FBI和CSI對484家公司進行了網絡安全專項調查，調查結果顯示：超過85%的安全威脅來自公司內部。在損失金額上，由于內部人員泄密導致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。這組數據充分說明了內部人員泄密的嚴重危害，同時也提醒國內組織應加強網絡內部安全建設。

    一、數據丟失的渠道

    1．傳輸渠道

    現有的安全系統對桌面終端的日常操作及攻擊缺乏有效的監控、防護手段，由于網絡可以方便地進行資源共享，信息在網絡上傳輸不受監控，對涉密信息沒有采取傳輸范圍和傳輸前密碼授權控制，使得一些涉密信息極有可能通過網絡從一些開放的終端傳出去，而不留痕跡。

    2．流轉渠道

    科技高度發展的今天，電子產品日新月異，小巧易帶的軟盤、光盤、U盤、移動硬盤、筆記本電腦甚至MP3等可移動存儲的磁介質越來越小，裝載的信息量越來越多。

    在使用中，為防范信息泄露，要求員工用完設備后，即時將信息或數據刪除掉再借出，原以為這樣他人就無法取得信息，殊不知磁介質有可以被提取還原的特性，他人一樣可以取走信息。

    3．失控出口

    對涉密信息沒有進行加密處理或者保護處理，將涉密信息通過各種出口，如USB口、串口等方式拷貝出去，出口缺乏必要的監控和審計。

    對于打印文件的管理，很多企業主要是靠管理員督促，員工打印時進行登記，但員工若打印了涉密信息不進行登記，便無從追查，更無法提供違規操作的證據，這方面安全隱患較大。

    4．制度漏洞

    有的企業沒有配備專門的計算機維護管理人員，或者機房管理不嚴格，無關人員可以隨意進出機房。當機器發生故障時，隨意叫自己的朋友或者外面非專業公司的人員進入機房維修，甚至將發生故障的計算機送修前不做消磁處理，或不安排專人監督維修過程，都會丟失涉密數據。

    二、如何保證內網安全

    針對各種泄密途徑，要防止內網涉密信息外泄，應著重從加強內網安全防范措施入手。那么，應在內網中構筑一個怎樣的內控安全體系或系統呢？

    邊界不可小覷！內網安全的威脅不同于公用網絡的威脅。公用網絡安全技術防范來自Internet上的攻擊，主要是防范來自公共的網絡服務器，如HTTP或SMTP的攻擊。網絡邊界防范減小了資深黑客僅需接入互聯網、寫程序就可訪問企業網的幾率。

    內網安全威脅主要源于企業內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一臺Server，然后以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內網防范策略。

    三、邊界防護技術的應用

    面對一個龐大、復雜的企業內網及相關的信息系統，單獨對每項信息資產確定保護方法是非常復雜的工作，常由于疏忽或錯誤導致安全漏洞。但是將整個內網系統當成一個安全等級來防護，也難免造成沒有防范層次和防范重點，對風險尤其是內部風險的控制能力不足。

    較好的處理方式是進行安全域的劃分，制訂資產劃分的規則，將信息資產歸入不同安全域中，每個安全域內部都有著基本相同的安全特性，如安全級別、安全威脅、安全弱點及風險等。在此安全域的基礎上確定該區域的信息系統安全保護等級和防護手段，同一安全域內的資產實施統一的保護。

    1．安全域的定義

    安全域是由一組具有相同安全保護需求、并相互信任的系統組成的邏輯區域。同一安全域的系統共享相同的安全策略，安全域劃分的目的是把一個大規模復雜系統的安全問題，化解為更小區域的安全保護問題，是實現大規模復雜信息系統安全等級保護的有效方法。

    2．安全域的分類

    以電信運營企業內部網絡為例，安全域可以分為安全計算域、安全用戶域、安全網絡域和安全服務域。其中，安全計算域的安全等級是確定一個內部網絡安全保護和等級劃分的基礎，如圖1所示。

    安全網絡域：支撐安全域的網絡設備和網絡拓撲，是安全域的承載子域，防護重點是保障網絡性能和進行各子域的安全隔離與邊界防護。

    業務計算域：安全域的核心業務服務器、數據庫，是安全域的核心子域，防護重點是防病毒攻擊、防黑客篡改和防誤操作導致數據丟失。

    公共服務域：為安全域提供統一的安全服務，是安全域的公共子域，包括統一的外部網絡接口、安全認證、事件管理、策略管理、補丁管理等服務。

    業務終端域：需要訪問安全計算域的各類客戶端和維護終端，是安全域的風險子域，防護重點是加強認證和審計、限制權限，嚴格遵守配置標準。

    3．邊界整合和防護設計

    劃分安全域后，同一安全域擁有相同的安全等級，可以認為在統一安全域之內是相互信任的，而安全風險主要是不同的安全域之間相互訪問所帶來的，因此對于安全域的防護主要是對安全域邊界的安全防護。邊界的種類主要分為三種：同級別安全域之間的邊界；不同級別安全域之間的邊界，實際設計實施時又分為高等級安全域和低等級安全域的邊界和防護；遠程連接的用戶，通常會通過公共網絡，除了邊界的防護，數據傳送過程中也必須保障保密性和完整性。

    4．同級別安全域之間的邊界

    同級別安全域之間的安全防護主要是安全隔離和可信互訪。因為同級別安全域之間的安全等級相同，主要從業務需要出發劃分不同的安全域，如在運營商支撐網絡中將OA系統、計費系統、網管系統劃分為不同的安全域。為了防止單點的安全事件擴散到整個網絡，影響其他的業務系統，需要保證同級別安全域之間的安全隔離，如圖2所示。

    根據以上的需求，通過MPLS-VPN解決方案可以很好地滿足同級別安全域之間安全隔離的需求。

    通過MPLS-VPN解決方案，可以實現各個節點和業務之間的互訪和隔離需求，能夠做到在增加新的節點或業務時，對其他節點的配置進行很小的改動，而且對網絡上承載的業務沒有影響，這可以使各個業務使用同一個核心網絡，而在地市節點再按照業務與不同的網絡設備相連。通過MPLS-VPN解決方案，可以使整個網絡結構簡化，減輕維護壓力。

    5．不同級別安全域之間的邊界

    不同級別安全域之間的相互訪問帶來較大的安全風險，是網絡安全防護的重點。在劃分的安全域中，安全用戶域是風險子域，用戶域對于計算域的訪問是網絡中面臨的主要風險。

    采用安全接入認證網關和防火墻對不同級別安全域之間的邊界進行防護如圖3所示。

    安全接入認證網關通常部署在用戶域接入網絡的邊緣，用于不同安全等級的安全域間的數據交換。通過認證授權和安全策略的檢查，對終端的網絡訪問權限進行控制，只有通過認證和安全策略檢測的終端才擁有訪問網絡的權限，沒有通過的終端無法訪問網絡，從而將安全風險阻擋在網絡接入的邊緣，最大限度的保護了計算域中核心業務系統的安全。

    防火墻通常部署在計算域的前端，用于提供多層次的縱深安全防護。

    6．遠程接入的實現

    隨著業務的發展，遠程接入的需求越來越多，遠程用戶通常通過Internet遠程接入到企業的數據網絡之中，如圖4所示，其安全風險很大。

    對于遠程接入用戶通常采用VPN結合用戶認證授權的方式進行邊界防護。用戶通過在遠端和總部之間建立VPN隧道的方式，并采用數據加密的方法，保證通信的安全。同時結合雙因素認證的方式，對接入用戶采用高強度的認證、授權和審計，控制遠程接入的風險。

    四、應用實例

    某運營商為滿足網絡安全需求，對其DCN網絡進行了全面的安全加固，以下僅以邊界防護為例進行說明。

    1．某運營商骨干網絡建設現狀

    DCN網絡形成覆蓋全國31個省、直轄市的骨干網絡。整個骨干DCN網絡采用兩級結構，由核心層和匯聚層兩個層次組成。

    DCN網絡存在以下安全問題。首先，DCN網作為多業務的承載平臺，需要針對應用進行有效隔離措施。但目前由于各業務之間沒有實現很好的隔離，缺少統一的安全域劃分和安全域管理，從客戶端、交換機到路由器，部分地市存在不同類型業務設備混用的情況，給業務的安全帶來了較大隱患。其次，DCN網上諸多外聯網接口、互聯網入口和出口沒有統一管制，各省接口設置缺少統一規劃。第三，各省發展程度不一，作為DCN網“心臟”的EDC缺少嚴格的安全管理。最后，由于缺少對IP地址的有效監控和管理，部分地區IP地址使用不符合集團統一規劃，給網絡安全帶來隱患。

    2．邊界防護的實施目標

    根據DCN網安全狀況，為保護DCN網不同區域的安全性，防范未授權的訪問，杜絕非法的數據包在不同安全區域之間的傳遞，將攻擊阻擋在安全區域環境之外，在DCN骨干網邊界部署安全防護，保證網絡安全狀況的可知和可控，確保DCN骨干網的安全，同時將省DCN網內部的不安全因素控制在較小的范圍內。

    3．邊界防護選用的技術

    （1）防火墻

    防火墻是常規的網絡邊界防護設備，便于對網絡邊界進行安全控制，但防火墻無法對病毒、蠕蟲等引起的惡意流量進行檢測。

    （2）IDS/IPS

    IDS/IPS是防火墻之后的第二道安全防線，在攻擊檢測、安全審計和監控等方面都發揮了重要的作用。

    從檢測方法上看，IPS與IDS都是基于模式匹配、協議分析以及異常流量統計等技術。這些檢測技術的特點是主要針對已知的攻擊類型，進行基于攻擊特征串的匹配。但對于應用層的攻擊，通常是利用特定的應用程序的漏洞，無論是IDS還是IPS都無法通過現有的檢測技術進行防范。

    （3）IDS/IPS的部署管理模式

    在DCN全網中部署入侵檢測產品有兩種部署管理模式可供選擇：集群部署管理模式和分布部署管理模式。采用集群部署管理模式可以保證網絡中部署的所有入侵檢測產品實時保持策略的同步，整體的安全策略能得到實時的部署，實時控制蠕蟲等惡意流量的蔓延和擴散，抵御各種威脅對網絡的影響。采用分布部署管理模式方便對各入侵檢測系統的策略進行配置，由于各入侵檢測系統是單獨設置管理，可以只針對特定的事件進行記錄上報，降低了對網絡資源的依賴性。

    4．實施方案

    如圖5所示，該方案解決了各省網絡與骨干網絡之間的邊界防護問題，在技術上選用IDS和IPS系統來實現。

    針對設備的部署管理模式，在DCN全國骨干網中設立兩到三個Cluster，管理員可以通過Cluster主結點的設備管理其余的從結點設備。各省的入侵檢測系統設備只需向集團的安全管理系統提供統計信息（如嚴重的安全威脅、最近X天的統計報告）等，由集團根據實際情況分析DCN全網的安全狀況，運行狀況參見圖6。

    小結

    信息系統和網絡系統應用初期，信息系統運行的穩定性和可靠性是首先面臨的問題，除了系統本身的因素外，其最大的一類威脅就是來自網絡的入侵威脅。針對這類攻擊，防火墻、入侵檢測和防病毒產品的應用已取得了明顯的效果。網絡邊界防護體系在技術上和應用上都已經相對成熟，并已經形成了建立統一的邊界防護系統的趨勢。

    相對于網絡邊界防護體系的成熟，統一的身份認證體系、統一的信息安全管理體系和規范的信息安全保密體系的建設卻顯得相對滯后。

    完整的信息安全保障體系建設是信息安全走向成熟的標志。信息安全保障體系的建設，必須進行科學的規劃，以用戶身份認證為基礎，信息安全保密為核心，網絡邊界防護和信息安全管理為輔助，建立全面有機的安全整體，從而建立真正有效的、能夠為信息化建設提供安全保障的平臺。