防水墙在内网信息安全管理中的应用李红艳刘东苏由振荣（西安电子科技大学经济管理学院西安710071）[摘要]：传统意义上的网络安全防范主要考虑防止外部攻击，而忽视了内网的敏感信息泄露问题，本文在分析内网安全管理现状的基础上，介绍了防水墙的结构部署、基本功能，并结合实际应用探讨了如何利用防水墙技术保证内网安全,并对具体应用结果给予相应的评价。[关键词]：防水墙，内网，信息安全管理1引言传统意义上，网络安全防范主要考虑的是防止外部攻击，因此，一般的网络系统都通过部署防火墙、入侵检测系统、数据加密、访问控制、防病毒软件、虚拟专网等安全机制与技术手段为内部网络构筑较强的安全壁垒，以减少对内部信息安全的威胁。但就一个信息系统的安全管理而言，对外防御只是其中的一个方面，内部网络的信息泄露也是一个不容忽视的问题。据美国CSI/FBIComputerCrimeandSecuritySurvey的数据表明，在计算机安全事件中，由信息泄露造成的经济损失连续几年排在前四位[1]，内网信息安全正日益受到关注。如果管理不善，内部人员可以很轻易将计算机中的机密信息通过网络、存储介质和打印等方式泄露出去，造成不可估量的损失。目前，学术界也开始关注对内部网安全问题的研究，但绝大多数文献讨论的是计算机安全的普适问题，或是某个安全服务子域的问题。国内外市场上信息安全方面的产品种类繁多，如防火墙、入侵检测系统、漏洞扫描、防毒软件、防电磁辐射泄露、门禁通道系统、加密硬盘和保密机箱等，但大部分产品都是针对防御外部攻击的。防水墙的应用正好能够提供有效的技术手段实现内部安全监管。2内网信息安全状况2.1内网发展状况1996年BARBERA等人提出了企业内部网(Intranet)[2]的概念，利用Intranet技术构建仅限企业内部人员信息交流的专用网络。BARBERA同时还指出，企业内部网的安全隐患主要来自内部。内网安全是近年来渐渐兴起的网络信息安全研究与应用领域。通过身份认证、访问控制、操作审计等技术手段约束、限制、监控企业内部人员对计算机网络的使用，使得内部信息交换可控，从而保障内网使用安全。一般的内网系统都承载了一定的重要信息，按照国家相关保密制度的要求和自身的网络安全体系现状，整个网络按照重要程度划分不同的网段，在不同级别的网段之间设置防火墙，并配置一定的访问控制策略。有的涉密单位为了保障对外的绝对安全，整个网络总体上与Internet是物理隔绝，这在一定程度上排除了外部攻击的可能性，因此网络安全主要体现在内部网络信息安全上。2.2内网安全隐患分析内网安全隐患主要来源于“可信的”内部人员之间无限制的信息共享与传递，根据统计，各种计算机网络、存储数据遭受的攻击和破坏，80％是内部人员所为[3]。内网安全从目的上更关注内部的保密性、可追究性，更关注内部人员的安全问题，所以内网安全管理更注重对安全时间的可追踪性和可审计性。其不安全因素和数据泄漏途径归纳如表1所示。表1内网系统信息泄露途径和方式内网系统信息泄露途径信息泄露方式·对文件或文件夹不当共享造成信息泄露计算机网络化造成的信·内部人员在应用互联网服务，如电子邮件、MSN、FTP时息泄露将本单位内部敏感信息传送到外部或被窃取造成泄密。·内部人员对本单位网络攻击并恶意窃取单位内部信息计算机外设接口造成的·开放的USB、1394口，串口、并口、PCMCIA接口、红外、信息泄露软盘控制器、DVD/CD-ROM驱动器等造成的信息泄漏。计算机存储介质、媒体·移动硬盘、U盘、光盘等存储介质使用监管不严造成的造成的信息泄露信息泄露。计算机打印机、显示器·屏幕拷贝、屏幕照相、打印机直接打印进行信息窃取。造成的信息泄露·由工作人员无意造成的泄密：如将一台发生故障的计算其它途径泄密机送修前既不做消磁处理，造成敏感数据的泄密。针对内网安全方面存在的问题，许多防范工作都仅仅停留在内外网物理断开或采用一定的行管保密措施，如：将涉密信息进行密级标识；禁止使用涉密计算机连接国际互联网或连接移动存储设备；禁止在非涉密计算机上处理涉密信息；涉密计算机配备各种安全机制等。这些制度对信息系统的安全管理十分必要，但不能从技术上和本质上解决内部失泄密的问题，也不利于工作的开展。因此，为了保障内部信息的安全，除了依靠必要的行政管理措施，还必须依靠技术手段加强内部网络的监管。防水墙的应用很好地解决了内网安全方面存在的问题。3防水墙及其在内网信息安全管理中的应用“防水墙”(WaterWall)是相对于“防火墙”(Firewall)的一个概念，它处于内部网络中，可随时监控内部主机的安全状况，是一个用来加强信息系统内部安全的工具[