內網的安全問題怎么樣解決

 在真實的世界里，確實有很多因技術因素而造成的內網安全困局，其中最重要的就是混雜平臺問題。即使在一些小企業當中，也可能存在著超過一種以上的操作系統環境。比如那些需要Windows操作系統處理日常辦公業務，同時又需要iMac進行設計工作的廣告公司。而一些組織雖然只使用一個廠商提供的操作系統，由于計算機硬件配置參差不齊，很難保證使用相同版本的操作系統。

　　就我們所見的一個酒店客戶來說，Novell的服務器系統是經常用來支撐酒店業務軟件運行的，而相匹配的終端甚至包括了遺留的DOS系統。通常文件服務和Web服務的控制要由windows 2003 Server或更高版本的服務器操作系統來完成，而辦公區域則混合著從windows 98到Windows XP等不同版本的桌面操作系統。

　　最直接的一點，由于混雜的操作系統種類，該酒店的管理員在處理防病毒、補丁更新、數據備份乃至各種內部應用服務的時候，都需要為這種情況付出大量的額外努力。

　　而在設備管理和跟蹤的過程中，也經常會出現一些死角，導致偶有未被登錄在案的計算機節點在網絡中工作而卻茫然不知?？梢哉f，投入到信息安全的成本有很大一部分都因為混雜平臺問題而被浪費掉了，這導致的最直接結果就是沒有更多的資源來真正提升內網安全防護的質量，從而形成了一個內網安全泥潭。

　　在看到羅列與此的這些問題時，安全管理員一定會有似曾相識的感覺。這個列表中的問題都相當常見而且流行，可以作為內網安全的優先關注點，也可以作為在選擇內網安全工具和技術解決方案時的映射目標，最重要的是我們需要正確地認識使用哪些技術可以有效地處理這些問題。

　　目前，國內也有很多CIO選擇TIPS安全防護平臺，對內網進行有效管理。通過建立四級的防護體系：首先就是以硬件級防護為基礎，建立可信可控的信息系統;其次，建立四級可信認證機制的縱深防御體系;接著是實現身份鑒別、介質管理、數據保護、安全審計、實時監控等一系列基本防護要求;最后，安全性、管理性并重，系統既突出安全性，更注重可管理性

　　系統安全補丁自動分發

　　很多管理員都知道微軟提供了應用于企業內部網絡的產品補丁更新解決方案，但是卻不見得都部署和使用過這種方式的更新，畢竟接入互聯網下載安全更新實在是太方便了。然而，在現實的應用環境中，并不是所有時候都可以簡單地讓所有終端計算機都不受控制地接入互聯網。

　　Windows服務器更新服務(WSUS)是相對常用的補丁更新工具，運行于服務器操作系統上，能夠向各種版本的、包含更新代理機制的桌面Windows操作系統傳遞和部署更新文件。而對于需要重啟控制、計劃安排、更新清單和更豐富管理界面的用戶來說，付費的系統管理服務器(SMS)將是一個不錯的選擇。

　　不過，在遇到混雜平臺環境時，微軟的產品就無法滿足需要了，企業可能需要求助于CA的Unicenter這樣的第三方商業產品來管理各種不同操作系統的補丁更新。對于Linux等非微軟操作系統來說，對面向企業應用環境的更新分發工具的需要似乎還沒有那么迫切，不過隨著這些操作系統使用比例的提高，也是該重視起來的時候了。

　　加密電子文檔同時不影響正常使用

　　對于數據安全來說，根據數據所對應的安全等級進行適當的加密保護是最基本的手段之一。就那些相對公開化的業務應用來說，基于公鑰加密和證書認證等手段的體系是相對比較成熟和流行的，而PKI則是其中最典型的代表。一般常用的CA體系架構相對簡便，也具有絕大多數用戶所需的功能。

　　從存儲數據的各個計算機節點來說，現在有大量免費的加密工具和數據擦除工具可用。不過其提供的保密級別往往較低，而且在操作系統層以及應用層進行加密，往往會衍生出其他的安全問題。對于密級較高的電子文檔，應該盡可能應用BIOS防護卡等硬件設備，限制數據的存取，并通過芯片級加密保護硬盤上的數據。

　　另外，目前基于USB接口的存儲設備比如U盤、移動硬盤等，也可以通過智能判斷和權限控制功能，來對其中的數據進行更好的安全管理。在更加高端的領域，用戶可能需要對數據的流向采取非常嚴格的控制，甚至規定必須使用簽收刻錄光盤的方式來交換某些數據。對于這類問題國內廠商已經提出了不少有效的解決方案。

　　例如鼎普科技的數據單向導入管理系統就相當具有創新意義，這個系統利用了光纖單向傳輸的特性，在物理層保證數據的流向正確。在使用過程中，鼎普科技的設備一端連入存儲涉密數據的計算機終端，一端連入U盤等數據源，即可實現數據的安全存入，而不會出現涉密數據被非法泄漏的問題。從中可以看出，作為以文檔加密作為內網安全起點的國內用戶來說，也許確實只有國內的廠商才真正了解國內用戶的需求。

　　防止擴散的無線信號泄漏組織的有價值數據

　　以Wi-Fi為代表的無線局域網技術似乎已經成為便利性與安全性相互制約的一個經典示例了。盡管Wi-Fi本身的安全性一直相對脆弱，但是在內部網絡中提供無線接入能力仍舊成為越來越多企業的選擇。對于Wi-Fi無線接入點的管理應該具有相對較高的安全強度和級別，至少不能將其與其它普通的網絡節點等同視之。

　　應用WPA加密無線數據通信是必要的，盡管只要攻擊者有足夠的耐心，還是可能從嗅探到的數據中破解密鑰，但是其難度相對于WEP等舊有加密方式來說無疑要困難得多。如果需要更高的安全級別，可以考慮在無線鏈路上增加令牌驗證和VPN訪問控制等手段，以提供較強的安全控管能力。

　　對各種移動終端進行接入控制

　　對于筆記本電腦以及越來越多的智能手機終端，企業所能做的安全管理似乎總顯得有些力不從心。除了對無線局域網接入進行控制之外，這類終端可能引起的問題還有很多。藍牙作為極為通用和具有時尚意味的連接方式，安全性卻存在一些脆弱點。

　　為了更好地和其它藍牙設備進行連接，藍牙往往被設置成相對較低的安全認證等級，而事實上很多設備在出廠時默認就被設為最低的級別，比如大部分的手機產品都是如此。由于僅在鏈路層提供有限的安全控制，所以藍牙安全更多地依賴于上層協議甚至應用層來進行安全管理。

　　想真正實現藍牙安全應該強制性地在藍牙傳送數據時結合其它安全驗證措施。雖然這通常很難處理，但不應該被忽視。對于手持設備來說，WAP站點訪問是提供業務處理和辦公信息獲取的通行方式之一。WTLS協議雖然出于性能考慮已經做了一些簡化，但是仍是一種具有較高安全性的解決方案。

　　另外一個通行的原則是盡量將WAP網關置于防火墻保護之后，因為數據在到達WAP網關后往往會被解密而失去了WTLS的保護，在其流出WAP網關之后往往容易被俘獲。