內網都有什么常見的安全問題

內網都有以下常見的安全問題：

• 缺乏有效身份認證機制：對內部主機使用者缺乏特定的身份識別機制，只需一根網線或者在局域網AP信號覆蓋的范圍之內，即可連入內部網絡獲取機密文件資料。內網猶如一座空門大宅，任何人都可以隨意進入。往往管理者都比較注重終端訪問服務器時的身份驗證，一時之間，CA、電子口令卡、radius等均大行其道，在這種環境下，被扔在墻角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭，而終端之間的聯系恰巧就是網絡。

• 缺乏訪問權限控制機制：許多單位的網絡大體上可以分為兩大區域：其一是辦公或生產區域，其二是服務資源共享區域，上述兩大邏輯網絡物理上共存，并且尚未做明確的邏輯上的隔離，辦公區域的人員往往可隨意對服務器區域的資源進行訪問。另外需要的注意的是，來賓用戶在默認情況下，只要其接入內部網絡并開通其網絡訪問權限，相應的內部服務資源的訪問權限也將一并開通，內網機密文件資源此時將赤裸暴露于外部。

• 內網主機漏洞：內網安全的管理與外網相比存在一定的難度，究其主要原因就在于，內網的管理面比較大，終端數較多，終端使用者的IT技能水平層次不齊，而這在領導看來往往會歸結到管理的層面，因此實施起來壓力大，抵觸情緒多，并且會形成各種各樣的違規對策，單槍匹馬的”管理”往往身體懸在半空，心也懸在半空。技術人員往往亟需技術手段的輔助來形成一個立體化的安全模型，也需要有更為開闊的思路看待內網的安全問題。

• 內網邏輯邊界不完整：國內定義的網絡邊界防護由于《等保》的詮釋往往被理解為網絡出口保護，而在現實情況中的邊界早已超越了”出口”這一狹隘的概念，而真正擴展到全網，其中的關鍵就是內網的邊界——網絡的入口。換言之，邊界防護更應該是所有網絡邊界的防護并側重于內網入口的防護。

內網安全通過以下方式來保障：

• 為合作企業網建立內網型的邊界防護：合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。由此，既然不能控制合作者的網絡安全策略和活動，那么就應該為每一個合作企業創建一個 DMZ，并將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

• 自動跟蹤的安全策略：智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況并記錄與 該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。

• 注意內網安全與網絡邊界安全的不同：內網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網絡服務器如HTTP或SMTP的攻 擊。網絡邊界防范(如邊界防火墻系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源于企業內部。惡性的黑客攻擊 事件一般都會先控制局域網絡內部的一臺Server，然后以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立并加強內網防范策略。

• 建立安全過客訪問：對于過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內網實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網絡塊。

• 限制VPN的訪問：虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置于企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服 務器或其他可選擇的網絡資源的權限。

• 關掉無用的網絡服務器：大型企業網可能同時支持四到五個服務器傳送e-mail，有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用 的，關掉該文件的共享協議。

• 建立可靠的無線訪問：審查網絡，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網絡訪問的強制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術進行訪問。

• 創建虛擬邊界防護：主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。于是必須解決企 業網絡的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。

• 保護重要資源：若一個內網上連了千萬臺 (例如30000臺)機子，那么要期望保持每一臺主機都處于鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然后對內網的每一臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)并對他們進行 限制管理。這樣就能迅速準確地確定企業最重要的資產，并做好在內網的定位和權限限制工作。

• 可靠的安全決策：網絡用戶也存在著安全隱患。有的用戶或 許對網絡安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火墻之間的不同等等，但是他們作為公司的合作 者，也是網絡的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網絡安全策略。另外，在技術上，采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

回答所涉及的環境：聯想天逸510S、Windows 10。