目前業(yè)界已經(jīng)對安全問題有了長期的研究,并分為外網(wǎng)安全和內(nèi)網(wǎng)安全兩個(gè)范疇。而企業(yè)在外網(wǎng)安全方面通過防火墻、IDS、漏洞掃描等工具,能夠很好地將危害拒之門外,但據(jù)統(tǒng)計(jì)表明企業(yè)IT系統(tǒng)的安全隱患80%來源于內(nèi)網(wǎng),這也就是我今天要談到的問題,如何做好企業(yè)的內(nèi)網(wǎng)安全管理。
內(nèi)網(wǎng)安全問題對于企業(yè)來說,應(yīng)該從四個(gè)層次入手,綜合考慮企業(yè)的內(nèi)網(wǎng)安全問題,在IT運(yùn)維方面即是確定用戶的行為安全;最后當(dāng)用戶經(jīng)過層層的安全檢查,又如何保障登機(jī)的安全,企業(yè)還需要對其基礎(chǔ)設(shè)施的配置安全性進(jìn)行檢驗(yàn)。以上四方面對應(yīng)起來就是IT運(yùn)維管理中的接入安全、桌面安全、行為安全和配置安全,要做好內(nèi)網(wǎng)安全管理工作,企業(yè)應(yīng)該采用一套嚴(yán)格的運(yùn)維安全軟件來把把控好內(nèi)網(wǎng)所有網(wǎng)絡(luò)參與者的安全合法性。
第一道閘門接入安全
企業(yè)要最大限度保障內(nèi)網(wǎng)安全性,首先應(yīng)該明確內(nèi)網(wǎng)用戶身份,通過非法接入內(nèi)網(wǎng)而造成內(nèi)網(wǎng)安全事故的案例已經(jīng)屢見不鮮。所以IT部門的管理人員也應(yīng)該從安全身份認(rèn)證入手,確保內(nèi)網(wǎng)使用人員的合法性。具體應(yīng)該如何進(jìn)行接入安全的管理,我建議從兩方面來進(jìn)行,首先管理員對內(nèi)網(wǎng)的IP進(jìn)行合理的規(guī)劃和分配,加強(qiáng)對于IP地址資源的管控。例如,固定用戶分配一定數(shù)量的IP,而預(yù)留一部分IP給臨時(shí)訪問用戶,同時(shí)對臨時(shí)訪問用戶設(shè)定權(quán)限,在指定時(shí)間段訪問指定的網(wǎng)絡(luò),從而有效提高了IP資源的利用率和內(nèi)網(wǎng)的安全等級。
另一個(gè)方面則是進(jìn)一步強(qiáng)調(diào)登記合法IP用戶,因?yàn)閮?nèi)網(wǎng)雖然匹配好IP和設(shè)備,但使用人員并不一定會尊守IP規(guī)則,即有可能私自篡改IP地址,或者非法使用他人設(shè)備,這種情況同樣需要進(jìn)行防范。管理人員通過運(yùn)維管理軟件,設(shè)定相應(yīng)的規(guī)則,當(dāng)有人非法占用他人IP時(shí)就發(fā)出告警,則能確定非法終端,從而采取斷網(wǎng)措施,有效避免了搶占IP資源帶來的內(nèi)網(wǎng)秩序混亂問題。
第二道閘門桌面安全
桌面是所以內(nèi)網(wǎng)參與者的活動(dòng)場所,因此規(guī)范好終端桌面的使用成為管理員的又一重要責(zé)任。而具體操作中,管理員可以通過對安全使用區(qū)域的控制、增強(qiáng)安全運(yùn)行的輔助、安全事件的統(tǒng)計(jì)分析、安全規(guī)范的使用這四個(gè)方面來落實(shí)。首先內(nèi)網(wǎng)對于不同的用戶要確定其可以訪問的范圍,即對其可訪問區(qū)域的管控。例如,一業(yè)務(wù)人員可以對ERP系統(tǒng)和INTERNET資源進(jìn)行合法訪問,而對于財(cái)務(wù)系統(tǒng),他是無法進(jìn)行訪問的。通過用戶級別的劃分規(guī)范了整個(gè)網(wǎng)絡(luò)的使用范圍,有效杜絕了非法訪問事件的發(fā)生。
其次,管理員需要經(jīng)常對增強(qiáng)安全運(yùn)行采取一些輔助措施,主要是指對于終端的系統(tǒng)漏洞、軟件漏洞、環(huán)境漏洞進(jìn)行時(shí)刻監(jiān)測,一旦有新的漏洞產(chǎn)生,則立即下載最新的補(bǔ)丁文件進(jìn)行全內(nèi)網(wǎng)范圍的安裝,提高了內(nèi)網(wǎng)終端設(shè)備的安全等級;再次,安全統(tǒng)計(jì)分析功能,對于內(nèi)網(wǎng)發(fā)生的安全問題進(jìn)行歷史記錄對比分析,從而總結(jié)出內(nèi)網(wǎng)可能存在的安全隱患,采取解決方案一次性解決問題;最后就是執(zhí)行安全等級規(guī)范,通過一系列的安全等級設(shè)置,管理人員可以實(shí)時(shí)查看全網(wǎng)所有裝備的安全情況總覽,從而掃除了安全盲點(diǎn),對于改善企業(yè)內(nèi)網(wǎng)的安全等級起到了積極的導(dǎo)向作用。
第三道閘門行為安全
顧名思義,我們從終端的合法性以及使用者身份的合法性方面都經(jīng)過了嚴(yán)格的確認(rèn),那進(jìn)一步則需要規(guī)范使用者的操作行為,從而真正達(dá)到內(nèi)網(wǎng)的安全無憂。管理人員通過管理軟件預(yù)置的多種安全分析模式,運(yùn)用數(shù)據(jù)流分析工具,通過IP異常幀流量、IP掃描捕捉、掃描端口的IP三個(gè)層次進(jìn)行分析,可以智能識別內(nèi)網(wǎng)的異常數(shù)據(jù)流行為,并最終分析其數(shù)據(jù)來源,定位到終端設(shè)備,便于管理員直接采取措施,切斷異常設(shè)備的網(wǎng)絡(luò),恢復(fù)內(nèi)網(wǎng)的正常運(yùn)行。
第四道閘門配置管理
內(nèi)網(wǎng)系統(tǒng)賴以正常運(yùn)行的一個(gè)重要條件就是設(shè)備的配置參數(shù),內(nèi)網(wǎng)安全管理同樣也需要關(guān)注此環(huán)節(jié)。一般來說,管理軟件會對內(nèi)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的配置參數(shù)進(jìn)行自動(dòng)備份,同時(shí)對于配置參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測,當(dāng)有參數(shù)更改時(shí)則發(fā)出告警,管理人員能夠根據(jù)備份的配置參數(shù)恢復(fù)設(shè)備的配置,從而確保內(nèi)網(wǎng)所有設(shè)備正常運(yùn)行,也從硬件平臺上為整個(gè)內(nèi)網(wǎng)系統(tǒng)運(yùn)轉(zhuǎn)提供了支撐。
以上四個(gè)方面可謂環(huán)環(huán)相扣,層層深入,企業(yè)的IT部門運(yùn)用管理軟件嚴(yán)格按照以上四個(gè)步驟進(jìn)行安全管理,必將提高內(nèi)網(wǎng)安全等級,將內(nèi)網(wǎng)安全事故發(fā)生幾率降到最低,真正成為企業(yè)網(wǎng)絡(luò)安全的"守護(hù)神".
內(nèi)網(wǎng)安全問題逐漸成為企業(yè)所關(guān)注的話題,一旦企業(yè)的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全問題則帶來的影響可能是致命性的。所以企業(yè)應(yīng)該予以重視。