内网安全技术分析与标准探讨

来源：作者：金波张兵… 出处：巧巧读书 2007-03-28 进入讨论组

谢谢收藏 http://www.qqread.com/net-saft/o305102.html

作者：金波张兵王志海（①公安部第三研究所 ②信息产业部电信研究院规划设计所北京明朝万达科技有限公司）

1. 内网安全现状概述

进入21世纪后，随着国内信息化程度的快速提高，内网信息安全越来越多受到关注，内网安全产品和厂商短短几年内大量涌现。但是，令人担忧的是，虽然众多的产品和厂商都以内网安全的概念在提供服务，但其中包含的实际技术和内容却千差万别。这样的情况，一方面对市场和用户形成了误导，不利于解决用户的实际内网安全问题，造成投资浪费；另一方面也不利于创造良性的竞争环境，阻遏了内网安全市场的发展。

鉴于此，有必要对内网安全进行成体系的理论探讨，形成统一的共识和标准，这样才能让内网安全产品和厂商真正满足用户的需求，解决用户的实际问题，推动国家信息化的发展。

2. 内网安全问题的本质探讨

2.1. 内网安全问题的形成原因

内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了以下三个特点：

1）随着ERP、OA和CAD等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。

2）内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

3）由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关注的焦点。

上述三个问题，都是依赖于内网，与内网的安全紧密相连的，内网安全受到广泛的高度重视也就不以为奇。

2.2. 内网安全问题的威胁模型

相对于内网安全概念，传统意义上的网络安全更加为人所熟知和理解，事实上，从本质来说，传统网络安全考虑的是防范外网对内网的攻击，即可以说是外网安全，包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部网络，其途径主要通过内外网边界出口。所以，在外网安全的威胁模型假设下，只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

而内网安全的威胁模型与外网安全模型相比，更加全面和细致，它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。所以，在内网安全的威胁模型下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、可控制和可信任的内网。由此可见，相比于外网安全，内网安全具有以下特点：

1）要求建立一种更加全面、客观和严格的信任体系和安全体系；

2）要求建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理；

3）要求对信息进行生命周期的完善管理。

3. 现有内网安全产品和技术分析

自从内网安全概念提出到现在，有众多的厂商纷纷发布自己的内网安全解决方案，由于缺乏标准，这些产品和技术各不相同，但是总结起来，应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。

3.1. 监控审计类

监控审计类产品是最早出现的内网安全产品， 50％以上的内网安全厂商推出的内网安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功能，并可以生成各种类型的报表。

监控审计产品一般基于协议分析、注册表监控和文件监控等技术，具有实现简单和开发周期短的特点，能够在内网发生安全事件后，提供有效的证据，实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范，不能从根本上实现提高内网的可控性和可管理性。

3.2. 桌面管理类

桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略，包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类型产品通常跟监控审计产品有类似的地方，也提供了相当丰富的审计功能，桌面监控审计类产品除了使用监控审计类产品的技术外，还可能需要对针对Windows系统使用钩子技术，对资源进行控制，总体来说，技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权，其缺点不能实现对内网信息数据提供有效的控制。