一、计算机内网安全概述 说到网络安全,大多数人自然就会想到网络边界安全,但实际上网络的大部分安全风险来自于内部。常规安全防御手段往往局限于网络边界,如防火墙、IDS、漏洞扫描等方面的防御,重要的安全设施大致集中于机房或网络出口处,在这些设备的严密监控下,来自网络外部的安全威胁已经大大地减小。相反,来自网络内部的计算机终端的安全威胁已经成为是众多安全管理人员所面临的最棘手的问题。自2003年来,以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,使政府机关和企事业单位的网络管理人员头痛不已。因此,要使计算机资源能够得到有效的利用,首先需要解决的就是网络安全威胁。值得欣喜的是,网络安全得到越来越多人的重视,已经有许多政府机关在网络边界部署了防火墙,网络中安装了杀病毒软件,部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。但这些安全措施并没有对我们的内部计算机网络,尤其是没有对各个计算机终端进行有效监控,无法避免内部计算机资源滥用、内部网络信息泄露、内部员工的故意攻击等问题,更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。事实上,堡垒最容易从内部攻破。 目前,比较流行或者说应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,而不管内部网络行为和设备的应用等等。 我们都知道,进行网络安全体系建设,要综合考虑、注重实效,在我们考虑防火墙杀病毒、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,必须同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,因为这些才是网络安全面临的最大威胁,也是网络安全的最大挑战。最理想的状态是,我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁,并组织相应的技术、产品以组合方案的方式统一解决。 二、审计机关计算机内网安全管理存在的主要隐患 随着审计机关信息网络不断发展,内部泄密和内部攻击破坏已经成为威胁审计内网或审计专网网络安全应用的最大隐患。在众多的内部网络安全威胁中,最主要和最应关注的有以下几个方面。 一是内部人员或设备的主动或者被动泄密。近年来,各级审计机关为适应信息时代审计工作需要,在审计内网基础上建设了财政、社保、住房公积金、地税等行业的联网审计系统或数字化审计平台,存储着财政以及多个行业重要的经济、个人信息数据,同时还存储着审计工作过程中从被审计单位采集的涉及国家机密或者事关企业生存和发展的核心秘密,如国防、军工单位和政府行政办公的有关信息,设计行业的设计方案信息,数据提供企业和商业企业的关键数据及战略竞争信息,审计工作中产生的重要数据等等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大,泄密的途径主要有两个,一是人员,二是机器设备。从主观态度上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会带来不可预估的损失,有的甚至侵犯到国家的安全和利益。因此内部网络数据泄密就成为审计机关须高度重视的问题,我们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。 二是内部人员主动或被动的制造、传播病毒等恶意代码。目前,网络技术应用在审计机关已非常深入,审计人员中总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,使得部分甚至全部的网络资源不可用,从而影响审计机关的正常审计工作以及办公。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网络运行造成了不良影响。这些病毒、木马等恶意程序往往都是利用系统漏洞进行破坏。 三是非授权使用或者授权滥用。大部分审计机关都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点、做什么类型的事情,也就是说,区分了授权和非授权操作。但事实上往往不是这么简单,众多内网用户会探测、尝试进入非授权的领域,例如某审计机关规定了审计人员从事审计工作的电脑不允许上互联网,但有的人却能想出很多办法,一边上内部网络,一边又联上了互联网,从而使审计机关整个内部网络间接地连接到互联网。比如,某审计人员无权访问单位的某业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的权限。至于网络资源滥用的实例就不胜枚举了,非工作需要拷贝、修改关键数据等等。大部分审计机关都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的网络问题。