内网安全问题（内网安全管理有哪些隐患应如何解决）

美国CSI/FBI在《计算机犯罪与安全调查报告》中指出，内网安全漏洞造成的损失占所有计算机安全事故的一半以上；IDC s安全统计显示，来自企业内部终端的安全威胁占总安全威胁的70%以上；中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出，终端隐患已经成为最大的安全威胁之一。内部网已经成为阿喀琉斯企业网络的脚跟，越来越多的企业已经深刻认识到部署内网安全产品的重要性。

内网安全管理的隐患在哪里？

内网安全产品主要有三种标准架构，即网络准入控制(NAC)、网络访问保护(NAP)和可信网络连接(TNC)。这三个标准体系结构定义了它们各自的实现协议，但是遵循相似的体系结构。

在内部网安全体系结构中，有三个逻辑组件，即终端代理、接纳控制点(也称为策略执行点)和策略决策点。其中，接纳控制点是整个系统的关键，它承担着许多功能，如与后台策略决策系统交互、控制终端接入网络，隔离不健康的终端并协助其修复。访问控制方法的选择(也称为策略执行点的选择)非常重要。内网安全产品能否成功部署，主要取决于能否根据企业网络的具体情况选择合适的访问控制点。

经过深入分析，我们发现：因为绝大多数银行用户内网安全管理薄弱，内网用户违规现象严重，导致内网用户频发违规和安全问题，由于无法追踪违规者和攻击源，因此无法有效抵御和消除内部网安全威胁和风险。

之所以会出现这样的困境，是因为内网的用户是虚拟的，缺乏有效的技术手段使内网的虚拟用户与内网的真实用户一一对应，无法准确定位和溯源。这样即使发生安全事故，真正的责任人和真正的凶手隐藏在它背后的能查不出来，安全管理制度和规定也没用。

如果能建立内网用户实名制管理机制，所有内网用户必须实名上网，可以弥合现实与网络虚拟世界的鸿沟，确保网络中的安全问题能够准确定位，追根溯源。这样，就可以建立对内部网违规和非法行为的威慑，并且所有用户内网中的行为可以严格按照内控管理的要求进行，最终消除内网安全问题的隐患。

天讯门禁如何构建银行实名登记制合规管理体系

银行实名登记系统的合规管理就是在银行内的用户身份之间建立一一对应关系的内部网络和现实生活中的真实用户通过在银行建立用户标识的内部网络，从而保证银行中的每一个员工都能根据自己在银行中的真实角色，在网络的虚拟世界中从事自己与工作相关的行为。

天讯拥有业内最完善的计算机终端访问控制机制，从终端层到网络层，再到应用层、边界层，提供客户端访问、网络访问、应用访问等多种访问控制手段。它帮助银行用户，不仅实现了对访问内网的所有终端和用户的身份认证和安全检测，而且通过访问控制提供的强制力，保证内网用户必须按照其合法身份和网络访问权限访问互联网，从而实现内网用户的实名访问。

图1是基于天巡多层访问控制的银行实名制合规管理系统的逻辑框图：

图1:实名登记系统的门禁建设

基于天讯多层接入的银行实名登记系统合规管理系统可以绑定网络用户名、终端MAC地址、终端IP地址、VLAN信息、终端用户授权时间段，终端自身的安全状态和管理状态作为用户登录和访问网络的身份条件，实现实名访问内网、实名访问业务系统、服务器资源和实名网上邻居。

1)实名登记系统内网接入

当终端试图通过交换机访问内网时：天讯可以在内网接入层，甚至是内网汇聚层链接接入层或汇聚层的网络设备，对试图连接内网的终端进行网络准入控制、身份验证和合规性检查，确保在授权有效期内，只有指定的用户名/密码、指定的终端和指定的IP地址才能访问内网。对于不合规的端子，系统会自动隔离或者自动分配到修复区域。

2)在实名登记系统中访问业务系统和服务资源

当接入网络的终端试图访问内网服务器或关键业务系统时：天讯在关键业务系统服务器之上，可以进行应用级的准入控制，可以检查访问终端的合规性，确保其只使用指定的用户名/密码、指定的终端、指定的IP地址，并可以在授权期限内授权访问内网服务资源。如果访问终端不受控制或不合规，它将被拒绝访问服务器或业务系统。天讯可以详细记录终端发起的各种网络行为，包括终端对业务系统服务器的网络访问记录。如果业务系统或服务器发生意外的非法访问或攻击，可以通过天讯记录的网络行为信息，定位非法位置或来自哪个终端的攻击，并追查事件的责任人。

3)网上邻居实名登记系统

当两个终端相互访问时：合规终端可以控制访问终端的客户端访问，检查访问终端的合规性，只接受合规安全终端的访问，防止不安全终端非法访问，有效切断感染蠕虫的非受控终端对合规终端的病毒感染和传播。

借助实名制管理系统，还可以帮助银行实现实名制登记系统终端行为审核和实名制登记系统移动存储管理。即使内网出现突发安全事件，在实名制管理系统的帮助下，也能准确定位发起网络访问的终端和用户账号，通过集中管理的用户系统，很容易查出当时是哪个员工在访问网络。因此，为了加强企业安全管理，将安全管理政策的实施落实到每一个员工，并能快速定位源头。

实名制银行合规管理系统案例赏析

中国建设银行广东省分行一直关注网络实名登记制度对内控管理的价值，以及启明星辰的独特价值多层访问控制是实现企业网络实名制管理的关键。经过与启明星辰的深入沟通，中国建设银行广东省分行最终选择了启明星辰的内网安全风险管理和审计系统，为广东建行搭建用户实名注册系统合规管理系统。

图2中国建设银行广东省分行基于天巡的实名制管理系统示意图

广东建行实名制管理合规系统由安装在各终端的天讯客户端软件、接入层交换机和天讯后台认证管理服务器组成。其中，天巡客户端既是用户验证登录网络的起点，也是终端安全防御的起点。后台天讯认证管理服务器作为对终端和用户进行验证和管理的系统，维护终端实名制管理名单，而接入交换机作为终端和用户接入和访问网络的唯一入口，使内部合法

内网安全是当前网络安全领域的热门话题之一。在内网安全产品架构中，访问控制模式非常重要。通过深入分析目前业界主要接纳控制机制的技术原理，可以发现802.1X、终端防火墙、DHCP控制、ARP欺骗、DNS重定向等各有优缺点。一般我们可以根据企业网络的具体情况选择一种或多种准入控制方案来完成内网安全产品的部署。金星UTM2统一安全套件，利用网关完成门禁功能与终端安全软件的有机配合，易部署、强制、统一等综合门禁能力显著。这也说明，像启明星辰这样集成了多种网络安全核心技术的综合安全提供商，正在为整合企业网络安全应用进行有益的探索。