FBI和CSI對484家公司進行了網(wǎng)絡(luò)安全專項調(diào)查，調(diào)查結(jié)果顯示：超過85%的安全威脅來自公司內(nèi)部。在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。這組數(shù)據(jù)充分說明了內(nèi)部人員泄密的嚴(yán)重危害，同時也提醒國內(nèi)組織應(yīng)加強網(wǎng)絡(luò)內(nèi)部安全建設(shè)。

    一、數(shù)據(jù)丟失的渠道

    1．傳輸渠道

    現(xiàn)有的安全系統(tǒng)對桌面終端的日常操作及攻擊缺乏有效的監(jiān)控、防護手段，由于網(wǎng)絡(luò)可以方便地進行資源共享，信息在網(wǎng)絡(luò)上傳輸不受監(jiān)控，對涉密信息沒有采取傳輸范圍和傳輸前密碼授權(quán)控制，使得一些涉密信息極有可能通過網(wǎng)絡(luò)從一些開放的終端傳出去，而不留痕跡。

    2．流轉(zhuǎn)渠道

    科技高度發(fā)展的今天，電子產(chǎn)品日新月異，小巧易帶的軟盤、光盤、U盤、移動硬盤、筆記本電腦甚至MP3等可移動存儲的磁介質(zhì)越來越小，裝載的信息量越來越多。

    在使用中，為防范信息泄露，要求員工用完設(shè)備后，即時將信息或數(shù)據(jù)刪除掉再借出，原以為這樣他人就無法取得信息，殊不知磁介質(zhì)有可以被提取還原的特性，他人一樣可以取走信息。

    3．失控出口

    對涉密信息沒有進行加密處理或者保護處理，將涉密信息通過各種出口，如USB口、串口等方式拷貝出去，出口缺乏必要的監(jiān)控和審計。

    對于打印文件的管理，很多企業(yè)主要是靠管理員督促，員工打印時進行登記，但員工若打印了涉密信息不進行登記，便無從追查，更無法提供違規(guī)操作的證據(jù)，這方面安全隱患較大。

    4．制度漏洞

    有的企業(yè)沒有配備專門的計算機維護管理人員，或者機房管理不嚴(yán)格，無關(guān)人員可以隨意進出機房。當(dāng)機器發(fā)生故障時，隨意叫自己的朋友或者外面非專業(yè)公司的人員進入機房維修，甚至將發(fā)生故障的計算機送修前不做消磁處理，或不安排專人監(jiān)督維修過程，都會丟失涉密數(shù)據(jù)。

    二、如何保證內(nèi)網(wǎng)安全

    針對各種泄密途徑，要防止內(nèi)網(wǎng)涉密信息外泄，應(yīng)著重從加強內(nèi)網(wǎng)安全防范措施入手。那么，應(yīng)在內(nèi)網(wǎng)中構(gòu)筑一個怎樣的內(nèi)控安全體系或系統(tǒng)呢？

    邊界不可小覷！內(nèi)網(wǎng)安全的威脅不同于公用網(wǎng)絡(luò)的威脅。公用網(wǎng)絡(luò)安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器，如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范減小了資深黑客僅需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。

    內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護措施，同時建立并加強內(nèi)網(wǎng)防范策略。

    三、邊界防護技術(shù)的應(yīng)用

    面對一個龐大、復(fù)雜的企業(yè)內(nèi)網(wǎng)及相關(guān)的信息系統(tǒng)，單獨對每項信息資產(chǎn)確定保護方法是非常復(fù)雜的工作，常由于疏忽或錯誤導(dǎo)致安全漏洞。但是將整個內(nèi)網(wǎng)系統(tǒng)當(dāng)成一個安全等級來防護，也難免造成沒有防范層次和防范重點，對風(fēng)險尤其是內(nèi)部風(fēng)險的控制能力不足。

    較好的處理方式是進行安全域的劃分，制訂資產(chǎn)劃分的規(guī)則，將信息資產(chǎn)歸入不同安全域中，每個安全域內(nèi)部都有著基本相同的安全特性，如安全級別、安全威脅、安全弱點及風(fēng)險等。在此安全域的基礎(chǔ)上確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段，同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護。

    1．安全域的定義

    安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域。同一安全域的系統(tǒng)共享相同的安全策略，安全域劃分的目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護的有效方法。

    2．安全域的分類

    以電信運營企業(yè)內(nèi)部網(wǎng)絡(luò)為例，安全域可以分為安全計算域、安全用戶域、安全網(wǎng)絡(luò)域和安全服務(wù)域。其中，安全計算域的安全等級是確定一個內(nèi)部網(wǎng)絡(luò)安全保護和等級劃分的基礎(chǔ)，如圖1所示。

    安全網(wǎng)絡(luò)域：支撐安全域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)洌前踩虻某休d子域，防護重點是保障網(wǎng)絡(luò)性能和進行各子域的安全隔離與邊界防護。

    業(yè)務(wù)計算域：安全域的核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫，是安全域的核心子域，防護重點是防病毒攻擊、防黑客篡改和防誤操作導(dǎo)致數(shù)據(jù)丟失。

    公共服務(wù)域：為安全域提供統(tǒng)一的安全服務(wù)，是安全域的公共子域，包括統(tǒng)一的外部網(wǎng)絡(luò)接口、安全認(rèn)證、事件管理、策略管理、補丁管理等服務(wù)。

    業(yè)務(wù)終端域：需要訪問安全計算域的各類客戶端和維護終端，是安全域的風(fēng)險子域，防護重點是加強認(rèn)證和審計、限制權(quán)限，嚴(yán)格遵守配置標(biāo)準(zhǔn)。

    3．邊界整合和防護設(shè)計

    劃分安全域后，同一安全域擁有相同的安全等級，可以認(rèn)為在統(tǒng)一安全域之內(nèi)是相互信任的，而安全風(fēng)險主要是不同的安全域之間相互訪問所帶來的，因此對于安全域的防護主要是對安全域邊界的安全防護。邊界的種類主要分為三種：同級別安全域之間的邊界；不同級別安全域之間的邊界，實際設(shè)計實施時又分為高等級安全域和低等級安全域的邊界和防護；遠(yuǎn)程連接的用戶，通常會通過公共網(wǎng)絡(luò)，除了邊界的防護，數(shù)據(jù)傳送過程中也必須保障保密性和完整性。

    4．同級別安全域之間的邊界

    同級別安全域之間的安全防護主要是安全隔離和可信互訪。因為同級別安全域之間的安全等級相同，主要從業(yè)務(wù)需要出發(fā)劃分不同的安全域，如在運營商支撐網(wǎng)絡(luò)中將OA系統(tǒng)、計費系統(tǒng)、網(wǎng)管系統(tǒng)劃分為不同的安全域。為了防止單點的安全事件擴散到整個網(wǎng)絡(luò)，影響其他的業(yè)務(wù)系統(tǒng)，需要保證同級別安全域之間的安全隔離，如圖2所示。

    根據(jù)以上的需求，通過MPLS-VPN解決方案可以很好地滿足同級別安全域之間安全隔離的需求。

    通過MPLS-VPN解決方案，可以實現(xiàn)各個節(jié)點和業(yè)務(wù)之間的互訪和隔離需求，能夠做到在增加新的節(jié)點或業(yè)務(wù)時，對其他節(jié)點的配置進行很小的改動，而且對網(wǎng)絡(luò)上承載的業(yè)務(wù)沒有影響，這可以使各個業(yè)務(wù)使用同一個核心網(wǎng)絡(luò)，而在地市節(jié)點再按照業(yè)務(wù)與不同的網(wǎng)絡(luò)設(shè)備相連。通過MPLS-VPN解決方案，可以使整個網(wǎng)絡(luò)結(jié)構(gòu)簡化，減輕維護壓力。

    5．不同級別安全域之間的邊界

    不同級別安全域之間的相互訪問帶來較大的安全風(fēng)險，是網(wǎng)絡(luò)安全防護的重點。在劃分的安全域中，安全用戶域是風(fēng)險子域，用戶域?qū)τ谟嬎阌虻脑L問是網(wǎng)絡(luò)中面臨的主要風(fēng)險。

    采用安全接入認(rèn)證網(wǎng)關(guān)和防火墻對不同級別安全域之間的邊界進行防護如圖3所示。

    安全接入認(rèn)證網(wǎng)關(guān)通常部署在用戶域接入網(wǎng)絡(luò)的邊緣，用于不同安全等級的安全域間的數(shù)據(jù)交換。通過認(rèn)證授權(quán)和安全策略的檢查，對終端的網(wǎng)絡(luò)訪問權(quán)限進行控制，只有通過認(rèn)證和安全策略檢測的終端才擁有訪問網(wǎng)絡(luò)的權(quán)限，沒有通過的終端無法訪問網(wǎng)絡(luò)，從而將安全風(fēng)險阻擋在網(wǎng)絡(luò)接入的邊緣，最大限度的保護了計算域中核心業(yè)務(wù)系統(tǒng)的安全。

    防火墻通常部署在計算域的前端，用于提供多層次的縱深安全防護。

    6．遠(yuǎn)程接入的實現(xiàn)

    隨著業(yè)務(wù)的發(fā)展，遠(yuǎn)程接入的需求越來越多，遠(yuǎn)程用戶通常通過Internet遠(yuǎn)程接入到企業(yè)的數(shù)據(jù)網(wǎng)絡(luò)之中，如圖4所示，其安全風(fēng)險很大。

    對于遠(yuǎn)程接入用戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的方式進行邊界防護。用戶通過在遠(yuǎn)端和總部之間建立VPN隧道的方式，并采用數(shù)據(jù)加密的方法，保證通信的安全。同時結(jié)合雙因素認(rèn)證的方式，對接入用戶采用高強度的認(rèn)證、授權(quán)和審計，控制遠(yuǎn)程接入的風(fēng)險。

    四、應(yīng)用實例

    某運營商為滿足網(wǎng)絡(luò)安全需求，對其DCN網(wǎng)絡(luò)進行了全面的安全加固，以下僅以邊界防護為例進行說明。

    1．某運營商骨干網(wǎng)絡(luò)建設(shè)現(xiàn)狀

    DCN網(wǎng)絡(luò)形成覆蓋全國31個省、直轄市的骨干網(wǎng)絡(luò)。整個骨干DCN網(wǎng)絡(luò)采用兩級結(jié)構(gòu)，由核心層和匯聚層兩個層次組成。

    DCN網(wǎng)絡(luò)存在以下安全問題。首先，DCN網(wǎng)作為多業(yè)務(wù)的承載平臺，需要針對應(yīng)用進行有效隔離措施。但目前由于各業(yè)務(wù)之間沒有實現(xiàn)很好的隔離，缺少統(tǒng)一的安全域劃分和安全域管理，從客戶端、交換機到路由器，部分地市存在不同類型業(yè)務(wù)設(shè)備混用的情況，給業(yè)務(wù)的安全帶來了較大隱患。其次，DCN網(wǎng)上諸多外聯(lián)網(wǎng)接口、互聯(lián)網(wǎng)入口和出口沒有統(tǒng)一管制，各省接口設(shè)置缺少統(tǒng)一規(guī)劃。第三，各省發(fā)展程度不一，作為DCN網(wǎng)“心臟”的EDC缺少嚴(yán)格的安全管理。最后，由于缺少對IP地址的有效監(jiān)控和管理，部分地區(qū)IP地址使用不符合集團統(tǒng)一規(guī)劃，給網(wǎng)絡(luò)安全帶來隱患。

    2．邊界防護的實施目標(biāo)

    根據(jù)DCN網(wǎng)安全狀況，為保護DCN網(wǎng)不同區(qū)域的安全性，防范未授權(quán)的訪問，杜絕非法的數(shù)據(jù)包在不同安全區(qū)域之間的傳遞，將攻擊阻擋在安全區(qū)域環(huán)境之外，在DCN骨干網(wǎng)邊界部署安全防護，保證網(wǎng)絡(luò)安全狀況的可知和可控，確保DCN骨干網(wǎng)的安全，同時將省DCN網(wǎng)內(nèi)部的不安全因素控制在較小的范圍內(nèi)。

    3．邊界防護選用的技術(shù)

    （1）防火墻

    防火墻是常規(guī)的網(wǎng)絡(luò)邊界防護設(shè)備，便于對網(wǎng)絡(luò)邊界進行安全控制，但防火墻無法對病毒、蠕蟲等引起的惡意流量進行檢測。

    （2）IDS/IPS

    IDS/IPS是防火墻之后的第二道安全防線，在攻擊檢測、安全審計和監(jiān)控等方面都發(fā)揮了重要的作用。

    從檢測方法上看，IPS與IDS都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計等技術(shù)。這些檢測技術(shù)的特點是主要針對已知的攻擊類型，進行基于攻擊特征串的匹配。但對于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無論是IDS還是IPS都無法通過現(xiàn)有的檢測技術(shù)進行防范。

    （3）IDS/IPS的部署管理模式

    在DCN全網(wǎng)中部署入侵檢測產(chǎn)品有兩種部署管理模式可供選擇：集群部署管理模式和分布部署管理模式。采用集群部署管理模式可以保證網(wǎng)絡(luò)中部署的所有入侵檢測產(chǎn)品實時保持策略的同步，整體的安全策略能得到實時的部署，實時控制蠕蟲等惡意流量的蔓延和擴散，抵御各種威脅對網(wǎng)絡(luò)的影響。采用分布部署管理模式方便對各入侵檢測系統(tǒng)的策略進行配置，由于各入侵檢測系統(tǒng)是單獨設(shè)置管理，可以只針對特定的事件進行記錄上報，降低了對網(wǎng)絡(luò)資源的依賴性。

    4．實施方案

    如圖5所示，該方案解決了各省網(wǎng)絡(luò)與骨干網(wǎng)絡(luò)之間的邊界防護問題，在技術(shù)上選用IDS和IPS系統(tǒng)來實現(xiàn)。

    針對設(shè)備的部署管理模式，在DCN全國骨干網(wǎng)中設(shè)立兩到三個Cluster，管理員可以通過Cluster主結(jié)點的設(shè)備管理其余的從結(jié)點設(shè)備。各省的入侵檢測系統(tǒng)設(shè)備只需向集團的安全管理系統(tǒng)提供統(tǒng)計信息（如嚴(yán)重的安全威脅、最近X天的統(tǒng)計報告）等，由集團根據(jù)實際情況分析DCN全網(wǎng)的安全狀況，運行狀況參見圖6。

    小結(jié)

    信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)應(yīng)用初期，信息系統(tǒng)運行的穩(wěn)定性和可靠性是首先面臨的問題，除了系統(tǒng)本身的因素外，其最大的一類威脅就是來自網(wǎng)絡(luò)的入侵威脅。針對這類攻擊，防火墻、入侵檢測和防病毒產(chǎn)品的應(yīng)用已取得了明顯的效果。網(wǎng)絡(luò)邊界防護體系在技術(shù)上和應(yīng)用上都已經(jīng)相對成熟，并已經(jīng)形成了建立統(tǒng)一的邊界防護系統(tǒng)的趨勢。

    相對于網(wǎng)絡(luò)邊界防護體系的成熟，統(tǒng)一的身份認(rèn)證體系、統(tǒng)一的信息安全管理體系和規(guī)范的信息安全保密體系的建設(shè)卻顯得相對滯后。

    完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)志。信息安全保障體系的建設(shè)，必須進行科學(xué)的規(guī)劃，以用戶身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護和信息安全管理為輔助，建立全面有機的安全整體，從而建立真正有效的、能夠為信息化建設(shè)提供安全保障的平臺。