第四章網(wǎng)絡(luò)安全技術(shù)-內(nèi)網(wǎng)監(jiān)管技術(shù)計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)內(nèi)部攻擊與外部攻擊傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)（如防火墻等）主要考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊防火墻、入侵檢測系統(tǒng)和VPN等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)都是針對這一目標(biāo)設(shè)計和實現(xiàn)外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來自于外部網(wǎng)絡(luò)，其途徑主要通過內(nèi)外網(wǎng)邊界出口只要將網(wǎng)絡(luò)邊界的安全控制措施做好，就可以確保整個網(wǎng)絡(luò)的安全內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)部攻擊與外部攻擊（續(xù)）內(nèi)部網(wǎng)絡(luò)用戶同樣會帶來安全威脅不誠實的公司員工會通過移動硬盤等移動存儲設(shè)備將公司機密或敏感信息拷貝帶出內(nèi)部用戶也可能因為對公司不滿而從內(nèi)部發(fā)動網(wǎng)絡(luò)攻擊內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管內(nèi)網(wǎng)監(jiān)管技術(shù)是針對局域網(wǎng)內(nèi)的用戶終端和網(wǎng)絡(luò)設(shè)備進行監(jiān)視和控制，規(guī)范內(nèi)部網(wǎng)絡(luò)用戶的行為、防止敏感信息的泄漏。假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的威脅既可能來自外網(wǎng)，也可能來自內(nèi)網(wǎng)的任何一個節(jié)點上內(nèi)網(wǎng)監(jiān)管技術(shù)在內(nèi)網(wǎng)安全的威脅模型下，需要對內(nèi)部網(wǎng)絡(luò)中的所有節(jié)點和參與者進行細(xì)致的管理，從而實現(xiàn)一個可管理、可控制和可信任的內(nèi)網(wǎng)。實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法1、合理劃分和管理內(nèi)網(wǎng)與外網(wǎng)的邊界網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊為了防御內(nèi)部攻擊，必須首先知道內(nèi)網(wǎng)和外網(wǎng)的邊界內(nèi)網(wǎng)監(jiān)管技術(shù)隨著網(wǎng)絡(luò)連接方式的增加（如無線接入、移動接入）和業(yè)務(wù)范疇的拓展，對網(wǎng)絡(luò)邊界的劃分往往非常復(fù)雜和困難。可以根據(jù)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的重要性等來劃分網(wǎng)絡(luò)邊界實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法2、限制VPN的訪問虛擬專用網(wǎng)（VPN）用戶可以從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資內(nèi)部資源將不在內(nèi)部防御系統(tǒng)的管理范圍內(nèi)，從而帶來信息泄露等風(fēng)險內(nèi)網(wǎng)監(jiān)管技術(shù)要盡量避免給VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限，從而防止VPN用戶濫用權(quán)限而帶來數(shù)據(jù)泄露等威脅。減少VPN訪問或者嚴(yán)格限制使用VPN的用戶的權(quán)限，并盡量采用網(wǎng)絡(luò)隔離等技術(shù)，將內(nèi)部網(wǎng)絡(luò)中重要的資源隔離在VPN用戶訪問權(quán)限之外實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法3、實時、自動跟蹤安全策略的變化隨著業(yè)務(wù)的變化其安全策略也會不斷變換安全策略的管理是一個動態(tài)的過程，必須建立動態(tài)、智能的安全策略變化跟蹤與管理機制內(nèi)網(wǎng)監(jiān)管技術(shù)例如，必須建立實時跟蹤企業(yè)員工的雇傭和解雇的變化，以便當(dāng)員工離職時及時調(diào)整賬戶及權(quán)限等安全策略。實時跟蹤網(wǎng)絡(luò)資源利用情況并記錄，從而自動地調(diào)整安全策略，確保資源不被濫用實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法4、嚴(yán)格限制網(wǎng)絡(luò)服務(wù)和外設(shè)服務(wù)大型企業(yè)可能提供WEB、電子郵件、文件傳輸?shù)雀鞣N網(wǎng)絡(luò)服務(wù)應(yīng)該關(guān)閉不必要的網(wǎng)絡(luò)端口，防止攻擊者對內(nèi)部網(wǎng)絡(luò)進行滲透性測試內(nèi)網(wǎng)監(jiān)管技術(shù)例如，如果不限制USB端口，則惡意用戶可以通過移動存儲設(shè)備拷貝公司機密數(shù)據(jù)。必須嚴(yán)格限制各種網(wǎng)絡(luò)外設(shè)的使用再如，如果不限制電子郵件的使用，惡意用戶也可以通過發(fā)送電子郵件的方式將內(nèi)部文件發(fā)送到外部網(wǎng)絡(luò)。實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法5、嚴(yán)格限制無線網(wǎng)絡(luò)連接訪問無限通信和移動通信技術(shù)給網(wǎng)絡(luò)邊界的劃分帶來了困難為通過非法網(wǎng)絡(luò)連接傳輸數(shù)據(jù)提供了功能內(nèi)網(wǎng)監(jiān)管技術(shù)必須嚴(yán)格管理網(wǎng)絡(luò)連接，排除不必要的無線訪問點例如，惡意用戶通過手機提供了移動通信服務(wù)，可以非常容易地將內(nèi)部數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)。實現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法6、建立完善的用戶賬號管理機制對于合法用戶，必須加強安全教育和賬號管理，對口令長度、口令復(fù)雜性、口令修改周期等進行嚴(yán)格管理建立訪客臨時賬號，并對其權(quán)限進行嚴(yán)格控內(nèi)網(wǎng)監(jiān)管技術(shù)確保訪客賬號無法訪問內(nèi)部關(guān)鍵資源對訪客賬號進行跟蹤和監(jiān)控，確保其權(quán)限不被濫用。計算機資源審計和管理針對內(nèi)網(wǎng)安全域內(nèi)每臺計算機的資源，構(gòu)建本地或遠程審計和管理功能，管理員能夠從本地或遠程獲取計算機的各種資源信息計算機資源審計和管理。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)系統(tǒng)安全防護使用PKI和電子證書等技術(shù)對用戶進行身份認(rèn)證，確保用戶權(quán)限（尤其是管理員權(quán)限）不被濫用。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)計算機網(wǎng)絡(luò)防信息泄漏是防止安全域內(nèi)任何一臺計算機上的重要信息，通過有線網(wǎng)絡(luò)、無限網(wǎng)絡(luò)、移動通信網(wǎng)絡(luò)等方式發(fā)送到安全控制域以外的網(wǎng)絡(luò)環(huán)境或計算機中。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)計算機外設(shè)防信息泄漏是防止通過移動存儲設(shè)備、紅外設(shè)備或者其他接口設(shè)備等，將計算機或者網(wǎng)絡(luò)內(nèi)部的信息非法復(fù)制出去。內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)服務(wù)器安全增強是對關(guān)鍵的服務(wù)器提供安全增強功能：防止未經(jīng)授權(quán)用戶訪問敏感信息；防止內(nèi)部、外部用戶破壞服務(wù)器的正常運行；防止管理員、超級用戶的權(quán)限被濫用。內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)系統(tǒng)輔助功能包括策略生命周期管理、系統(tǒng)自動安裝和遠程卸載、雙機熱備、審計分析報告和安全文件管理等內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)監(jiān)控審計類主要對計算機終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計功能，并可以生成各種類型的報表。內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型桌面管理類計算機終端實現(xiàn)一定的集中管理控制策略，包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補丁管理等功能。內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型文檔加密類主要解決特定格式主流文檔的權(quán)限管理和防泄密問題，可以部分解決專利資料、財務(wù)資料、設(shè)計資料和圖紙資料的泄密問題。內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)文件加密類提供了一種用戶主動的文件保護措施，針對單個文件加密，或文件目錄的加密