前言：本站為你精心整理了企業(yè)內部網絡防范管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

編者按：本論文主要從內網安全風險分析；內網安全實施策略等進行講述，包括了病毒、蠕蟲入侵、軟件漏洞隱患、系統(tǒng)安全配置薄弱、脆弱的網絡接入安全防護、企業(yè)網絡入侵、終端用戶計算機安全完整性缺失、多層次的病毒、蠕蟲防護、終端用戶透明、自動化的補丁管理，安全配置、全面的網絡準入控制等，具體資料請見：

一、背景分析

提起網絡信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據(jù)權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網絡安全防護建設中，普遍采用傳統(tǒng)的內網邊界安全防護技術，即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網絡邊界安全防護技術，對網絡入侵進行監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失，保證組織業(yè)務流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業(yè)網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環(huán)境的安全保障，企業(yè)基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業(yè)中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業(yè)內網中，這種情況的存在給企業(yè)網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統(tǒng)以及網絡應用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內部網絡，發(fā)起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業(yè)內部的重要數(shù)據(jù)。

二、內網安全風險分析

現(xiàn)代企業(yè)的網絡環(huán)境是建立在當前飛速發(fā)展的開放網絡環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網絡面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業(yè)安全策略不能真正的得到很好的落實，開放的網絡給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護，特別是對新類型新變種的病毒、蠕蟲，防護技術總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內部網絡，除了利用企業(yè)網絡安全防護措施的漏洞外，最大的威脅卻是來自于內部網絡用戶的各種危險應用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網絡用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護措施就連接到危險的網絡環(huán)境中，特別是Internet；移動用戶計算機連接到各種情況不明網絡環(huán)境，在沒有采取任何防護措施的情況下又連入企業(yè)網絡；桌面用戶在終端使用各種數(shù)據(jù)介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網絡中，給企業(yè)信息基礎設施，企業(yè)業(yè)務帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網絡通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設備，重者成為攻擊整個企業(yè)網絡媒介，危及整個企業(yè)網絡安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網絡建設中應用的各種軟件系統(tǒng)都有各自默認的安全策略增強的安全配置設置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統(tǒng)自身的安全防護的增強具有重要作用，但在實際的企業(yè)網絡環(huán)境中，這些安全配置卻被忽視，尤其是那些網絡的終端用戶，導致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患，黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網絡接入安全防護

傳統(tǒng)的網絡訪問控制都是在企業(yè)網絡邊界進行的，或在不同的企業(yè)內網不同子網邊界進行且在網絡訪問用戶的身份被確認后，用戶即可以對企業(yè)內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網絡安全漏洞，例如，企業(yè)網絡的合法移動用戶在安全防護較差的外網環(huán)境中使用VPN連接、遠程撥號、無線AP，以太網接入等等網絡接入方式，在外網和企業(yè)內網之間建立一個安全通道。

另一個傳統(tǒng)網絡訪問控制問題來自企業(yè)網絡內部，尤其對于大型企業(yè)網絡擁有成千上萬的用戶終端，使用的網絡應用層出不窮，目前對于企業(yè)網管很難準確的控制企業(yè)網絡的應用，這樣的現(xiàn)實導致安全隱患的產生：員工使用未經企業(yè)允許的網絡應用，如郵件服務器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內部員工在終端上私自使用未經允許的網絡應用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內部網絡，進而造成內部網絡中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網絡入侵

現(xiàn)階段黑客攻擊技術細分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統(tǒng)安全防護措施的企業(yè)內網來說，都沒有萬無一失的把握;對于從企業(yè)內網走出到安全防護薄弱的外網環(huán)境的移動用戶來說，安全保障就會嚴重惡化，當移動用戶連接到企業(yè)內網，就會將各種網絡入侵帶入企業(yè)網絡。

6.終端用戶計算機安全完整性缺失

隨著網絡技術的普及和發(fā)展，越來越多的員工會在企業(yè)專網以外使用計算機辦公，同時這些移動員工需要連接回企業(yè)的內部網絡獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網的保護之外，很有可能被黑客攻陷或感染網絡病毒。同時，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態(tài)，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內部網絡的跳板。

三、內網安全實施策略

1.多層次的病毒、蠕蟲防護

病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補丁管理，安全配置

為了彌補和糾正運行在企業(yè)網絡終端設備的系統(tǒng)軟件、應用軟件的安全漏洞，使整個企業(yè)網絡安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺集中管理企業(yè)網絡終端設備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網絡的安全風險，提高企業(yè)網絡整體的補丁升級、安全配置管理效率和效用，使企業(yè)網絡的補丁及安全配置管理策略得到有效的落實。

3.全面的網絡準入控制

為了解決傳統(tǒng)的外網用戶接入企業(yè)網絡給企業(yè)網絡帶來的安全隱患，以及企業(yè)網絡安全管理人員無法控制內部員工網絡行為給企業(yè)網絡帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內網、外網以各種網絡接入方式接入企業(yè)網絡的訪問控制問題，同時對傳統(tǒng)的網絡邊界訪問控制沒有解決的網絡接入安全防護措施，而采用邊界準入控制、接入層準入控制等技術進行全面的實現(xiàn)準入控制。當外網用戶接入企業(yè)網絡時，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網訪問則放行。一個全面的網絡準入檢測系統(tǒng)。

4.終端設備安全完整性保證

主機完整性強制是確保企業(yè)網絡安全的關鍵組件。主機完整性可確保連接到企業(yè)網的客戶端正運行著所需的應用程序和數(shù)據(jù)文件。信息安全業(yè)界已經開發(fā)出了多種基于主機的安全產品，以確保企業(yè)網絡和信息的安全，阻止利用網絡連接技術、應用程序和操作系統(tǒng)的弱點和漏洞所發(fā)起的攻擊。并已充分采用了在個人防火墻、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術進步來有效地保護企業(yè)設備。然而，只有在充分保證這些安全技術的應用狀態(tài)、更新級別和策略完整性之后，才能享受這些安全技術給企業(yè)網絡安全帶來的益處。如果企業(yè)端點設備不能實施主機完整性，也就不能將該設備看成企業(yè)網絡受信設備。