对集团网络安全规划的思考
集团网络信息安全应该是从自身的实际情况着手分析，根据实际网络应用情况以及已有设备和安全措施，查漏补缺，完善集团网络结构，去架构一个实用的，便于管理的网络环境。

一、建立相对完善的安全网络架构
集团网络信息安全设计从两个方面考虑，内网安全防护管理和网络边界安全防护。

1、内网安全防护管理
传统网络安全考虑的是防范外网对内网的攻击，即可以说是外网安全，包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。

外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部网络，其途径主要通过内外网边界出口。

所以，要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

而内网安全的威胁模型与外网安全模型相比，更加全面和细致，它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。

所以，在内网安全的威胁模型下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、可控制和可信任的内网。

自从内网安全概念提出到现在，众多的厂商纷纷发布自己的内网安全解决方案，由于缺乏标准，这些产品和技术各不相同，但是总结起来，应该包括监控审计类、桌面管理类、病毒防护类、数据安全备
份等。

1.1、监控审计类
监控审计类产品是最早出现的内网安全产品，监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功能，并可以生成各种类型的报表。

监控审计产品一般基于协议分析、注册表监控和文件监控等技术，具有实现简单和开发周期短的特点，能够在内网发生安全事件后，提供有效的证据，实现事后审计的目标。

监控审计类产品的缺点是不能做到事情防范，不能从根本上实现提高内网的可控性和可管理性。

1.2、桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略，包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类型产品通常跟监控审计产品有类似的地方，也提供了相当丰富的审计功能。

桌面监控审计类产品实现了对计算机终端资源的有效管理和授权，其缺点不能实现对内网信息数据提供有效的控制。

1.3.防病毒产品
反病毒软件的任务是实时监控和扫描磁盘。

部分反病毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。

大部分的杀毒软件还具有防火墙功能。

反病毒软件的实时监控方式因软件而异。

有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件
自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。

另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。

1.4、漏洞扫描系统
解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。

面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。

解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

1.5、内网数据备份
数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。

传统的数据备份主要是采用内置或外置的磁带机进行冷备份。

但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。

网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。

上述的内网安全产品，都仅仅解决了内网安全部分的问题，并且由于其技术的限制，存在各自的缺点。

要真正构建一个可管理、可信任和可控制的内网安全体系，应该统一规划，综合上述各种技术的优势，构建整体一致的内网安全管理平台。

根据上述分析和内网安全的特点，一个整体一致的内网安全体系，应该是紧密结合、相互联动的
统一平台，才能达到构建可信、可控和可管理的安全内网的效果。

2、网络边界安全防护
随着网络技术的不断发展以及网络建设的复杂化，网络边界安全成为最重要的安全问题，需要对其进行有效的管理和控制，主要体现在以下几个方面：
2.1、网络隔离需求
主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

2.2、攻击防范能力
由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/DDoS）等，必须能够提供有效的检测和防范措施。

2.3、网络优化需求
对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QoS机制，保证数据传输的质量。

另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAIL过滤，支持P2P识别并限流等能力。

2.4、用户管理需求
对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。

二、对集团网络安全方面的建议
1、对集团网络设备做全面优化。

充分利用已有的网络安全设备，通过重新配置安全策略、提高安全等级、细化安全规则等手段,在牺牲一点效率的情况下，可使内网安全性得到一定幅度的提升。

2、将集团内网计算机的IP地址和电脑MAC地址绑定，配合防火墙等设备的安全策略，可以有效防止外部电脑通过WIFI等方式非法连接到集团内部网络，并且在发故障题时，可以更加方便、迅速的定位“问题电脑”。

3、购买并部署网络安全防护设备。

建议集团公司在病毒防护、入侵检测以及数据备份存储三个方面做些投资，可考虑网络边界处新架防毒墙，内网核心交换机旁并联IDS（入侵检测产品），配合公司现有的上网行为管理系统，就可以抵御绝大多数的网络黑客和病毒攻击。

专业数据存储设备可以实时备份集团各类业务信息系统的数据，可保证数据的安全性。

在突发情况下能够有效防止集团业务数据的丢失。

三、设备推荐
集团办公室2012/4/27。