危及整個企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認的安全策略增強的安全配置設(shè)置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應(yīng)用對于各種軟件系統(tǒng)自身的安全防護的增強具有重要作用，但在實際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護

傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進行且在網(wǎng)絡(luò)訪問用戶的身份被確認后，用戶即可以對企業(yè)內(nèi)網(wǎng)進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動用戶在安全防護較差的外網(wǎng)環(huán)境中使用VPN連接、遠程撥號、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個安全通道。

另一個傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對于企業(yè)網(wǎng)管很難準確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實導(dǎo)致安全隱患的產(chǎn)生：員工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統(tǒng)安全防護措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到安全防護薄弱的外網(wǎng)環(huán)境的移動用戶來說，安全保障就會嚴重惡化，當移動用戶連接到企業(yè)內(nèi)網(wǎng)，就會將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計算機安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會在企業(yè)專網(wǎng)以外使用計算機辦公，同時這些移動員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網(wǎng)的保護之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態(tài)，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實施策略

1.多層次的病毒、蠕蟲防護

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術(shù)是難以防護病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補丁管理，安全配置

為了彌補和糾正運行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個企業(yè)網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設(shè)備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風險，提高企業(yè)網(wǎng)絡(luò)整體的補丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補丁及安全配置管理策略得到有效的落實。

3.全面的網(wǎng)絡(luò)準入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時對傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護措施，而采用邊界準入控制、接入層準入控制等技術(shù)進行全面的實現(xiàn)準入控制。當外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網(wǎng)訪問則放行。一個全面的網(wǎng)絡(luò)準入檢測系統(tǒng)。

4.終端設(shè)備安全完整性保證

主機完整性強制是確保企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵組件。主機完整性可確保連接到企業(yè)網(wǎng)的客戶端正運行著所需的應(yīng)用程序和數(shù)據(jù)文件。信息安全業(yè)界已經(jīng)開發(fā)出了多種基于主機的安全產(chǎn)品，以確保企業(yè)網(wǎng)絡(luò)和信息的安全，阻止利用網(wǎng)絡(luò)連接技術(shù)、應(yīng)用程序和操作系統(tǒng)的弱點和漏洞所發(fā)起的攻擊。并已充分采用了在個人防火墻、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術(shù)進步來有效地保護企業(yè)設(shè)備。然而，只有在充分保證這些安全技術(shù)的應(yīng)用狀態(tài)、更新級別和策略完整性之后，才能享受這些安全技術(shù)給企業(yè)網(wǎng)絡(luò)安全帶來的益處。如果企業(yè)端點設(shè)備不能實施主機完整性，也就不能將該設(shè)備看成企業(yè)網(wǎng)絡(luò)受信設(shè)備。