內網安全問題大于外部問題，已經成為業界共識。頻頻暴露出來的違規安裝軟件，私自撥號上網，私自帶入其他設備接入等情況使得內網安全隱患重重，進行內網系統安全優化建設已經刻不容緩。

企業安全最容易從內部攻破

一般而言，多數企業對于安全部署都普遍信奉“二八法則”，即內網與外網安全投入比例約為2：8，將信息安全防御的重點放在防御外網威脅上。實際上，企業用戶的誤操作或U盤病毒導致的內網故障，對業務系統帶來的危害越來越大。

長期以來，客戶通常認為信息安全主要源于外部因素，于是都希望在網絡接入處部署安全設備，把病毒和攻擊擋在門外，就能安全無憂。但是H3C安全產品相關負責人表示，網絡安全是無內、外之分的，有許多重大的網絡安全問題正是由內部引起，例如，在員工瀏覽非法網站、使用即時通訊或訪問購物網站時，一些間諜軟件、木馬程序等惡意軟件就會不知不覺地被下載到電腦中，而且這些惡意軟件還會在企業內部網絡中進行傳播，不僅會產生安全隱患，而且還會影響到網絡的使用率。特別值得注意的是，企業的機密資料、客戶數據等信息可能會由于惡意軟件的存在，不知不覺被盜取。

FBI曾對企業內部信息泄露問題進行了針對484家公司的調查，結果顯示，在來自企業內部的安全威脅中，85%的安全損失是由企業內部的原因造成的。這可能有些聳人聽聞，但是事實正是如此。

網域萬通相關人士表示，局域網中經常出現非法內聯和非法外聯，帶寬惡性占用、終端不及時打操作系統補丁和升級殺毒軟件、ARP病毒攻擊泛濫、移動硬盤等外設隨意使用、上網行為無管理等這些情況都會給企業帶來巨大的安全隱患。

從“被信任”用戶著手

從企業網絡安全事故的發生根源來看，內網安全先于網絡邊界安全，大多數網絡安全事件都是先由內網爆發引起，后影響到網關。如今，網絡管理員的工作量大多都集中在企業的終端維護上，若不對終端的系統安全、操作行為、網絡行為進行規范與審計，企業網絡中的安全隱患將完全不可預知和控制。網域萬通認為，若想從根本上減少安全隱患，降低各種不可控安全意外的發生頻率，以及對員工進行安全規范和操作實現監管，做到明確的人員責任定位，我們就需要在邊界防護之前做好準備。

目前客戶對于內網安全的需求表現在多個方面，包括：終端補丁升級與病毒庫更新不及時，蠕蟲病毒利用漏洞在內部大肆傳播；非法外聯難以控制，內部重要機密信息泄露頻繁發生；攻擊方法日新月異，內部安全難以防范；軟硬件設備濫用，資產安全無法保障；網絡應用缺乏監控和審計；管理制度缺乏技術依據，安全策略無法有效落實；多種安全設備各自為政，整網安全狀況無法掌控等。

但是H3C則認為，內網和外網需要的安全防護手段都是大同小異，但是內網的防護對象主要是內部“被信任”的用戶，如何保證這些不同類型用戶以合法身份接入網絡，獲得合法的權限，做合法的事情，不是將各種安全設備簡單疊加就可以實現的。因此，內網的防護更加強調的是各種安全設備形成基于用戶為對象的統一安全策略控制和智能管理。

點、線、面的安全模型

在“信息安全＝防火墻＋IDS＋防病毒”的“老三樣”時代，并沒有內網安全的概念,業界一直在總結和分析內網安全的需求，力爭找到內網安全與終端用戶接受程度的平衡點，但是大多數廠商所能夠提供的只是在整個“端到端”的業務流程中某個關鍵點的安全防護措施，無法形成整網統一管理、智能聯動的整體解決方案，當業務發生調整時再進行修改，無法滿足當前靈活的移動辦公、業務多樣性的需求。

為此，網域萬通推出了一套內網安全管理系統，其網絡安全模塊、桌面管理模塊、上網行為管理模塊、安全準入管理模塊、網絡拓撲管理模塊等五大功能模塊分別對內網安全準入、桌面管理、上網行為管理、網絡安全和網絡拓撲管理等進行管控，并且客戶可以根據自身的情況來任意選擇和搭配。

H3C也提出了從點、線、面的三個維度保障內網安全的思路，“點”即終端安全準入管理軟件，確保正確的人在正確的狀態下可以進入網絡；“線”即嵌入式安全模塊，實現安全域劃分、安全策略控制、在線防護、內容審計等功能，確保正確的人在做正確的事；“面”即智能管理中心，實時收集各個安全設備的告警信息，分析后與網絡和安全設備聯動，控制攻擊來源，避免威脅的再次發生，并且為用戶提供整網安全審計報告。

H3C內網安全方案已形成了終端準入、區域隔離、病毒防護、網流分析、統一管理和安全聯動等六大功能，從根本上實現了讓“正確的人”在“正確狀態”下做“正確的事”這一內網安全核心目標，實現了 “內網控制 = 終端準入（點）＋在線控制（線）＋智能管理（面）”的理想模型。

內網安全建設是每一個企業都要應該關注的事，那就要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、準確得解決內網安全問題。

【編輯推薦】

1. 內網安全管理方案探討
2. 規范認證 保障企業內網安全
3. 如何簡單快速部署企業內網安全管理系統 圖解