摘要: 一说到网络安全,基本都在说针对外部网络的安全,比如防火墙、IDS等,可是根据一些安全机构的调查,在企业遭受的入侵中,有70%以上的入侵来自于网络内部,特别是内网中的一些越权操作、违规操作会带来一些严重的问题。如果你是一名大中型网络里面的网络管理员,相信你一...
一说到网络安全,基本都在说针对外部网络的安全,比如防火墙、IDS等,可是根据一些安全机构的调查,在企业遭受的入侵中,有70%以上的入侵来自于网络内部,特别是内网中的一些越权操作、违规操作会带来一些严重的问题。如果你是一名大中型网络里面的网络管理员,相信你一定心有感触——做网管,真难!
在密级较高的网络中,如政府的内部网、大型企业涉及核心技术的部门、军工、航空航天部门,这些地方都应该是纯粹的“局域网”,彻底和外部的Internet隔离的,即使如此,也依然存在一些安全问题,下面我们分别论述,并给出相应的解决办法:
1、虽然是纯内网,但内部的一些WEB服务、电子邮件等也是需要进行安全防护的,特别是研发、设计等部门的内部论坛、FTP等需要进行严格的控制管理,如跨部门访问等均需要进行控制;
解决方法:
a、划分VLAN,分割不相关部门,如研发属于vlan1、生产属于vlan2、设计属于vlan3、领导班子网络属于vlan4……虽然配置稍微麻烦,并且如果将来需要修改配置也麻烦一些,但是这种从网络设备下手的做法还是比较彻底的;
b、很笨的方法:将网络中的所有计算机重新划分部门,不同部门都是独立的子网,互不干涉……
c、利用内网管理软件进行管理,比较方便,如图1:
这样就轻轻松松的禁止了网络中计算机对192.168.5.xxx范围内80端口的访问,并且会产生报警行为提醒管理员。
2、内部网络中的计算机可能带有Modem,并且由于电话的大量存在和带有Modem功能的手机的大量普及,对各种拨号设备需要进行严格的控制;
解决方法:
a、涉密网络中一律采用内线电话,对可以当Modem拨号用高档手机等设备进行严格管理,但是管理固定电话容易,手机太难……
b、用网络管理软件进行管理,此类的软件也不算少了,多数都可以对拨号的Modem进行管理,进行“允许/禁止”管理并且可以按照时间段进行管理,如图2:
还有的可以允许拨某个号码,如果集团内部有拨号服务器则可单独允许拨打该号码。
3、对文档的运行次数没有相关限制,如带给客户的演示文档只允许运行3次,然后自动销毁;再者针对涉密文件的操作没有相应记录。如设计院的图纸、研究所的图纸等,谁操作、什么时候操作、进行了什么操作等没有一个完整的审核体系;
解决方法:
市面上现在主要有两种产品可以对文件的操作
