常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。

為保護內(nèi)網(wǎng)的安全，一些單位將內(nèi)網(wǎng)與外網(wǎng)物理隔離，或者將內(nèi)部通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng)，并在網(wǎng)關(guān)處架設(shè)防火墻，IPS,IDS等安全監(jiān)控設(shè)備。盡管如上述所示的各類安全措施都得到了實現(xiàn)，眾多管理者們卻仍然頭疼于泄密事件或其它各類內(nèi)網(wǎng)安全事件的頻繁發(fā)生，這就充分說明了內(nèi)網(wǎng)安全維護的復(fù)雜性。

總體上看，內(nèi)網(wǎng)主機大多以LAN的方式進行接入，這些主機間以物理互連，邏輯隔離的方式共存，但為實現(xiàn)主機間的資料共享及數(shù)據(jù)通信需求，又不得不讓其之間建立各種互信關(guān)系，因此某臺主機的有意或無意的誤操作都會對整網(wǎng)主機的安全性造成威脅，這些威脅點主要分為以下幾類：

內(nèi)網(wǎng)邏輯邊界不完整

無線技術(shù)的迅猛發(fā)展讓隨時隨地接入internet這一想法成為現(xiàn)實，在驚嘆先進的無線技術(shù)為我們的生活帶來便利的同時，也對我們的網(wǎng)絡(luò)管理人員提出了更多的要求。在內(nèi)外網(wǎng)隔離的環(huán)境中，如何確保內(nèi)網(wǎng)邊界的完整性，杜絕不明終端穿越網(wǎng)絡(luò)邊界接入是眾多管理者面臨的一大難題。事實上，國內(nèi)定義的網(wǎng)絡(luò)邊界防護由于《等保》的詮釋往往被理解為網(wǎng)絡(luò)出口保護，而在現(xiàn)實情況中的邊界早已超越了"出口"這一狹隘的概念，而真正擴展到全網(wǎng)，其中的關(guān)鍵就是內(nèi)網(wǎng)的邊界--網(wǎng)絡(luò)的入口。換言之，邊界防護更應(yīng)該是所有網(wǎng)絡(luò)邊界的防護--并側(cè)重于內(nèi)網(wǎng)入口的防護。

缺乏有效身份認(rèn)證機制

對內(nèi)部主機使用者缺乏特定的身份識別機制，只需一根網(wǎng)線或者在局域網(wǎng)AP信號覆蓋的范圍之內(nèi)，即可連入內(nèi)部網(wǎng)絡(luò)獲取機密文件資料。內(nèi)網(wǎng)猶如一座空門大宅，任何人都可以隨意進入。往往管理者都比較注重終端訪問服務(wù)器時的身份驗證，一時之間，CA、電子口令卡、radius等均大行其道，在這種環(huán)境下，被扔在墻角的終端之間非認(rèn)證互訪則成為了機密泄露和病毒傳播的源頭，而終端之間的聯(lián)系恰巧就是--網(wǎng)絡(luò)。

缺乏訪問權(quán)限控制機制

許多單位的網(wǎng)絡(luò)大體上可以分為兩大區(qū)域：其一是辦公或生產(chǎn)區(qū)域，其二是服務(wù)資源共享區(qū)域，上述兩大邏輯網(wǎng)絡(luò)物理上共存，并且尚未做明確的邏輯上的隔離，辦公區(qū)域的人員往往可隨意對服務(wù)器區(qū)域的資源進行訪問。另外需要的注意的是，來賓用戶在默認(rèn)情況下，只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限，相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通，內(nèi)網(wǎng)機密文件資源此時將赤裸暴露于外部。

內(nèi)網(wǎng)主機漏洞

現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品，而微軟系列產(chǎn)品恰巧像蜜糖一樣不斷吸引著蜂擁而至的黑客做為嶄露頭角的試金石，調(diào)查顯示80%以上的攻擊和病毒都是針對windows系統(tǒng)而產(chǎn)生的，這也就引發(fā)了微軟一月一次的補丁更新計劃，包括IE補丁、office辦公軟件、以及操作系統(tǒng)等全系列產(chǎn)品都被納入這個安全保護之中。但空有微軟單方發(fā)布的補救文件，也必定只是剃頭挑子一頭熱，如果由于用戶處的設(shè)置不當(dāng)導(dǎo)致補丁無法及時更新的話，一旦被黑客所利用，將會作為進一步攻擊內(nèi)網(wǎng)其他主機的跳板，引發(fā)更大的內(nèi)網(wǎng)安全事故，如曾經(jīng)爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式，這也是為什么政府機構(gòu)的信息安全檢查都極其重視操作系統(tǒng)補丁更新的原因。

對于管理者而言，內(nèi)網(wǎng)安全的管理與外網(wǎng)相比存在一定的難度，究其主要原因就在于，內(nèi)網(wǎng)的管理面比較大，終端數(shù)較多，終端使用者的IT技能水平層次不齊，而這在領(lǐng)導(dǎo)看來往往會歸結(jié)到管理的層面，因此實施起來壓力大，抵觸情緒多，并且會形成各種各樣的違規(guī)對策，單槍匹馬的"管理"往往身體懸在半空，心也懸在半空。技術(shù)人員往往亟需技術(shù)手段的輔助來形成一個立體化的安全模型，也需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。

資料區(qū)：https://www.aqniukt.com/course/9416

工具區(qū)：https://www.ms08067.com/about/lianj