局域网技术从真正实现商用的第一天起,就一直采用一种以开放和共享资源为主的模式。在追求较高便利性的同时,安全性必然会受到一定的影响,这也是内网安全问题自始难以解决的最重要内因。
管理上的细度和深入程度,往往决定了一套内网安全体系最终的层次。而往往那些层次较高的解决方案,在管理和应用上反而更加简单。众所周知,一个使用起来复杂的安全工具往往会因为误用而带来更多的安全问题。真正理想化的内网安全状态,应该是通过对管理的精益化,而将本就繁复的内网安全问题简单化。
就各种公布的调查数据来看,即使在最乐观的情况下,内网安全问题所造成的损失也超过了外网安全问题。将近四分之三的安全问题是由组织内部原因引起的,这其中主要包括了对企业信息设施的非授权访问和电子文档的泄漏。
这种情况一方面反应了部署在内网、外网边界的安全防护措施确实阻断了大量的外部攻击,而从另一方面也不难得出这样的结论,内网安全在时下已经成为信息安全领域最重要也是最难解决的课题。
当各个组织都在对游弋于互联网空间的黑客们百般担忧恐惧之时,殊不知正是那些被信任的人们,因为自身的失误甚至是物质诱惑,为攻击者们打开了方便之门。从流行的网络安全问题及其攻击手段也可以看出,利用内网安全问题已经成为主流趋势。
知名的特洛伊木马程序几乎都内置了感染内网计算机之后再向外网发起反弹式连接的机制,这对于那些允许员工相对自由接入互联网的组织来说,堪称百试不爽。而更是有大量疏于防范的内网计算机被攻击者占领,被用作实施拒绝服务攻击等大规模迫害行为之用。
内网安全问题所具有的普遍性和严重性,使得我们无法再停留在重视内网安全问题的层面上,而必须要对其有彻底而清醒的认识,这样才能进一步对问题进行妥善的解决。
内网安全问题上的一个谬误是,人们经常无法正确区分内网安全所涉及的范围。例如,经常有人会将内网安全和终端安全等概念等同视之,事实上内网安全和终端安全还是有着比较明显的区别的。一般来说,终端是指内网中的服务器、客户端、网络设备等节点。这些节点虽然代表了内网安全防护的主要目标,但是绝不是内网安全的全部。
从比较广泛的认识来看,内网是指与互联网相连但是中间有安全隔离设备的局域网络。内网安全应该涵盖了整个组织内部的信息安全问题,终端安全是内网安全的有机组成部分,过分地强调终端安全或者其它某一个领域的内网安全问题,是欠缺全面性的。
这个谬误往往造成内网安全的一个最重要问题,就是安全防护不成体系,各个安全防护点、防护措施之间整合度不够,无法良好地协同。对于一个完善的内网安全防护体系来说,不单单只要强化每个终端节点的安全性,还要监控在内网中传输的网络流量、确认数据存取是否符合权限规定、处理硬件和软件环境的变更等,工作内容甚是繁杂。
而且,随着信息安全意识的进步,企业的关注点已经不再局限于对信息节点进行单纯的监控管理,同时也考虑到应用效率和管理效率等更多的因素。也就是说,用户对于内网安全的认识正在变得更加健全和健康,也更加的全面。这就对内网安全技术和产品提出了很多新的要求,就像UTM类型的整合式安全设备正在越来越获得认可一样,在内网安全领域整合式的产品服务无疑也将会受到用户的欢迎。
正如鼎普科技的技术总监王海洋女士所言:“我们不光提供产品,我们要提供的是一整套解决方案,包括介质的使用管理、终端的非法外联管理、补丁的增发等等”。所谓三流的公司卖产品,二流的公司卖服务,一流的公司卖标准,只有体系健全、技术规范、需求把握准确的产品才能真正提升用户的内网安全防护质量。
另外一个必须引起重视的问题,还是信息安全领域的老生常谈,那就是管理层面的问题。这不仅仅是指管理层提供的重视和支持,也不完全是管理制度的重要性,而更多的表现于内网安全体系所具备的管理职能乃至管理“智能”。以实际的例子来说,很多内网安全产品确实具有很多的功能组件,但是对于不同的用户,安全需求往往是不同的。
相比来说,一个能够灵活根据不同用户需求进行功能定制和管理的产品,无疑能爆发出更大的安全效能。又比如内网安全常见的端口管理,一些产品只能做到限制USB、网络等端口的访问,而一些先进的产品则还可以实现对这些端口使用状态的监控并实时地返回告警信息。
一、技术篇:内网安全问题寻求技术良方
引言:对于关注内网安全的人们来说,他们或者是要亲身处理组织中的内网安全问题,或者是每天都在受到内网安全问题的困扰。正所谓“工欲善其事,必先利其器”,在本篇内容中将以更加贴近一线战场的视角为众位读者分析内网安全领域各种常见问题和相关处理方法。
在真实的世界里,确实有很多因技术因素而造成的内网安全困局,其中最重要的就是混杂平台问题。即使在一些小企业当中,也可能存在着超过一种以上的操作系统环境。比如那些需要Windows操作系统处理日常办公业务,同时又需要iMac进行设计工作的广告公司。而一些组织虽然只使用一个厂商提供的操作系统,由于计算机硬件配置参差不齐,很难保证使用相同版本的操作系统。
就我们所见的一个酒店客户来说,Novell的服务器系统是经常用来支撑酒店业务软件运行的,而相匹配的终端甚至包括了遗留的DOS系统。通常文件服务和Web服务的控制要由Windows 2003 Server或更高版本的服务器操作系统来完成,而办公区域则混合着从Windows 98到Windows XP等不同版本的桌面操作系统。
最直接的一点,由于混杂的操作系统种类,该酒店的管理员在处理防病毒、补丁更新、数据备份乃至各种内部应用服务的时候,都需要为这种情况付出大量的额外努力。
而在设备管理和跟踪的过程中,也经常会出现一些死角,导致偶有未被登录在案的计算机节点在网络中工作而却茫然不知。可以说,投入到信息安全的成本有很大一部分都因为混杂平台问题而被浪费掉了,这导致的最直接结果就是没有更多的资源来真正提升内网安全防护的质量,从而形成了一个内网安全泥潭。
在看到罗列与此的这些问题时,安全管理员一定会有似曾相识的感觉。这个列表中的问题都相当常见而且流行,可以作为内网安全的优先关注点,也可以作为在选择内网安全工具和技术解决方案时的映射目标,最重要的是我们需要正确地认识使用哪些技术可以有效地处理这些问题。
目前,国内也有很多CIO选择TIPS安全防护平台,对内网进行有效管理。通过建立四级的防护体系:首先就是以硬件级防护为基础,建立可信可控的信息系统;其次,建立四级可信认证机制的纵深防御体系;接着是实现身份鉴别、介质管理、数据保护、安全审计、实时监控等一系列基本防护要求;最后,安全性、管理性并重,系统既突出安全性,更注重可管理性
系统安全补丁自动分发
很多管理员都知道微软提供了应用于企业内部网络的产品补丁更新解决方案,但是却不见得都部署和使用过这种方式的更新,毕竟接入互联网下载安全更新实在是太方便了。然而,在现实的应用环境中,并不是所有时候都可以简单地让所有终端计算机都不受控制地接入互联网。
Windows服务器更新服务(WSUS)是相对常用的补丁更新工具,运行于服务器操作系统上,能够向各种版本的、包含更新代理机制的桌面Windows操作系统传递和部署更新文件。而对于需要重启控制、计划安排、更新清单和更丰富管理界面的用户来说,付费的系统管理服务器(SMS)将是一个不错的选择。
不过,在遇到混杂平台环境时,微软的产品就无法满足需要了,企业可能需要求助于CA的Unicenter这样的第三方商业产品来管理各种不同操作系统的补丁更新。对于Linux等非微软操作系统来说,对面向企业应用环境的更新分发工具的需要似乎还没有那么迫切,不过随着这些操作系统使用比例的提高,也是该重视起来的时候了。
加密电子文档同时不影响正常使用
对于数据安全来说,根据数据所对应的安全等级进行适当的加密保护是最基本的手段之一。就那些相对公开化的业务应用来说,基于公钥加密和证书认证等手段的体系是相对比较成熟和流行的,而PKI则是其中最典型的代表。一般常用的CA体系架构相对简便,也具有绝大多数用户所需的功能。
从存储数据的各个计算机节点来说,现在有大量免费的加密工具和数据擦除工具可用。不过其提供的保密级别往往较低,而且在操作系统层以及应用层进行加密,往往会衍生出其他的安全问题。对于密级较高的电子文档,应该尽可能应用BIOS防护卡等硬件设备,限制数据的存取,并通过芯片级加密保护硬盘上的数据。
另外,目前基于USB接口的存储设备比如U盘、移动硬盘等,也可以通过智能判断和权限控制功能,来对其中的数据进行更好的安全管理。在更加高端的领域,用户可能需要对数据的流向采取非常严格的控制,甚至规定必须使用签收刻录光盘的方式来交换某些数据。对于这类问题国内厂商已经提出了不少有效的解决方案。
例如鼎普科技的数据单向导入管理系统就相当具有创新意义,这个系统利用了光纤单向传输的特性,在物理层保证数据的流向正确。在使用过程中,鼎普科技的设备一端连入存储涉密数据的计算机终端,一端连入U盘等数据源,即可实现数据的安全存入,而不会出现涉密数据被非法泄漏的问题。从中可以看出,作为以文档加密作为内网安全起点的国内用户来说,也许确实只有国内的厂商才真正了解国内用户的需求。
防止扩散的无线信号泄漏组织的有价值数据
以Wi-Fi为代表的无线局域网技术似乎已经成为便利性与安全性相互制约的一个经典示例了。尽管Wi-Fi本身的安全性一直相对脆弱,但是在内部网络中提供无线接入能力仍旧成为越来越多企业的选择。对于Wi-Fi无线接入点的管理应该具有相对较高的安全强度和级别,至少不能将其与其它普通的网络节点等同视之。
应用WPA加密无线数据通信是必要的,尽管只要攻击者有足够的耐心,还是可能从嗅探到的数据中破解密钥,但是其难度相对于WEP等旧有加密方式来说无疑要困难得多。如果需要更高的安全级别,可以考虑在无线链路上增加令牌验证和VPN访问控制等手段,以提供较强的安全控管能力。
来源:比特网