【51CTO.com 獨(dú)家專訪】內(nèi)網(wǎng)是企業(yè)網(wǎng)絡(luò)最為核心與機(jī)密的平臺，內(nèi)網(wǎng)的安全與否不僅僅影響了企業(yè)信息的安全，同時也是保證業(yè)務(wù)連續(xù)性的關(guān)鍵問題。

由于行業(yè)的不同，對于內(nèi)網(wǎng)安全的需求也就不同，企業(yè)網(wǎng)絡(luò)架構(gòu)的方方面面都關(guān)乎著內(nèi)網(wǎng)的可靠性和安全性。那么我們?nèi)绾斡行У剡M(jìn)行一個內(nèi)網(wǎng)安全的管理呢？就此相關(guān)問題，我們采訪了酷6網(wǎng)信息化部高級項(xiàng)目經(jīng)理林鵬先生，看看他所規(guī)劃的內(nèi)網(wǎng)安全策略和管理是怎樣的。

[[29495]]

酷6網(wǎng)信息化部高級項(xiàng)目經(jīng)理 林鵬

51CTO：我們知道內(nèi)網(wǎng)安全是一個非常復(fù)雜的問題，針對小、中、大型企業(yè)或是不同的行業(yè)都有各自不同的內(nèi)網(wǎng)安全問題。那么，以目前來看，您所在的企業(yè)的內(nèi)網(wǎng)安全問題有哪些呢？

林鵬：目前公司已經(jīng)有一個具體的安全策略了，正在一步一步地實(shí)施當(dāng)中，同時伴隨著企業(yè)網(wǎng)絡(luò)的一些改建，然而以現(xiàn)階段來說，問題主要集中在身份驗(yàn)證，異常行為監(jiān)控，準(zhǔn)入控制以及內(nèi)網(wǎng)管理和策略的實(shí)施等幾個方面。例如怎樣防控具有針對性的內(nèi)網(wǎng)探測，VPN登入的相關(guān)管理等等。

51CTO：目前貴企業(yè)針對這些內(nèi)網(wǎng)安全問題使用了哪些管理手段或者是解決方案？

林鵬：針對剛才所說的幾個問題，目前我們剛剛完成有線和無線的802.1x相關(guān)部署，主要使用的產(chǎn)品是微軟和H3C的設(shè)備，通過802.1x加域控認(rèn)證的方式來達(dá)到一個公司需要的認(rèn)證要求。

另外，我還建立了監(jiān)控服務(wù)器，對公司的登入以及流量進(jìn)行一個監(jiān)控，對異常行為能夠達(dá)到一個告警的作用。例如有人會進(jìn)行一些用戶密碼猜測的行為，（通過異常行為監(jiān)控）都能及時地反映到我這里，從而能夠進(jìn)行一個快速地處理。

在這些策略實(shí)施的過程中，也暴露了一些平時沒有注意到的問題，比如，當(dāng)某員工用一個賬號進(jìn)行登錄的時候，在某一個vlan認(rèn)證失敗的同時，這個員工通過VPN，繞過認(rèn)證登錄，接入到內(nèi)網(wǎng)當(dāng)中。這在當(dāng)時是我沒有想到的問題，之后，通過其他手段將VPN登錄禁掉了，當(dāng)時是使用的微軟自帶的VPN系統(tǒng)，后來改成了思科的SSL VPN系統(tǒng)。

此外，我們還針對內(nèi)網(wǎng)的一些特定攻擊進(jìn)行了防護(hù)，例如ARP攻擊和DHCP的一些攻擊?，F(xiàn)在的主要操作是封掉了一些不必要的ARP流量，限制ARP發(fā)送速率，若超過規(guī)定的速率，會自動Down掉發(fā)送的端口，同時發(fā)送告警信息。另一方面，通過DHCP-snooping技術(shù)來防止DHCP的攻擊和中間人攻擊。

51CTO：那么以現(xiàn)在的狀況，您覺得還有哪些地方存在著不足，希望在（內(nèi)網(wǎng)安全）哪一方面進(jìn)行改進(jìn)？

林鵬：內(nèi)網(wǎng)安全包括管理，技術(shù)和基礎(chǔ)信息建設(shè)等幾個方面，我認(rèn)為在基礎(chǔ)信息建設(shè)這方面是尤為重要的。

打個比方，例如我們將整個安全事件分為事前-事中-事后三個部分，事前就是針對安全這塊所進(jìn)行的部署，就不多說了。就說在事中，如果發(fā)現(xiàn)一個IP地址有問題，檢測過程中發(fā)現(xiàn)此IP地址正在入侵內(nèi)網(wǎng)，你要靠多長時間來定位這個IP地址，是哪臺機(jī)器，是哪個人？想要快速地鎖定事發(fā)的人員，這個就要靠先期的一些基礎(chǔ)的信息記錄來完成，這就需要我們安全人員不管是拿到MAC地址、IP地址、人名或是計(jì)算機(jī)名字當(dāng)中的任何一個信息，都要將相關(guān)信息快速地關(guān)聯(lián)起來，從而定位目標(biāo)。

想要達(dá)到這個目的，就需要建立一個基礎(chǔ)信息的數(shù)據(jù)庫，并要經(jīng)常更新和維護(hù)的，所以對于基礎(chǔ)信息這塊還是需要不斷完善的。

51CTO：很多人說，內(nèi)網(wǎng)安全不僅僅是監(jiān)控網(wǎng)絡(luò)方面的安全問題，更是管理人的問題。對此您有什么看法？

林鵬：我對這方面的感觸也是比較深的，說道內(nèi)網(wǎng)安全最根本的就是"人"，因?yàn)槿耸亲畈蝗菀卓刂频?。如果在企業(yè)當(dāng)中，每一個員工都有一個良好的安全意識，那么這個企業(yè)的安全工作肯定會做的非常完善。對于安全管理人員來說，整個企業(yè)的人都是來幫助你完善這個工作，你不是孤立的，大家都在自覺地配合你。

當(dāng)然，你也要配合大家來做好安全工作。首先，我們要清楚，內(nèi)網(wǎng)安全的管理者，并不是一個阻止者。你的過多的安全措施可能會讓員工們感到厭煩，你要從員工的角度出發(fā)，告訴他們，按照你的安全措施做，他們會得到什么好處，站在員工這一邊的話，告訴他們?nèi)绱瞬僮魇菍λ麄冇欣模麄円苍S會幫助你，至少比站在對立面來說是更好的方式。

另外，我還會定期給員工們進(jìn)行一些安全的培訓(xùn)，例如大講堂，發(fā)一些技術(shù)操作郵件這類的形式。還有，領(lǐng)導(dǎo)們的幫助也是必不可少，往往領(lǐng)導(dǎo)的推動作用，安全制度的有效實(shí)施才是最關(guān)鍵的。

51CTO：以您的了解，目前市場上的一些內(nèi)網(wǎng)安全產(chǎn)品所提供的技術(shù)管理體系是否能和企業(yè)的內(nèi)網(wǎng)安全制度結(jié)合在一起？存在的問題有哪些？

林鵬：個人認(rèn)為，現(xiàn)在的安全產(chǎn)品都是大同小異的，比的都是誰更人性化而已。然而這些東西都是由人來操作的，也在于領(lǐng)導(dǎo)對其安全策略的重視程度。如果，領(lǐng)導(dǎo)和管理人員都不重視這些問題，這些設(shè)備和產(chǎn)品也只是擺設(shè)。

結(jié)語：

在采訪過程中，林鵬還說過這樣一句話"有人的地方，就有江湖"，他是如此形容內(nèi)網(wǎng)安全管理的，可見內(nèi)網(wǎng)安全一切的根源還是"人"。只有將技術(shù)、管理、人，三者有機(jī)地結(jié)合在一起，才能構(gòu)建一個立體的內(nèi)網(wǎng)安全壁壘。

進(jìn)入內(nèi)網(wǎng)安全專題>>

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】