【51CTO.com 獨(dú)家專(zhuān)訪】?jī)?nèi)網(wǎng)是企業(yè)網(wǎng)絡(luò)最為核心與機(jī)密的平臺(tái)，內(nèi)網(wǎng)的安全與否不僅僅影響了企業(yè)信息的安全，同時(shí)也是保證業(yè)務(wù)連續(xù)性的關(guān)鍵問(wèn)題。

由于行業(yè)的不同，對(duì)于內(nèi)網(wǎng)安全的需求也就不同，企業(yè)網(wǎng)絡(luò)架構(gòu)的方方面面都關(guān)乎著內(nèi)網(wǎng)的可靠性和安全性。那么我們?nèi)绾斡行У剡M(jìn)行一個(gè)內(nèi)網(wǎng)安全的管理呢？就此相關(guān)問(wèn)題，我們采訪了酷6網(wǎng)信息化部高級(jí)項(xiàng)目經(jīng)理林鵬先生，看看他所規(guī)劃的內(nèi)網(wǎng)安全策略和管理是怎樣的。

[[29495]]

酷6網(wǎng)信息化部高級(jí)項(xiàng)目經(jīng)理 林鵬

51CTO：我們知道內(nèi)網(wǎng)安全是一個(gè)非常復(fù)雜的問(wèn)題，針對(duì)小、中、大型企業(yè)或是不同的行業(yè)都有各自不同的內(nèi)網(wǎng)安全問(wèn)題。那么，以目前來(lái)看，您所在的企業(yè)的內(nèi)網(wǎng)安全問(wèn)題有哪些呢？

林鵬：目前公司已經(jīng)有一個(gè)具體的安全策略了，正在一步一步地實(shí)施當(dāng)中，同時(shí)伴隨著企業(yè)網(wǎng)絡(luò)的一些改建，然而以現(xiàn)階段來(lái)說(shuō)，問(wèn)題主要集中在身份驗(yàn)證，異常行為監(jiān)控，準(zhǔn)入控制以及內(nèi)網(wǎng)管理和策略的實(shí)施等幾個(gè)方面。例如怎樣防控具有針對(duì)性的內(nèi)網(wǎng)探測(cè)，VPN登入的相關(guān)管理等等。

51CTO：目前貴企業(yè)針對(duì)這些內(nèi)網(wǎng)安全問(wèn)題使用了哪些管理手段或者是解決方案？

林鵬：針對(duì)剛才所說(shuō)的幾個(gè)問(wèn)題，目前我們剛剛完成有線和無(wú)線的802.1x相關(guān)部署，主要使用的產(chǎn)品是微軟和H3C的設(shè)備，通過(guò)802.1x加域控認(rèn)證的方式來(lái)達(dá)到一個(gè)公司需要的認(rèn)證要求。

另外，我還建立了監(jiān)控服務(wù)器，對(duì)公司的登入以及流量進(jìn)行一個(gè)監(jiān)控，對(duì)異常行為能夠達(dá)到一個(gè)告警的作用。例如有人會(huì)進(jìn)行一些用戶密碼猜測(cè)的行為，（通過(guò)異常行為監(jiān)控）都能及時(shí)地反映到我這里，從而能夠進(jìn)行一個(gè)快速地處理。

在這些策略實(shí)施的過(guò)程中，也暴露了一些平時(shí)沒(méi)有注意到的問(wèn)題，比如，當(dāng)某員工用一個(gè)賬號(hào)進(jìn)行登錄的時(shí)候，在某一個(gè)vlan認(rèn)證失敗的同時(shí)，這個(gè)員工通過(guò)VPN，繞過(guò)認(rèn)證登錄，接入到內(nèi)網(wǎng)當(dāng)中。這在當(dāng)時(shí)是我沒(méi)有想到的問(wèn)題，之后，通過(guò)其他手段將VPN登錄禁掉了，當(dāng)時(shí)是使用的微軟自帶的VPN系統(tǒng)，后來(lái)改成了思科的SSL VPN系統(tǒng)。

此外，我們還針對(duì)內(nèi)網(wǎng)的一些特定攻擊進(jìn)行了防護(hù)，例如ARP攻擊和DHCP的一些攻擊。現(xiàn)在的主要操作是封掉了一些不必要的ARP流量，限制ARP發(fā)送速率，若超過(guò)規(guī)定的速率，會(huì)自動(dòng)Down掉發(fā)送的端口，同時(shí)發(fā)送告警信息。另一方面，通過(guò)DHCP-snooping技術(shù)來(lái)防止DHCP的攻擊和中間人攻擊。

51CTO：那么以現(xiàn)在的狀況，您覺(jué)得還有哪些地方存在著不足，希望在（內(nèi)網(wǎng)安全）哪一方面進(jìn)行改進(jìn)？

林鵬：內(nèi)網(wǎng)安全包括管理，技術(shù)和基礎(chǔ)信息建設(shè)等幾個(gè)方面，我認(rèn)為在基礎(chǔ)信息建設(shè)這方面是尤為重要的。

打個(gè)比方，例如我們將整個(gè)安全事件分為事前-事中-事后三個(gè)部分，事前就是針對(duì)安全這塊所進(jìn)行的部署，就不多說(shuō)了。就說(shuō)在事中，如果發(fā)現(xiàn)一個(gè)IP地址有問(wèn)題，檢測(cè)過(guò)程中發(fā)現(xiàn)此IP地址正在入侵內(nèi)網(wǎng)，你要靠多長(zhǎng)時(shí)間來(lái)定位這個(gè)IP地址，是哪臺(tái)機(jī)器，是哪個(gè)人？想要快速地鎖定事發(fā)的人員，這個(gè)就要靠先期的一些基礎(chǔ)的信息記錄來(lái)完成，這就需要我們安全人員不管是拿到MAC地址、IP地址、人名或是計(jì)算機(jī)名字當(dāng)中的任何一個(gè)信息，都要將相關(guān)信息快速地關(guān)聯(lián)起來(lái)，從而定位目標(biāo)。

想要達(dá)到這個(gè)目的，就需要建立一個(gè)基礎(chǔ)信息的數(shù)據(jù)庫(kù)，并要經(jīng)常更新和維護(hù)的，所以對(duì)于基礎(chǔ)信息這塊還是需要不斷完善的。

51CTO：很多人說(shuō)，內(nèi)網(wǎng)安全不僅僅是監(jiān)控網(wǎng)絡(luò)方面的安全問(wèn)題，更是管理人的問(wèn)題。對(duì)此您有什么看法？

林鵬：我對(duì)這方面的感觸也是比較深的，說(shuō)道內(nèi)網(wǎng)安全最根本的就是"人"，因?yàn)槿耸亲畈蝗菀卓刂频?。如果在企業(yè)當(dāng)中，每一個(gè)員工都有一個(gè)良好的安全意識(shí)，那么這個(gè)企業(yè)的安全工作肯定會(huì)做的非常完善。對(duì)于安全管理人員來(lái)說(shuō)，整個(gè)企業(yè)的人都是來(lái)幫助你完善這個(gè)工作，你不是孤立的，大家都在自覺(jué)地配合你。

當(dāng)然，你也要配合大家來(lái)做好安全工作。首先，我們要清楚，內(nèi)網(wǎng)安全的管理者，并不是一個(gè)阻止者。你的過(guò)多的安全措施可能會(huì)讓員工們感到厭煩，你要從員工的角度出發(fā)，告訴他們，按照你的安全措施做，他們會(huì)得到什么好處，站在員工這一邊的話，告訴他們?nèi)绱瞬僮魇菍?duì)他們有利的，他們也許會(huì)幫助你，至少比站在對(duì)立面來(lái)說(shuō)是更好的方式。

另外，我還會(huì)定期給員工們進(jìn)行一些安全的培訓(xùn)，例如大講堂，發(fā)一些技術(shù)操作郵件這類(lèi)的形式。還有，領(lǐng)導(dǎo)們的幫助也是必不可少，往往領(lǐng)導(dǎo)的推動(dòng)作用，安全制度的有效實(shí)施才是最關(guān)鍵的。

51CTO：以您的了解，目前市場(chǎng)上的一些內(nèi)網(wǎng)安全產(chǎn)品所提供的技術(shù)管理體系是否能和企業(yè)的內(nèi)網(wǎng)安全制度結(jié)合在一起？存在的問(wèn)題有哪些？

林鵬：個(gè)人認(rèn)為，現(xiàn)在的安全產(chǎn)品都是大同小異的，比的都是誰(shuí)更人性化而已。然而這些東西都是由人來(lái)操作的，也在于領(lǐng)導(dǎo)對(duì)其安全策略的重視程度。如果，領(lǐng)導(dǎo)和管理人員都不重視這些問(wèn)題，這些設(shè)備和產(chǎn)品也只是擺設(shè)。

結(jié)語(yǔ)：

在采訪過(guò)程中，林鵬還說(shuō)過(guò)這樣一句話"有人的地方，就有江湖"，他是如此形容內(nèi)網(wǎng)安全管理的，可見(jiàn)內(nèi)網(wǎng)安全一切的根源還是"人"。只有將技術(shù)、管理、人，三者有機(jī)地結(jié)合在一起，才能構(gòu)建一個(gè)立體的內(nèi)網(wǎng)安全壁壘。

進(jìn)入內(nèi)網(wǎng)安全專(zhuān)題>>

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】