一 前言

随着网络技术应用的不断深入，信息安全发展也进入到一个全新的时代，传统的安全解决方案都是把目标重点放到边界上，往往忽略了内部网络安全，特别在政府机关、保密部门、科研机构、银

现有的安全措施没有发挥应有的作用，网络管理人员无法了解每个网络端点的安全状况，疲于奔命也无法解决各种终端安全与管理问题。尽管有些单位制订严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略无法有效落实，导致机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对内网安全提出新的挑战。

二 为什么需要内网安全管理系统

2.1 内网安全面临挑战

据IDC统计，一半以上的安全威胁来自于内部。企业内网所面临的安全威胁主要表现在如下几个方面：

.. 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大

由于网络内的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁，或者主机和设备的软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新，给恶意的入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪，业务无法正常进行。

.. 非法外联难以控制、内部重要机密信息泄露频繁发生

员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可以通过拨号线路进入企业内网；另一方面，

内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。

.. 移动电脑设备随意接入、网络边界安全形同虚设

员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。

.. 攻击方法日新月异，内部安全难以防范

已经被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDOS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可乘之机。

.. 软硬件设备滥用、资产安全无法保障

内网资产（CPU、内存、硬盘等）被随意更换，缺乏有效的技术跟踪手段；员工可以随时更改自己所使用的机器的IP地址等配置，不仅难于统一管理，而且一旦出现攻击行为或者安全事故，责任定位非常困难。

.. 网络应用缺乏监控，工作效率无法提高

上网聊天、网络游戏等行为严重影响工作效率，利用QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势；使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件，关键业务应用系统带宽无法保证。

.. 管理制度缺乏技术依据，安全策略无法有效落实

尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地杜绝问题；通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有效灵活实时的手段保障，无法使管理政策落实。

2.2 传统安全技术局限性

传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊，通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为增加，严重影响内网安全。对于以上安全问题，传统安全技术显得力不从心。

.. 网关防护技术

对于防火墙、病毒网关、网闸等网关产品是网络边界访问控制技术，关注重点是防止外部病毒、外部攻击，缺乏对内网终端的攻击防护。

.. 审计检测技术

对于网络入侵检测、主机入侵检测、安全审计等系统网络审计类产品，通常采用的监测技术，关注重点是发现记录攻击、非法访问等安全事件发生；需要与其它安全产品联动才能阻断攻击行为。