网络安全 415 3、终端设备的接入 移动终端和新增设备未经过安全检查和授权即 可随意接人内网，缺乏完善的计算机终端入网注册 登记监管手段和注册管理机制；无法对接入的计算 机终端进行鉴别区分和精准管理；接入内网的计算 机终端对内网非授权区域访问难以管理；接人内网 的计算机终端随意访问或扫描内网重要应用及服务 器资源；接入内网的计算机终端通过扫描或非授权 访问干扰正常运行的终端及应用。再加上内部人员 用户密码与登陆名相同或密码设置过于简单，或将 自己的账号随意转借他人或与别人共享等习惯、行 为导致其他安全措施形同虚设。 4、 用户以及行为管理 用户账户作为一种网络对象，其唯一性，合法 性如果得不到保障，将会带来极大的安全隐患，用 户网络身份一旦被冒用，非法使用者将会在内网畅 行无阻，众多安全机制将起不到应有作用。 计算机终端用户随意安装和运行各种软件，随 意占用有限带宽资源，影响正常工作；计算机终端 用户随意访问、复制、修改或删除终端中重要的文 件或数据，恶意破坏或外泄重要的资料和数据；计 算机终端用户随意访问不安全的或者严重影响工作 效率的网站，不仅降低了工作效率，而且可能从不 安全网站引入病毒和木马，严重威胁内网安全；计 算机终端用户随意更改主机名、1P地址、MA C地址 等信息，资产管理、网络审计难以实施。 5、服务器、网络设备的监控 服务器和网络设备是一个企业内网的核心组成 部分，物理服务器或虚拟服务器上应用的增加使需 要管理的应用服务器数据量越来越大，对管理员的 负担也越来越重，如何保证服务器以及相关应用的 稳定，及时发现服务器运行中的故障并解决显得日 趋紧迫。有些故障发生在应用层，比如 IIS、SMTP。 有些故障发生在系统层，比如系统文件损坏，蓝屏 等。有些是数据库本身问题，比如表空间满等，还 有些是服务器硬件故障，直接导致宕机等现象。面 对种类繁多的故障，缺乏统一有效的监控预警体系 将使维护和排查工作效率低下，也不能够及时发现 问题。 二、内网安全管理体系的建立 内网安全管理体系建立的目标是使内网成为一 个"可管、可控、可信"的网络，内网中所有节点和 参与者进行都能得到细致的管理。完整的内网安全 体系主要体现在四个方面。 一是内网安全体系的核心是数据和电子文档的 安全保密。它的本质是要在生命周期里对内网信息 流和数据流进行有效的全程管理，即对资料和数据 从产生、使用和销毁的全过程进行管理。 二是内网安全体系的基础是有效的身份认证。 有了确切的实体身份，安全管理策略才有可能实现。 而基于内网的身份认证必须综合考虑所有的实体身 份，包括服务器、客户端、用户等，其中，客户端 和用户的身份认证尤其重要，因为它们具有数量大、 环境不安全和变化频繁的特点。 三是内网安全体系的重点是对用户的授权管 理。用户授权其主要是确定"谁"能够在"哪些"计算 机终端或者服务器进行"怎样的操作"，或者是"怎样 使用""哪些信息或资源"。 四是监控审计是内网安全体系的重要辅助部 分。实时监控内网安全状态，对用户的行为进行监 控，提供评估报告，并在发生内网安全事件后实现 有效的取证。 三、内网安全应对手段 1、建立完善计算机终端准人控制机制和用户身 份认证机制。从终端、网络、应用和边界，全方位 建立客户端入网络准入和应用准入机制，确保只有 通过身份验证和安全基线检查的计算机终端才能接 入内网并进行受控访问，对非法的或存在安全隐患 的计算机终端进行隔离和修复。利用诸如微软AD域 架构实现内网用户的唯一性标识，构建出完善的内 网安全检查系统，从源头上减少内网安全漏洞和安 全隐患。 2、加强终端安全控制。采用访问控制、流量控 制、ARP欺骗控制．网络行为模式控制、非法外联控