内网安全建设是一项系统工程,需要周密的设计和部署,同时内网安全也是一项长期的任务,这其中既包含网络安全制度建设和人员安全意识培养层面,也包含了网络安全防护系统建设层面。
在制度建设和意识培养方面,主要包括:
网络安全管理制度的建设
通常所说的网络安全建设“三分技术,七分管理”,也就是突出了“管理”在网络安全建设中所处的重要地位。长期以来,由于管理制度上的不完善、人员责任心差而导致的网络攻击事件层出不穷。
尽管在所有的网络安全建设中。网络安全管理制度的建设都被提到极其重要的位置,但能按相关标准制定出具有全面性、可行性、合理性的安全制度,并严格按其实施的项目数量并不是很多。
这一点,不得不引起用户的重视,内网安全建设中,安全制度的良好实施和执行能从很大程度上保证网络的安全,同时为网络的管理和长期监控提供有理可依的指导性理论。例如,建立完善的机房管理制度、完善的网络使用制度、责任到人的设备管理制度、网络安全应急预案和定期网络评估制度等。
2、网络使用人员安全意识的培养
长期的安全攻击事件分析证明,很多攻击事件是由于人员的安全意识薄弱,无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。针对这种情况,首要解决的问题是提高网络使用人员的安全意识,定期进行相关的网络安全知识的培训,全面提高网络使用人员的安全意识,是提高网络安全性的有效手段。
在网络安全防护系统建设层面,主要包括:
1、合理的网络安全区域划分
对于一个大型的局域网络内部。往往会根据实际需要划分出多个安全等级不同的区域,合理的进行安全域的划分,利用网络设备所提供的划分VLAN技术等对网络进行初步的安全防护。
2、网络安全防护系统建设
当前常见的网络安全防护系统包括防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防护系统、非法外联系统、VPN、漏洞扫描系统和综合网络安全管理平台等。
防火墙通常被用来进行网络安全边界的防护,事实证明,在内网中不同安全级别的安全域之间采用防火墙进行安全防护,不但能保证各安全域之间相对安全,同时对于网络日常运行中,各安全域中访问权限的调整提供了便利条件。
入侵检测的出现,很大程度地弥补了防火墙防外不防内的特性。同时,对网络内部的信息做到了实时的监控和预警,入侵检测系统与防火墙的联动,给内网中重要的安全域打造了一个动态的实时防护屏障。
利用安全审计系统的记录功能,对网络中所出现的操作和数据等做详细的记录,为事后攻击事件的分析提供了有力的原始依据。
利用网关防病毒系统将病毒尽最大可能地拦截在网络外部,同时在网络内部采用全方位的网络防病毒客户端进行全网的病毒防护,针对服务器采用专有的服务器防病毒客户端,同时保证全网病毒防护系统做到统一管理和病毒防护策略的统一。
非法外联系统能有效的保证内网中接入节点的合法性,同时对于通过非正常链路连入非安全域的节点做实时预警和阻断。
针对内网中重要的服务器部分,为保证访问人员身份的合法性,采用身份认证系统对访问人员身份的合法性加以确认,对访问服务器的人员做详细的访问控制。
综合网络安全管理平台
网络中各安全设备协同工作,各自提供相应的安全数据,综合网络安全管理平台对各数据的统一并进行综合分析,得出整个网络的安全分析报告,为后续的网络安全设备的策略制定和网络安全制度的管理提供指导性的建议。
安全可控的网络
当企业建设一个相对封闭的内部网络时,一定要保证对该网络做到完全控制,所谓完全控制,在这里包含以下几层含义:
1、连入网络的节点的监控。内部网络是相对封闭的环境,对于网络中的节点信息和与连入内部网络的节点,要做详细的监控和及时的防范。
2、非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问,如通过Modem拨号的方式连入外部网络的方式,及时发现并做到安全防范。
3、网络数据实时监控和审计。针对内部网络中的传输数据,通过网络设备做到实时监控,实时发现可疑信息并报警,同时做相应的安全审计,从而为事后的电子取证提供有力的依据。
4、实时病毒监控。对内部网络进行实时的病毒防范,对网络中病毒的防护状况做实时监控,包括重要的服务器、工作站和工作PC等网络安全系统。
5、全网的统一监控。对全网的安全数据做到统一管理,统一下发安全策略,统一分析安全数据,得出全网安全状况和风险级别。