安全技术：揭开内网安全系统真相走出认识误区

　　防护内网安全的措施

　　限制VPN的访问

　　虚拟专用网(VPN) 用户的访问对内网的安全造成了巨大的威胁。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所以它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的，很明显VPN其实是对内网安全造成威胁的。

　　因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。

　　为网站建立内网型的边界防护

　　很多企业都会有网络上的合作伙伴，例如合作的媒体或者是合作的厂商等，虽然安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。

　　既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问，建立合作专区还是非常必要的。

　　关掉无用的网络服务器

　　大型企业一般在采购上由于人为原因重复性选择或者是不合理选择经常会出现，因此难免有一家企业上跑着四五台邮件服务器的情况，而实际的情况是两台机器即可完全解决。

　　这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议。

　　创建虚拟边界防护

　　主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的 R&D.因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。

　　身份认证设定访问等级

　　采用双因素身份认证的方式，可以达到高强度的安全保护，身份认证可以通过智能卡、一次性口令，或者USB设备的方式进行。当然，启动前的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的硬盘加密技术，并不是要通过繁琐的加密步骤来困扰用户，而是为硬盘本身提供应有的保护。用户每天都要登录系统，因此在不影响用户使用的前提下，简单的操作和高强度的保护，才能为用户提供一个安全、便利的环境。当然这基本上是针对文档加密。

　　数据加密提供基础安全

　　利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗，企业依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器，但是，也无法对服务器上的数据和信息资产造成破坏，因为这些资产都得到了安全的加密保护。

　　虽然从目前来看，技术是解决安全问题的主要方法，但是从实际的情况来看，合理的安全机制与决策，意识上对安全的重视才是解决安全问题的正途。另外，也许安全问题更多的是来自于内部，仅仅是防范外网远远不能解决内部的混乱。