构建可信可控的内网防御体系.docx

1、 构建可信可控的内网防御体系 吴晓明1，李莉2（1沈阳军区通信部网络管理中心，辽宁沈阳110001;2总后通信总站，北京100071)摘要：本文分析了内网系统安全存在的安全风险、漏洞，阐明了内网安全可信、可控应把握的重点：原则以及安全建设应遵循的基本要求，并就信息网络安全总体策略、防御体系和安全监控机制等重点问题进行了讨论。关键词：内网安全；可信；可控；网络防御TP391 ：A0引言信息网络具有互联、开放和共享的特点，且使用的IT产品在生产、采购、运输、维护过程安全性难以控制，使得分布在网络上各台主机中的重要信息资源处于一种高风险的状态，很容易受到来自系统内部和外部的非法访问，网络安全产品和技

2、术本身的可靠性就显得十分重要。内网安全是指防止内部信息系统本身及其采集、加工、存储、传输的信息数据被故意或偶然地非授权泄漏、更改、破坏或使信息被非法辨认、控制，即保障信息的可用性、保密性、完整性、可控性和不可抵赖性。1网络安全的基本理论绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入，2系统。安全性的增加通常会导致建设费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化、如果在制定安全需求规范和设计阶段以及IT产品采购之前就考虑到

3、了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。“木桶理论”：信息安全的可靠度取决于整个安全体系中最弱部分的可靠度，信息系统中信息产品、技术中的任何潜在缺陷、漏洞将会导致整个信息安全系统的崩溃，使信息安全空泛化而流于形式。“人本理论”：信息安全系统最终要为人所用，因此，必须要尽可能简便易用。一个难于使用的信息安全系统必然导致使用者的热情降低甚至抵触，最终会因实施困难而降低安全性。“加密理论”：信息安全的核心是数据来自wwW.lw5u.coM保护，保护数据最根本最有效的方式是对数据进行高强度加密。2内网安全存在的主要问题经调研发现，对于任何一名内部网络的管理员来说，当在网关层次的

4、安全防范达到了认可之后，普遍对终端管理感到无从下手。这些问题主要体现在以下方面。1)安全策略审计不完善。使用弱口令、用户权限分配不合理，无法监控终端用户操作电脑的信息和攻击行为。2)系统漏洞修补不及时。没有进行客户端操作系统补丁漏洞检测和补丁自动分发部署控制。3)资产管理不准确。由于不断添置硬件和应用平台，容易造成资产管理的死角，无法生成详细的资产统计报告；无法控制用户绕过防火墙等边界设施直接联入互联网，造成物理隔离网络失效；外来笔记本电脑以及其他移动设备的随意接人造成整体安防体系遭到破坏；分支机构虽然通过VPN连接到内网信息系统但无法达到安全标准。4)病毒防护软件势单力薄。网络管理中心无法实

5、现客户端安装软件自动识别控制，尤其无法对未安装防病毒软件的终端进行统计和远程部署；无法定位网络中被病毒感染的用户，也就无法快速、安全地切断入侵事件。5)日志分析工作量大。入侵检测系统、病毒防护系统、系统日志报告等，每个系统都会记录大量的安全日志，这些日志之间没有合并，大量的日志将冲垮管理中心的日常工作，导致无法看到我们真正关心的日志。6)终端应用安全问题突出。通过获取账号、光盘引导等方式非法登陆；通过系统漏洞和不安全设置入侵；通过病毒和木马入侵；非法设备接入网络进行攻击；内网计算机接入外网造成泄密；通过电子邮件等方式泄密；涉密文件管理无序；通过对存储介质进行盗取、文件恢复窃密；通过网络进行监听

6、等等。这些网络管理方面的问题举不胜举，为病毒泛滥、黑客人侵等行为的发生搭建了温床。作为攻击者来说，普遍都在使用“最易渗透原则”3，即对系统中最薄弱的地方进行攻击。端点安全技术是整个信息安全中非常重要的一环。端点安全早巳走出离散的、完全独立运行于单个主机的模式，而是与中央管理产品综合在一起，为网络提供了完善的全方位、多层次的安全保障体系，为消除“短板”效应提供了强有力的支持。3内网安全可控总体策略安全可控策略确定网络安全保护工作的目标和对象。内网安全策略涵盖面很多，如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略以及设备安全策略等。一个信息网络的总体安全策略、可以概括为“实体可信、行

7、为可控、资源可管、事件可查、运行可靠”，总体安全策略为其它安全策略的制定提供整体依据。1)实体可信。实体指构成信息网络的基本要素，主要有网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信，没有预留后门或逻辑炸弹。保证接入网络的用户是可信的，防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听，非授权访问或恶意篡改。2)行为可控。保证用户行为可控，即保证本地计算机的各种软硬件资源不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控，即保证用户接入网络应严格受控，用户上网必须得到申请登记并许可。保证网络行为可控，即保证网络上

8、的通信行为受到监视和控制，防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。3)资源可管。保证对路由器、交换机、服务器、邮件系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等网络资源进行统一管理。4)事件可查。保证对网络上的违规事件进行监控记录，确保日志记录的完整性，为安全事件稽查、取证提供依据。5)运行可靠。保证网络节点在发生自然灾难或遭受到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力。能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失，并具有较强的应急响应和灾难恢复能力。4信息网络安全整体防御体系要运

9、用系统工程的观点和方法分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合应用的结果。只有从系统综合的整体角度去看待和分析，才可能形成有效、可行的措施。完整的信息网络安全体系结构如下图所示。信息网络安全是一个动态发展的过程，不单是纯粹的技术，仅仅依赖安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统，要从观念上进行转变，将规划、管理、技术等多种因素相结合，使之成为一个可持续的动态发展过程。5建立可信可控的安全监控机制建立一个可信可控的安全体系，主要包括网络接人、网络终端、服务器和应用的可信与可控。主动式安全策略包括，提高自身的免

10、疫能力；切断各种威胁的途径；加强配置的管理；加强对用户管理和资源访问的控制。所有接入网络的节点都是可信的，需要解决的主要问题是：非法节点接入，合法节点非法接入，合法节点合法接入，但系统不可信。所有接入网络的节点都是可控的，需要解决的主要问题是：非法外联问题：客户端违规；无法了解网络结构和资产状况；无法监控内网服务。1)资产收集与变更管理。按组织结构管理，实现终端基础信息的注册和审批；自动扫描未安装客户端的机器；自动收集客户机的系统、软件、硬件信息；信息变更时，自动记录，并可根据策略向管理员发送报警；信息可搜索查询。2)外设与端口使用控制。可启用或禁用各计算机的外围设备，如软驱、光驱、U盘、串口

11、、并口、红外、1394口等，有效防止因外围设备的非法使用所引起的信息泄露。3)软件进程监视。可预先设定客户端必须运行的进程策略，发现违规及时报警。可预先设定客户端禁止运行的进程策略，阻止其运行特定的程序。4)外联行为的控制。对于通过MODEM、无线网卡、非法的网络代理等发生的各种非法外联行为，本来自www.lW5u.coM地客户端可根据策略自动断开该计算机的各种网络连接，全面彻底地解决非法外联问题。5)文件审计。文件审计主要记录从本机拷贝文件到其他存储设备或网络设备上的操作，有效追踪防范信息泄密。审计内容主要包括：写软驱、光驱、U盘的操作，向远程共享目录写文件，他人从本机的共享目录拷贝文件，以

12、及使用其他端口程序如FTP客户端对本地文件进行的操作。6)打印控制。通过监控打印服务器来实现打印控制管理。可对服务器、打印机、用户、文件类型、纸张类型等分别进行全面设置。记录打印操作的用户、计算机、文件名、页数、份数、纸张类型、彩色黑白等信息。7)系统补丁管理。通过与内网SUS服务器协作，即时检测并更新补丁列表，按组织机构设定补丁安装策略，对未在规定时间内安装补丁的客户机实现报警，支持补丁查询。（责编杨晨）参考文献：1杨永群，章翔凌，一种强制性的信息安全架构J保密技术信息2008.62李长生应用安全大有可为N，中国计算机报2005. 773肖遥网络渗透攻击与安防修炼M电子工业出版社2009.4作者简介：吴晓明（1959-），男，高级工程师，大学本科，主要研究方向：计算机网络安全管理；李莉（1964-），女，工程师，大学本科，主要研究方向：图像传输。 -全文完-