内网安全问题_内网安全管理有哪些隐患应如何解决

《计算机犯罪与安全调查报告》年，美国CSI/FBI指出，内网安全漏洞造成的损失占所有计算机安全事故的一半以上；根据IDC的安全统计，来自内部终端的安全威胁占总安全威胁的70%以上。中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出，终端隐患已经成为最大的安全威胁之一。内网终端已经成为企业网络的致命弱点，越来越多的企业已经深刻认识到部署内网安全产品的重要性。

内网安全管理的隐患在哪里？

内网安全产品主要有三种标准架构，即网络访问控制(NAC)、网络访问保护(NAP)和可信网络连接(TNC)。这三个标准体系结构定义了它们自己的实现协议，但是遵循相似的体系结构。

在内部网安全体系结构中，有三个逻辑组件，即终端代理、访问控制点(也称为策略执行点)和策略决策点。其中，接入控制点是整个系统的关键，承担着与后台策略决策系统交互、控制终端接入网络、隔离不健康终端、协助其修复等多项功能。访问控制模式的选择(也称为策略执行点的选择)非常重要。内网安全产品能否成功部署，主要取决于能否根据企业网络的具体情况选择合适的访问控制点。

经过深入分析，我们发现，由于绝大多数银行用户内部网络安全管理薄弱，内部网络用户违规行为严重，内部网络用户违规和安全问题频发，由于无法追溯违规和攻击的责任人和攻击源，无法有效抵御和消除内部网络安全威胁和风险。

造成这种困境的原因是内网用户是虚拟的，没有有效的技术手段使网络中的虚拟用户与内网中的真实用户一一对应，无法准确定位和溯源。即使发生了安全事故，也无法找出真正的责任人和隐藏在背后的‘真凶’，安全管理制度和法规也就形同虚设。

如果能建立内网用户实名制管理机制，内网内外所有用户必须实名上网，就能弥合现实与网络虚拟世界的鸿沟，确保网络中的安全问题能够准确定位、追根溯源，从而对内网中的违法违规行为建立威慑， 确保内网用户的一切行为都严格按照内控管理的要求进行，最终消除内网安全问题的隐患。

天巡门禁如何构建银行实名制合规管理体系

银行网络实名登记制合规管理是在银行内部网络中的用户身份与现实生活中的真实用户建立一一对应关系，从而保证银行的每一位员工都能在网络的虚拟世界中按照自己在银行的真实角色从事与自己工作相关的行为。

天讯拥有业内最完善的电脑终端门禁机制。从终端层到网络层，再到应用层和边界层，提供客户端访问、网络访问、应用程序访问等多种访问控制手段帮助银行用户，不仅实现对所有访问内网的终端和用户的身份认证和安全检测，而且借助访问控制提供的强制力，确保内网用户必须按照合法身份和网络访问权限访问和接入网络，实现内网用户实名访问和网络访问。

图1是我行基于天讯多层访问控制的实名制合规管理系统示意图；

图1银行实名制合规管理系统天讯门禁建设

基于天讯多层接入的银行实名注册制合规管理系统，可以绑定网络用户名、终端MAC地址、终端IP地址、VLAN信息、终端用户授权时间段、终端自身安全状态、管理状态中的一个或多个条件作为用户登录和访问网络的身份条件，实现内网实名访问、业务系统实名访问、服务器资源实名访问、网上邻居实名访问。

1)实名登记系统内网接入

当终端试图通过交换机访问内网时：天讯可以在内网接入层，甚至是内网汇聚层与接入层或汇聚层的网络设备进行链接，对试图连接互联网的终端进行网络访问控制、身份验证和合规性检查，确保只使用指定的用户名/密码、指定的终端和指定的IP地址，在授权有效期内访问内网。对于不合规的端子，系统会自动隔离或者自动分配到修复区域。

2)在实名登记系统中接入业务系统和服务资源。

当接入网络的终端试图访问内网服务器或关键业务系统时：天讯对关键业务系统服务器实施应用层访问控制，可以对访问终端进行合规性检查，确保使用指定的用户名/密码、指定的终端和指定的IP地址，只有在授权有效期内，才能对内网服务资源进行授权访问。如果访问终端不受控制或不合规，它将被拒绝访问服务器或业务系统。天讯可以详细记录终端发起的各种网络行为，包括终端对业务系统服务器的网络访问记录。如果业务系统或服务器出现意外的非法访问或攻击，可以通过天讯记录的网络行为信息，定位非法位置或攻击来自哪个终端，并追查事件责任人。

3)网上邻居实名登记系统

当两个终端相互访问时，合规受控终端可以对来访终端实施客户端访问控制，对来访终端进行合规检查，只接受合规安全终端的访问，防止不安全终端非法访问，有效切断病毒感染和从感染蠕虫的非受控终端向合规终端传播。

借助实名管理系统，还可以帮助银行实现实名登记系统终端行为审核和实名登记系统移动存储管理。即使内网出现突发安全事件，在实名制管理系统的帮助下，也能准确定位发起网络访问的终端和用户账号，通过集中管理用户系统，很容易查出当时是哪个员工在访问网络，从而加强企业安全管理，将安全管理政策落实到每一个员工，快速定位企业网络中安全事件的源头。

银行实名制合规管理系统案例赏析

中国建设银行广东省分行一直关注网络实名登记制度对内控管理的价值，金星多层访问控制的独特价值击中了实现企业网络实名管理的关键。中国建设银行广东省分行经过与启明星辰的深入沟通，最终选择了启明星辰的天讯内网安全风险管理与审计系统，为广东建设银行建设用户实名注册制合规管理系统。

图2基于天讯的中国建设银行广东省分行实名制管理系统示意图。

广东建行实名制管理合规系统由安装在各终端的天讯客户端软件、接入层交换机和天讯后台认证管理服务器组成。其中，天讯客户端既是用户验证登录网络的起点，也是终端整个安全防御的起点。后台的天讯认证管理服务器作为对终端和用户进行验证和管理的系统，维护终端的实名管理名单，接入交换机作为终端和使用的唯一入口

内网安全是网络安全领域的热门话题之一。在内网安全产品架构中，访问控制模式非常重要。通过深入分析目前业界主要的访问控制机制的技术原理，可以发现802.1X、终端防火墙、DHCP控制、ARP欺骗、DNS重定向各有优缺点。一般来说，我们可以根据企业网络的具体情况选择一种或多种访问控制方案来完成内网安全产品的部署。金星的UTM2统一安全套件利用网关完成门禁功能与终端安全软件的有机配合，在易部署、强制、统一等门禁综合能力上可圈可点。这也说明，像启明星辰这样集成了多种网络安全核心技术的综合安全提供商，正在为集成企业网络安全应用进行有益的探索。