局域網(wǎng)技術從真正實現(xiàn)商用的第一天起,就一直采用一種以開放和共享資源為主的模式。在追求較高便利性的同時,安全性必然會受到一定的影響,這也是內(nèi)網(wǎng)安全問題自始難以解決的最重要內(nèi)因。
管理上的細度和深入程度,往往決定了一套內(nèi)網(wǎng)安全體系最終的層次。而往往那些層次較高的解決方案,在管理和應用上反而更加簡單。眾所周知,一個使用起來復雜的安全工具往往會因為誤用而帶來更多的安全問題。真正理想化的內(nèi)網(wǎng)安全狀態(tài),應該是通過對管理的精益化,而將本就繁復的內(nèi)網(wǎng)安全問題簡單化。
就各種公布的調(diào)查數(shù)據(jù)來看,即使在最樂觀的情況下,內(nèi)網(wǎng)安全問題所造成的損失也超過了外網(wǎng)安全問題。將近四分之三的安全問題是由組織內(nèi)部原因引起的,這其中主要包括了對企業(yè)信息設施的非授權(quán)訪問和電子文檔的泄漏。
這種情況一方面反應了部署在內(nèi)網(wǎng)、外網(wǎng)邊界的安全防護措施確實阻斷了大量的外部攻擊,而從另一方面也不難得出這樣的結(jié)論,內(nèi)網(wǎng)安全在時下已經(jīng)成為信息安全領域最重要也是最難解決的課題。
當各個組織都在對游弋于互聯(lián)網(wǎng)空間的黑客們百般擔憂恐懼之時,殊不知正是那些被信任的人們,因為自身的失誤甚至是物質(zhì)誘惑,為攻擊者們打開了方便之門。從流行的網(wǎng)絡安全問題及其攻擊手段也可以看出,利用內(nèi)網(wǎng)安全問題已經(jīng)成為主流趨勢。
知名的特洛伊木馬程序幾乎都內(nèi)置了感染內(nèi)網(wǎng)計算機之后再向外網(wǎng)發(fā)起反彈式連接的機制,這對于那些允許員工相對自由接入互聯(lián)網(wǎng)的組織來說,堪稱百試不爽。而更是有大量疏于防范的內(nèi)網(wǎng)計算機被攻擊者占領,被用作實施拒絕服務攻擊等大規(guī)模迫害行為之用。
內(nèi)網(wǎng)安全問題所具有的普遍性和嚴重性,使得我們無法再停留在重視內(nèi)網(wǎng)安全問題的層面上,而必須要對其有徹底而清醒的認識,這樣才能進一步對問題進行妥善的解決。
內(nèi)網(wǎng)安全問題上的一個謬誤是,人們經(jīng)常無法正確區(qū)分內(nèi)網(wǎng)安全所涉及的范圍。例如,經(jīng)常有人會將內(nèi)網(wǎng)安全和終端安全等概念等同視之,事實上內(nèi)網(wǎng)安全和終端安全還是有著比較明顯的區(qū)別的。一般來說,終端是指內(nèi)網(wǎng)中的服務器、客戶端、網(wǎng)絡設備等節(jié)點。這些節(jié)點雖然代表了內(nèi)網(wǎng)安全防護的主要目標,但是絕不是內(nèi)網(wǎng)安全的全部。
從比較廣泛的認識來看,內(nèi)網(wǎng)是指與互聯(lián)網(wǎng)相連但是中間有安全隔離設備的局域網(wǎng)絡。內(nèi)網(wǎng)安全應該涵蓋了整個組織內(nèi)部的信息安全問題,終端安全是內(nèi)網(wǎng)安全的有機組成部分,過分地強調(diào)終端安全或者其它某一個領域的內(nèi)網(wǎng)安全問題,是欠缺全面性的。
這個謬誤往往造成內(nèi)網(wǎng)安全的一個最重要問題,就是安全防護不成體系,各個安全防護點、防護措施之間整合度不夠,無法良好地協(xié)同。對于一個完善的內(nèi)網(wǎng)安全防護體系來說,不單單只要強化每個終端節(jié)點的安全性,還要監(jiān)控在內(nèi)網(wǎng)中傳輸?shù)木W(wǎng)絡流量、確認數(shù)據(jù)存取是否符合權(quán)限規(guī)定、處理硬件和軟件環(huán)境的變更等,工作內(nèi)容甚是繁雜。
而且,隨著信息安全意識的進步,企業(yè)的關注點已經(jīng)不再局限于對信息節(jié)點進行單純的監(jiān)控管理,同時也考慮到應用效率和管理效率等更多的因素。也就是說,用戶對于內(nèi)網(wǎng)安全的認識正在變得更加健全和健康,也更加的全面。這就對內(nèi)網(wǎng)安全技術和產(chǎn)品提出了很多新的要求,就像UTM類型的整合式安全設備正在越來越獲得認可一樣,在內(nèi)網(wǎng)安全領域整合式的產(chǎn)品服務無疑也將會受到用戶的歡迎。
正如鼎普科技的技術總監(jiān)王海洋女士所言:“我們不光提供產(chǎn)品,我們要提供的是一整套解決方案,包括介質(zhì)的使用管理、終端的非法外聯(lián)管理、補丁的增發(fā)等等”。所謂三流的公司賣產(chǎn)品,二流的公司賣服務,一流的公司賣標準,只有體系健全、技術規(guī)范、需求把握準確的產(chǎn)品才能真正提升用戶的內(nèi)網(wǎng)安全防護質(zhì)量。
另外一個必須引起重視的問題,還是信息安全領域的老生常談,那就是管理層面的問題。這不僅僅是指管理層提供的重視和支持,也不完全是管理制度的重要性,而更多的表現(xiàn)于內(nèi)網(wǎng)安全體系所具備的管理職能乃至管理“智能”。以實際的例子來說,很多內(nèi)網(wǎng)安全產(chǎn)品確實具有很多的功能組件,但是對于不同的用戶,安全需求往往是不同的。
相比來說,一個能夠靈活根據(jù)不同用戶需求進行功能定制和管理的產(chǎn)品,無疑能爆發(fā)出更大的安全效能。又比如內(nèi)網(wǎng)安全常見的端口管理,一些產(chǎn)品只能做到限制USB、網(wǎng)絡等端口的訪問,而一些先進的產(chǎn)品則還可以實現(xiàn)對這些端口使用狀態(tài)的監(jiān)控并實時地返回告警信息。
一、技術篇:內(nèi)網(wǎng)安全問題尋求技術良方
引言:對于關注內(nèi)網(wǎng)安全的人們來說,他們或者是要親身處理組織中的內(nèi)網(wǎng)安全問題,或者是每天都在受到內(nèi)網(wǎng)安全問題的困擾。正所謂“工欲善其事,必先利其器”,在本篇內(nèi)容中將以更加貼近一線戰(zhàn)場的視角為眾位讀者分析內(nèi)網(wǎng)安全領域各種常見問題和相關處理方法。
在真實的世界里,確實有很多因技術因素而造成的內(nèi)網(wǎng)安全困局,其中最重要的就是混雜平臺問題。即使在一些小企業(yè)當中,也可能存在著超過一種以上的操作系統(tǒng)環(huán)境。比如那些需要Windows操作系統(tǒng)處理日常辦公業(yè)務,同時又需要iMac進行設計工作的廣告公司。而一些組織雖然只使用一個廠商提供的操作系統(tǒng),由于計算機硬件配置參差不齊,很難保證使用相同版本的操作系統(tǒng)。
就我們所見的一個酒店客戶來說,Novell的服務器系統(tǒng)是經(jīng)常用來支撐酒店業(yè)務軟件運行的,而相匹配的終端甚至包括了遺留的DOS系統(tǒng)。通常文件服務和Web服務的控制要由Windows 2003 Server或更高版本的服務器操作系統(tǒng)來完成,而辦公區(qū)域則混合著從Windows 98到Windows XP等不同版本的桌面操作系統(tǒng)。
最直接的一點,由于混雜的操作系統(tǒng)種類,該酒店的管理員在處理防病毒、補丁更新、數(shù)據(jù)備份乃至各種內(nèi)部應用服務的時候,都需要為這種情況付出大量的額外努力。
而在設備管理和跟蹤的過程中,也經(jīng)常會出現(xiàn)一些死角,導致偶有未被登錄在案的計算機節(jié)點在網(wǎng)絡中工作而卻茫然不知?梢哉f,投入到信息安全的成本有很大一部分都因為混雜平臺問題而被浪費掉了,這導致的最直接結(jié)果就是沒有更多的資源來真正提升內(nèi)網(wǎng)安全防護的質(zhì)量,從而形成了一個內(nèi)網(wǎng)安全泥潭。
在看到羅列與此的這些問題時,安全管理員一定會有似曾相識的感覺。這個列表中的問題都相當常見而且流行,可以作為內(nèi)網(wǎng)安全的優(yōu)先關注點,也可以作為在選擇內(nèi)網(wǎng)安全工具和技術解決方案時的映射目標,最重要的是我們需要正確地認識使用哪些技術可以有效地處理這些問題。
目前,國內(nèi)也有很多CIO選擇TIPS安全防護平臺,對內(nèi)網(wǎng)進行有效管理。通過建立四級的防護體系:首先就是以硬件級防護為基礎,建立可信可控的信息系統(tǒng);其次,建立四級可信認證機制的縱深防御體系;接著是實現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護、安全審計、實時監(jiān)控等一系列基本防護要求;最后,安全性、管理性并重,系統(tǒng)既突出安全性,更注重可管理性
系統(tǒng)安全補丁自動分發(fā)
很多管理員都知道微軟提供了應用于企業(yè)內(nèi)部網(wǎng)絡的產(chǎn)品補丁更新解決方案,但是卻不見得都部署和使用過這種方式的更新,畢竟接入互聯(lián)網(wǎng)下載安全更新實在是太方便了。然而,在現(xiàn)實的應用環(huán)境中,并不是所有時候都可以簡單地讓所有終端計算機都不受控制地接入互聯(lián)網(wǎng)。
Windows服務器更新服務(WSUS)是相對常用的補丁更新工具,運行于服務器操作系統(tǒng)上,能夠向各種版本的、包含更新代理機制的桌面Windows操作系統(tǒng)傳遞和部署更新文件。而對于需要重啟控制、計劃安排、更新清單和更豐富管理界面的用戶來說,付費的系統(tǒng)管理服務器(SMS)將是一個不錯的選擇。
不過,在遇到混雜平臺環(huán)境時,微軟的產(chǎn)品就無法滿足需要了,企業(yè)可能需要求助于CA的Unicenter這樣的第三方商業(yè)產(chǎn)品來管理各種不同操作系統(tǒng)的補丁更新。對于Linux等非微軟操作系統(tǒng)來說,對面向企業(yè)應用環(huán)境的更新分發(fā)工具的需要似乎還沒有那么迫切,不過隨著這些操作系統(tǒng)使用比例的提高,也是該重視起來的時候了。
加密電子文檔同時不影響正常使用
對于數(shù)據(jù)安全來說,根據(jù)數(shù)據(jù)所對應的安全等級進行適當?shù)募用鼙Wo是最基本的手段之一。就那些相對公開化的業(yè)務應用來說,基于公鑰加密和證書認證等手段的體系是相對比較成熟和流行的,而PKI則是其中最典型的代表。一般常用的CA體系架構(gòu)相對簡便,也具有絕大多數(shù)用戶所需的功能。
從存儲數(shù)據(jù)的各個計算機節(jié)點來說,現(xiàn)在有大量免費的加密工具和數(shù)據(jù)擦除工具可用。不過其提供的保密級別往往較低,而且在操作系統(tǒng)層以及應用層進行加密,往往會衍生出其他的安全問題。對于密級較高的電子文檔,應該盡可能應用BIOS防護卡等硬件設備,限制數(shù)據(jù)的存取,并通過芯片級加密保護硬盤上的數(shù)據(jù)。
另外,目前基于USB接口的存儲設備比如U盤、移動硬盤等,也可以通過智能判斷和權(quán)限控制功能,來對其中的數(shù)據(jù)進行更好的安全管理。在更加高端的領域,用戶可能需要對數(shù)據(jù)的流向采取非常嚴格的控制,甚至規(guī)定必須使用簽收刻錄光盤的方式來交換某些數(shù)據(jù)。對于這類問題國內(nèi)廠商已經(jīng)提出了不少有效的解決方案。
例如鼎普科技的數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)就相當具有創(chuàng)新意義,這個系統(tǒng)利用了光纖單向傳輸?shù)奶匦,在物理層保證數(shù)據(jù)的流向正確。在使用過程中,鼎普科技的設備一端連入存儲涉密數(shù)據(jù)的計算機終端,一端連入U盤等數(shù)據(jù)源,即可實現(xiàn)數(shù)據(jù)的安全存入,而不會出現(xiàn)涉密數(shù)據(jù)被非法泄漏的問題。從中可以看出,作為以文檔加密作為內(nèi)網(wǎng)安全起點的國內(nèi)用戶來說,也許確實只有國內(nèi)的廠商才真正了解國內(nèi)用戶的需求。
防止擴散的無線信號泄漏組織的有價值數(shù)據(jù)
以Wi-Fi為代表的無線局域網(wǎng)技術似乎已經(jīng)成為便利性與安全性相互制約的一個經(jīng)典示例了。盡管Wi-Fi本身的安全性一直相對脆弱,但是在內(nèi)部網(wǎng)絡中提供無線接入能力仍舊成為越來越多企業(yè)的選擇。對于Wi-Fi無線接入點的管理應該具有相對較高的安全強度和級別,至少不能將其與其它普通的網(wǎng)絡節(jié)點等同視之。
應用WPA加密無線數(shù)據(jù)通信是必要的,盡管只要攻擊者有足夠的耐心,還是可能從嗅探到的數(shù)據(jù)中破解密鑰,但是其難度相對于WEP等舊有加密方式來說無疑要困難得多。如果需要更高的安全級別,可以考慮在無線鏈路上增加令牌驗證和VPN訪問控制等手段,以提供較強的安全控管能力。
來源:比特網(wǎng)