1 引言
随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新,以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,企业管理者不再简单满足于架设防火墙和防病毒等安全产品,内网安全管理体系已经越来越得到企业安全管理者的重视。而内网安全管理又相比较边界网络管理更加复杂,本文就是从一个安全行业从业者的角度提出一些内网安全管理的经验和办法。
2 内网安全建设理论
1、外部域,外部域主要是指企业外部接入部分和企业对外提供服务的逻辑边界部分,如企业对外提供访问的WEB服务器、EMAIL服务器等。
2、接入域,接入域主要指企业内部局域网的办公、运维和生产用机,在接入域中又可以划分为内部用户域、外部用户域、管理员域。内部用户域主要是指企业办公人员所使用主机、PC机等逻辑区域;外部用户域主要针对第三方人员访问时候的网络接入区域;管理员域是指企业运维人员办公设备所在用区域。
3、内部域,内部域主要是指企业实行大集中时候,各业务系统主机所放置区域,内部域又可划分为核心处理域和开发测试域,其中业务系统服务器和数据库归入核心处理域,开发测试域主要包括了企业内部自开发软件所使用的环境,如测试服务器,开发服务器等。
#p#分页标题#e#
下图为典型企业的安全域划分拓扑图,从下图可以看出,企业划分了外部域、接入域和内部域,外部域主要是防火墙DMZ区域内的对外提供服务的服务器区域;接入域主要包括内部局域网的办公客户端、管理员客户端和第三方访问用户的客户端,同时也包括各分支机构的办公客户端,由于采用了VPN技术,我们可以把分支机构网络认为是企业的内部网络;内部域主要包括各业务系统的生产服务器和开发、测试服务器。
| APDR模型 | 层次 | 需求 | 解决方案 |
| 防护 | 网络层 | 由于访问控制不严格,可能导致内网蠕虫病毒、木马的扩散 | 设置细粒度的内部用户域、外部用户域和管理员之间以及到内部域、外部域的访问控制措施 |
| 系统层 | 接入域最多发生的安全事件主要是蠕虫、病毒的侵袭,做好PC终端的安全措施尤其重要 | 建立WSUS等自动补丁升级系统及时打补丁;建立防病毒体系;基于类似ARP木马的不可查杀性,加固各PC机安全设置,尤其是共享设置 | |
| 监测 | 网络层 | 内部恶意攻击、窃取、嗅探口令事件越来越多 | 设置NIDS入侵监测系统进行实时监控 |
| 备份与恢复 | 管理员域的管理数据信息往往是企业IT信息的重要部分 | 备份域控制器AD目录,各网络设备、操作系统、数据库、应用软件配置等 |
| APDR模型 | 层次 | 需求 | 解决方案 |
| 防护 | 网络层 | 访问控制不严格可能导致内部人员恶意访问关键服务器 | 添加逻辑隔离设备,并设置细粒度的访问控制措施,一般内部域无法主动访问外部域和接入域,对于接入域的访问必须限制访问端口等措施 |
| 系统层 | 各业务系统服务器面临底层操作系统、中间件等安全漏洞 | 生产机需谨慎打补丁,一般可以先做测试后,再进行补丁安装或者采用具有可逆性的系统加固方法进行漏洞弥补 | |
| 应用层 | 业务系统开发时用户身份认证、鉴别、传输保护等考虑未周到 | 若暂时无法进行软件升级,可采用制度规范等方式强制口令长度、复杂度和数据加密工具使用 | |
| 监测 | 网络层 | 内部恶意攻击、窃取、嗅探口令事件越来越多 | 设置NIDS入侵监测系统进行实时监控 |
| 备份与恢复 | 数据的可用性要求比较高 | 数据库数据的容灾和备份 |
相关内网安全管理解决方案