內(nèi)網(wǎng)安全管理面臨的問題

當(dāng)前電力行業(yè)內(nèi)網(wǎng)安全管理面臨不少問題，其中如何有效地對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)進(jìn)行管理，困擾了相當(dāng)多的IT管理人員。這些問題可分為如下幾類：

1) 終端計(jì)算機(jī)的安全加固

盡管多數(shù)電力企業(yè)對(duì)終端計(jì)算機(jī)的安全加固已經(jīng)采取了部分安全措施，例如安裝了防病毒軟件和個(gè)人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對(duì)終端計(jì)算機(jī)進(jìn)行漏洞掃描，督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁。但是，這些努力措施卻沒有起到應(yīng)有的效果。首先，企業(yè)管理者不能保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件；其次，即便安裝了這些防護(hù)軟件，用戶也常常因?yàn)楦鞣N原因無法及時(shí)更新病毒庫，也不知道如何正確配置防火墻策略；另外，系統(tǒng)漏洞掃描雖然可以獲得終端計(jì)算機(jī)的補(bǔ)丁缺失情況，但是卻缺乏有效的補(bǔ)丁安裝手段。所有這些因素，均導(dǎo)致終端計(jì)算機(jī)的安全無法保障。

2) 終端計(jì)算機(jī)的接入控制

電力行業(yè)企業(yè)一般來說都屬于大中型企業(yè)，內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量眾多。IT管理人員很難統(tǒng)計(jì)內(nèi)網(wǎng)計(jì)算機(jī)的確切數(shù)量，也無法區(qū)分哪些是內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，哪些是外來的非授權(quán)使用的計(jì)算機(jī)。這種狀況下，很難控制外來人員隨意的計(jì)算機(jī)接入。很容易導(dǎo)致企業(yè)內(nèi)網(wǎng)機(jī)密信息的泄漏，往往等泄密事件發(fā)生了，卻還無法判斷到底是哪一個(gè)環(huán)節(jié)出了差錯(cuò)。
另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬，IT管理人員也無法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。往往需要花費(fèi)很長的時(shí)間才能判斷和定位該計(jì)算機(jī)，然后再通過手動(dòng)的方式斷網(wǎng)。對(duì)安全強(qiáng)度差的終端計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測(cè)和內(nèi)網(wǎng)接入控制，是IT管理人員比較頭疼的問題之一。

3) 終端計(jì)算機(jī)的行為監(jiān)控

在電力行業(yè)中，內(nèi)網(wǎng)的建設(shè)和使用的確為企業(yè)提供了效率增長的工具，但是部分企業(yè)卻發(fā)現(xiàn)恰恰正是由于內(nèi)網(wǎng)的使用，反而導(dǎo)致部分員工的工作效率成倍下降。這主要是由于這些員工經(jīng)常利用終端計(jì)算機(jī)進(jìn)行與業(yè)務(wù)無關(guān)的互聯(lián)網(wǎng)訪問、文件下載、網(wǎng)絡(luò)聊天、玩計(jì)算機(jī)游戲?？措娪暗取Ｊ紫?，這些用戶行為給企業(yè)造成了生產(chǎn)力損失，降低了工作效率；其次，員工對(duì)互聯(lián)網(wǎng)的過渡訪問會(huì)占用企業(yè)極大的網(wǎng)絡(luò)帶寬，給正常用戶的網(wǎng)絡(luò)使用造成沖擊；另外，上網(wǎng)會(huì)增加終端計(jì)算機(jī)感染病毒和木馬的可能性，給內(nèi)網(wǎng)帶來新的安全隱患和風(fēng)險(xiǎn)。因此，如何規(guī)范員工的終端計(jì)算機(jī)使用，并對(duì)其行為進(jìn)行控制，給IT管理人員提出了新的課題。

4) 終端計(jì)算機(jī)的配置管理

對(duì)于電力行業(yè)龐大的企業(yè)網(wǎng)絡(luò)和眾多的終端計(jì)算機(jī)，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本無法做到對(duì)計(jì)算機(jī)配置信息的準(zhǔn)確掌握，對(duì)計(jì)算機(jī)配置的變化也無法及時(shí)跟蹤。例如，要準(zhǔn)確掌握每臺(tái)計(jì)算機(jī)的軟硬件配置信息，通過手工方式將是非常耗時(shí)和繁瑣的工作。要想實(shí)時(shí)并準(zhǔn)確地掌握內(nèi)網(wǎng)終端計(jì)算機(jī)的配置狀況與配置變更狀況，必須通過技術(shù)手段和工具來輔助實(shí)現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。

5) 終端計(jì)算機(jī)的遠(yuǎn)程維護(hù)

對(duì)于網(wǎng)絡(luò)規(guī)模普遍較大的電力企業(yè)來說，終端計(jì)算機(jī)的數(shù)量眾多，IT管理人員無法實(shí)時(shí)掌握每臺(tái)終端計(jì)算機(jī)的運(yùn)行狀態(tài)。當(dāng)終端計(jì)算機(jī)出現(xiàn)故障需要維護(hù)時(shí)，IT管理人員如果采用現(xiàn)場(chǎng)維護(hù)的方式，一方面增加了人力成本，另外由于人力資源有限，也無法保證維護(hù)的及時(shí)性。如何實(shí)時(shí)監(jiān)視終端計(jì)算機(jī)的運(yùn)行狀況，并且方便地對(duì)終端計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是IT管理人員迫切需要解決的問題。

內(nèi)網(wǎng)安全管理解決方案

針對(duì)以上幾類IT管理人員面臨的終端計(jì)算機(jī)管理問題，隨著近年來網(wǎng)絡(luò)安全焦點(diǎn)從互聯(lián)網(wǎng)向企業(yè)內(nèi)網(wǎng)的轉(zhuǎn)移，電力行業(yè)部分企業(yè)也采取了一些終端管理措施，并取得了一定的效果。隨著企業(yè)信息化水平和IT管理人員技術(shù)水平的提升，電力行業(yè)對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)的管理逐漸形成了較為完善的、符合本行業(yè)特點(diǎn)的內(nèi)網(wǎng)安全管理解決方案。在探索內(nèi)網(wǎng)安全管理解決方案的同時(shí)，也出現(xiàn)了一些新的需求趨勢(shì)。

1) 安全加固解決方案

對(duì)終端計(jì)算機(jī)的安全加固可采取的措施有：補(bǔ)丁管理、防病毒軟件監(jiān)測(cè)、主機(jī)防火墻。這些措施均增強(qiáng)了終端計(jì)算機(jī)的安全性和健壯性。

補(bǔ)丁管理

通過補(bǔ)丁管理，能夠?qū)?nèi)網(wǎng)終端計(jì)算機(jī)缺失補(bǔ)丁進(jìn)行定期檢測(cè)和自動(dòng)安裝與更新，保證系統(tǒng)與軟件缺陷一經(jīng)發(fā)現(xiàn)便可及時(shí)修補(bǔ)。通過補(bǔ)丁分發(fā)管理，大大減少了操作系統(tǒng)和應(yīng)用軟件漏洞被利用所造成的安全隱患和經(jīng)濟(jì)損失。同時(shí)，IT管理人員還可以實(shí)時(shí)統(tǒng)計(jì)當(dāng)前各終端計(jì)算機(jī)的補(bǔ)丁缺失情況、補(bǔ)丁安裝情況以及補(bǔ)丁安裝的進(jìn)度等，得到全網(wǎng)的終端計(jì)算機(jī)補(bǔ)丁安裝快照。方便了對(duì)補(bǔ)丁分發(fā)過程的監(jiān)控。

防病毒軟件監(jiān)測(cè)

通過防病毒軟件監(jiān)測(cè)，可以判斷終端計(jì)算機(jī)是否安裝了防病毒軟件、防病毒軟件運(yùn)行是否正常以及病毒庫是否保持最新等情況。如果以上幾條不滿足設(shè)定的策略要求，監(jiān)測(cè)系統(tǒng)可以向IT管理人員發(fā)送報(bào)警信息。另外，監(jiān)測(cè)系統(tǒng)還可阻斷終端計(jì)算機(jī)的內(nèi)網(wǎng)接入和內(nèi)網(wǎng)訪問，確保易被感染的終端計(jì)算機(jī)無法使用內(nèi)網(wǎng)。

主機(jī)防火墻

通過主機(jī)防火墻，一方面，可以阻斷來自外部的入侵，防止外來入侵給終端計(jì)算機(jī)帶來危害；另一方面，也可以對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)訪問行為進(jìn)行控制，防止內(nèi)網(wǎng)用戶對(duì)網(wǎng)絡(luò)資源的濫用行為，如BT下載導(dǎo)致網(wǎng)絡(luò)帶寬過渡占用。
通過以上加固措施，使得終端計(jì)算機(jī)的安全強(qiáng)度和抵抗安全風(fēng)險(xiǎn)能力大大提高。更進(jìn)一步，還可以對(duì)未及時(shí)更新補(bǔ)丁、未安裝防病毒軟件的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)訪問控制和隔離，使其形成內(nèi)網(wǎng)中的“孤島”。避免該終端計(jì)算機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)造成安全威脅。

2) 接入控制解決方案

所謂的接入控制，是指對(duì)接入內(nèi)網(wǎng)的終端計(jì)算機(jī)進(jìn)行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資源。通過接入控制，可以將外來計(jì)算機(jī)阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差（未及時(shí)安裝補(bǔ)丁和防火墻軟件）的計(jì)算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。

ARP欺騙阻斷

對(duì)于非授權(quán)計(jì)算機(jī)和不安全的計(jì)算機(jī)可以采用ARP欺騙的方式，用虛假的MAC地址刷新目標(biāo)計(jì)算機(jī)的ARP緩存，導(dǎo)致該計(jì)算機(jī)無法與內(nèi)網(wǎng)其它設(shè)備通訊，達(dá)到阻止其訪問網(wǎng)絡(luò)資源的目的。

與交換機(jī)聯(lián)動(dòng)阻斷

更進(jìn)一步的技術(shù)則是通過與交換機(jī)的聯(lián)動(dòng)，自動(dòng)判斷接入計(jì)算機(jī)的交換機(jī)接口，如果發(fā)現(xiàn)接入計(jì)算機(jī)未經(jīng)過授權(quán)或者安全性較差，則通知交換機(jī)禁用該計(jì)算機(jī)所在的端口。徹底阻斷計(jì)算機(jī)的接入。

以上兩種方式各有優(yōu)缺點(diǎn)，如果能夠配合使用，則可極大提高計(jì)算機(jī)接入控制能力。通過接入控制，可最大限度地保證內(nèi)網(wǎng)的整體安全性。

3) 行為監(jiān)控解決方案

對(duì)于用戶數(shù)量達(dá)到上千的電力企業(yè)，如何規(guī)范內(nèi)網(wǎng)用戶行為，是節(jié)約成本、提高效率的關(guān)鍵因素之一。對(duì)用戶行為的監(jiān)控，包括用戶網(wǎng)絡(luò)資源的使用是否合理、是否進(jìn)行了與工作無關(guān)的網(wǎng)絡(luò)訪問等。如：BT下載、MSN/QQ聊天、瀏覽與工作無關(guān)的網(wǎng)站、玩電腦游戲、觀看視頻、聽音樂等。

進(jìn)程監(jiān)控

通過對(duì)終端計(jì)算機(jī)運(yùn)行的進(jìn)程進(jìn)行監(jiān)控，可以發(fā)現(xiàn)用戶正在運(yùn)行的程序?？梢酝ㄟ^進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如游戲、攻擊工具、視頻播放器、MP3播放器等。限制用戶利用計(jì)算機(jī)進(jìn)行與工作無關(guān)的操作。

上網(wǎng)控制

通過對(duì)終端計(jì)算機(jī)的上網(wǎng)控制，可以限定終端計(jì)算機(jī)的網(wǎng)站訪問、網(wǎng)絡(luò)聊天和BT下載行為，使得終端計(jì)算機(jī)的用戶行為得到有效控制，既可避免用戶濫用網(wǎng)絡(luò)資源，又能降低隨意瀏覽互聯(lián)網(wǎng)帶來的安全隱患。

內(nèi)網(wǎng)安全管理在電力行業(yè)至關(guān)重要，以上內(nèi)容主要強(qiáng)調(diào)了內(nèi)網(wǎng)安全的問題幾部分解決方案，我們還會(huì)在以后的文章中繼續(xù)向大家介紹。

【編輯推薦】

1. 網(wǎng)吧怎么實(shí)現(xiàn)內(nèi)網(wǎng)雙千兆
2. 如何打造企業(yè)內(nèi)網(wǎng)安全
3. 內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道