一、内部网络安全风险分析

目前，随着信息技术特别是网络技术的发展，在我国的各个行业系统中，都有大量的技术和业务机密存储在计算机和网络中。这一做法，在方便信息传递、提高工作效率的同时，也给信息安全带来了极大安全隐患。特别是内部网络。具有开放共享的特点，使得分布在各台主机中的重要信息资源处于一种高风险的状态，很容易受到来自系统内部和外部的非法访问。

根据美国FBI的统计，各种计算机网络、存储数据遭受的攻击和破坏。80％是内部人员所为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。事实上，来自内部的攻击更易奏效。所以，防范来自内部的攻击更为重要。

二、现有内部网络安全产品分析

为了解决内网安全问题，市场上也出现了诸多的内网信息安全产品，主要分为3类。

1．监控与审计系统

现有各厂商的监控与审计系统一般都由三部分组成：客户端、控制端和服务器。其中。客户端安装在受控的计算机终端，用来收集数据信息，并执行来自服务器模块的指令；服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上，存储和管理所有客户端计算机数据：控制端安装在企事业单位信息主管的计算机上，用来监控每台客户端受控计算机，可以登录到服务器端管理各类审计系统，并制定各种安全策略。

2．文档加密系统

文档加密系统采用一定的加密算法对文件进行加密，实现对各类电子文档内容级的安全保护，一般由客户端加解密软件和认证服务器构成。加密软件对重要文件如机密技术文件、设计图稿、会计账目、战略计划书、研究论文等进行加密，设置不同级别的使用权限。有的用户只拥有阅读的权限，有的用户拥有阅读、修改、打印等多种权限，具体的权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等，从而防止用户之间非法复制、外部发行、光盘拷贝，可以杜绝使用u盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。

3．身份认证系统

用户认证系统采用各种认证方式实现用户的安全登陆和认证，独立于计算机原有的登陆系统，安全可靠性更高。一般由认证服务器和认证代理组成，有些产品提供认证令牌。认证服务器是网络中的认证引擎，由安全管理员或者网络管理员进行管理，主要用于令牌签发，安全策略的设置与实施，日志创建等；认证代理是一种专用代理软件，实施认证服务器建立的各种安全策略；认证令牌以硬件、软件或智能卡等多种形式向用户提供，用以确认用户身份，如果某个用户提供了一个正确的令牌码，就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份识别，并不能实现对计算机的有效访问控制，比如用户离机锁定、使用权限等，其应用范围相对有限。

三、新型的内网安全产品关键性能探讨

随着技术的发展，内网对信息安全的要求越来越高，内网安全产品不应该只是解决单方面的问题，应该从用户身份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理、综合安全审计等方面提供一整套完善的解决方案，对数据的存储、传输和使用在整个生命周期内进行控制、保护和审计，确保数据的完整性和保密性，从而防止敏感信息泄漏，为企事业单位构建可信可控的内部网络。

新型的内网安全产品关键性能包括如下。

1．信息数据网络传送强制加密，控制所有的网络通信，有效防止网内恶意侦听以及非法外联和非法接入

外部接入内部网络的计算机，无论是通过交换设备接入还是直接与内部网络计算机使用网络直连线连接，也都将无法联通，有效防止了非法接入行为的发生。

2．强制加密本地硬盘，有效防止硬盘丢失、多操作系统等造成数据泄密事件的发生

加解密采用透明方式，在不影响用户使用习惯的前提下保证数据的安全性。所有本地磁盘保存的文件，都将被系统自动强制加密保存在磁盘中。在这样的情况下，即使磁盘被盗用或者丢失，都不会造成单位重要信息的泄密。由于采用了透明的加密技术。对用户和应用程序来说都不会有任何影响，也不会因为安全性的提高而影响用户的使用习惯。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。

3．强化移动存储设备安全措施，防止泄密

通过管理员的注册、认证、授权后才能在设定的范围内按照设定的读写策略(如加密读写、只读、禁用等)进行使用，以实现对软盘、u盘和移动硬盘等便携式移动存储设备的有效管理。

4．完善的身份认证授权体系，是安全系统的基础应xx独立于计算机、网络系统原有的认证体系，采用软硬件相结合的多重认证体系，提高可靠性，并能够支持各类标准的cA服务器，使用方便，对原有的内网体系影响很小。同时，对所有外设、输入／输出端口及操作的授权管理，实现仅授权的人能操作授权的计算机，仅授权的磁盘、磁盘分区、外设、移动存储设备等能在授权的计算机上由授权的人使用，仅授权的输入和输出端口能被授权的人使用，为安全系统的可靠运行奠定基础。

四、内部网络信息监控应在发展中求安全

没有百分之百安全的技术和防护系统黑客技术，计算机病毒等信息安全攻击技术在不断发展的，人们对它们的认识，掌握也不是xx的，安全防护软件系统由于技术复杂，在研制开发过程中不可避免的会出现这样或者那样的问题，这势必决定了安全防护系统和设备不可能百分百的防御各种己知的，未知的信息安全威胁。

同时，并不是所有的信息安全问题可以一次解决。人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的，不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备，也仅仅是满足某一些方面的安全需求，不是企业有某一方面的信息安全需求，市场上就有对应的成熟产品，因此不是所有的安全问题都可以找到有效的解决方案。

因此，信息安全是一个动态过程，是一个伴随着信息化应用发展而发展的永恒课题。要想保证内部网络信息的安全，既要定期对信息网络安全状况进行评估，做好技术防护，更要做好内部网络的管理。没有好的管理思想，严格的管理制度，负责的管理人员和实施到位的管理程序，就没有真正的安全。只有两者兼顾，才能得到一个真正安全的网络。