【摘 要】本文通过对内网面临的安全威胁和现有安全产品的功能进行分析，提出了一种以多因素身份认证为基础，基于加密企业或机关单位都组建了内部局域网，实现了资源共享，信息传递快速有效，极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分，同时，内网中一般会有大量的保密数据文件和信息通过网络进行传递。例如政府、军队或军工单位内具有一定密级的文件、文档、设计图纸等；设计院所的图纸和设计图库等；研发型企业的设计方案、源代码和图纸等数字知识产权；企事业单位的财务数据等，都是保密数据信息。如何对这些保密数据信息进行全方位的保护，是非常重要的。

二、内部网络安全面临的威胁

随着技术的发展，网络让信息的获取、共享和传播更加方便，同时内部局域网开放共享的特点，使得分布在各台主机中的重要信息资源处于一种高风险的状态，很容易受到来自系统内部和外部的非法访问。防火墙、入侵检测、网络隔离装置等网络安全保护对于防止外部入侵有不可替代的作用，而对于内部泄密显得无可奈何，内部人员的非法窃密事件逐渐增多。据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。根据对内网具体情况的总结分析，来自内部的安全威胁（见图1）主要有4类：a．窃取者将自己的计算机非法接入内网或者非法直接链接计算机终端，窃取内网重要数据；b．窃取者直接利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台服务器的重要数据；c．内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到外部；d．内部人员窃取管理员用户名和密码，非法进入重要的系统和应用服务器获取内部重要数据。LOcALhOsT

在网络互联互通实现信息快速交换的同时，如何加强网络内部的安全，防止企事业单位的关键数据从网络中泄漏出去，是网络安全领域内一个主要的发展方向。

三、现有内部网络安全产品分析

为了解决内网安全问题，市场上也出现了诸多的内网信息安全产品，主要分为三类。1.监控与审计系统
现有各厂商的监控与审计系统一般都由三部分组成：客户端、服务器。其中，客户端安装在受控的计算机终端，用来收集数据信息，并执行来自服务器模块的指令；服务器端一般安装在内网中一台具有高性能cpu和大容量内存的用作服务器的计算机上，存储和管理所有客户端计算机数据；系统安全管理员可以登录到服务器端管理各类审计功能模块，并制定各种安全策略。客户端根据控制端下发的安全策略，对受控主机进行相应的监控，并将相应的信息上传至服务器。它能够获取受控主机的信息资料，对各类输入输出端口如usb、软驱、光驱、网卡、串/并口、调制解调器、红外通信等进行控制与监控，也可以对各类应用程序进行监控，防止终端计算机非法接入、非法外联，对文件操作等行为进行审计。
这类产品提供了一定的安全控制功能，但由于其重点是按照安全策略进行记录和审计，属于事后审计产品，因此并不能很好地阻止单位信息泄密事件的发生，一旦发现泄密事件发生，损失已经造成，所以这类产品的安全作用有一定的局限性。2.文档加密系统文档加密系统采用一定的加密算法对文件进行加密，实现对各类电子文档内容级的安全保护，一般由客户端加解密软件和认证服务器构成。加密软件对涉密文件进行加密，设置不同级别的使用权限。权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等，从而防止用户之间非法复制、外部发行、光盘拷贝，可以杜绝使用u盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。
文档加密可以实现对重要数据的加密保护，但是管理不灵活，而且内网资源众多，需要分别进行权限的设置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏洞，此类产品可操作性较差。3.身份认证系统用户认证系统采用各种认证方式实现用户的安全登陆和认证，独立于计算机原有的登陆系统，安全可靠性更高。一般由认证服务器和认证代理组成，有些产品提供认证令牌。认证服务器是网络中的认证引擎，由安全管理员进行管理，主要用于令牌签发，安全策略的设置与实施，日志创建等；认证代理是一种安装在终端计算机上的专用代理软件，实施认证服务器建立的各种安全策略；认证令牌以硬件、软件或智能卡等多种形式向用户提供，用来确认用户身份，如果令牌认证正确，就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份鉴别，并不能实现对计算机的有效访问控制，其应用范围相对有限。
上述三类产品在一定程度上或某些方面解决了内网信息安全问题，并没有实现计算机、用户、策略三个方面的全面防护。

四、内网安全产品关键性能探讨

内网对信息安全的要求越来越高，内网安全产品不应该只是解决单方面的问题，应该从用户身份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理、综合安全审计等方面提供一整套完善的解决方案（见图2），对数据的存储、传输和使用在整个生命周期内进行控制、保护和审计，确保数据的完整性和保密性，从而防止敏感信息泄漏，为企事业单位构建可信可控的内部网络。
1.统一建立身份认证授权体系应完全独立于计算机、网络系统原有的认证体系，采用软硬件相结合的多重认证体系，提高可靠性，使用方便，对原有的内网体系影响很小。同时，对

[1] [2] 下一页