端点保护安全管理

发表于:2007-06-23来源:作者:点击数: 标签:
不用赘述病毒、蠕虫以及黑客对系统网络层出不穷、花样翻新的攻击了。相信没有人会否认,今天,如何确保信息网络正常高效的运行,已经升级成为CIO 们最头疼的问题。 最近发作的极速波病毒Zotob创造了一个令人难以置信的记录——它从漏洞被发现到被成功利用仅

    不用赘述病毒、蠕虫以及黑客对系统网络层出不穷、花样翻新的攻击了。相信没有人会否认,今天,如何确保信息网络正常高效的运行,已经升级成为CIO 们最头疼的问题。

最近发作的极速波病毒Zotob创造了一个令人难以置信的记录——它从漏洞被发现到被成功利用仅用了不到6 天的时间。蠕虫爆发仿佛禽流感,只要有一台终端出现问题,周围的网络中就会产生多米诺骨牌式的连锁效应。一个端点的问题,就立刻被放大成整个网络的问题。

" 兵来将挡,水来土掩".各种防御措施和防御体系也在不断更新。达成安全网络的解决方案从提供单一的防范措施逐步向系统性、集成性发展。然而,即使各大厂商不停地增强安全工具和补丁程序,企业仍然无法摆脱网络危机的梦魇。显然,以往防火墙、防病毒、入侵检测" 三板斧" 式的防御看起来已是力不从心。

" 道高一尺,魔高一丈" ?真的如此吗?未必,或许是时候重新检讨我们的安全理念了。赛门铁克公司董事长兼首席执行官John W. Thompson先生在今年2 月的RSA 大会上就曾经表示:" 在经济全球化的今天,安全问题既可以是一种竞争优势——也可能是一种竞争劣势。今天的威胁是无声的、但目标却是高度明确的。犯罪分子正搜寻个人和企业财务信息——他们正试图通过这些信息来获得实实在在的经济好处。"

着眼终端的安全理念

问题在哪里?看看一份由计算机安全协会(Computer Security Institute )与美国联邦调查局(FBI )联合进行的计算机安全报告吧。这份报告显示,对企业网络构成的为首四大威胁全部都是源自终端。除了上面提到的病毒外,还有笔记本用户引起的交叉感染,内部终端的未授权访问,内部终端滥用网络。

既然所有的矛头都直指薄弱的终端管理,那么终端管理的现状又怎样呢?根据国际计算机安全协会(ICSA Lab)的病毒调研报告,有30% 的终端不符合企业的安全要求。在蠕虫和病毒加速侵略我们的网络时,网络管理员们却发现自己迷失在终端管理的汪洋之中,疲于应对各种挑战:

复杂的IT架构:多样化的设备、接入点、用户、程序和应用;

日益开放的业务要求网络的开放,后果就是漏洞无所不在;

网络可用与信息安全的平衡。在保证信息安全的同时,如何实现互连互通的网络,保证其能够很好地提高工作效率;

传统方案不理想。例如边界防火墙,可以被轻松穿透;网络入侵检测只能在蠕虫损害了某些系统后,或正在广泛传播时才能可靠的检测出来,象是事后诸葛亮。基本的个人防火墙对系统的锁定不够,补丁管理总是滞后,而杀毒则颇似盲羊补牢。

过去的桌面安全管理方案是基于网络存在物理边界这样的事实;而今天,VPN 的接入、诸如笔记本电脑、掌上电脑和PDA 等移动终端和无线的接入,已经让企业很难定义一个清晰的网络边界。而通过端点的管理技术,可以把非物理的网络定义出一个清晰的边界。在今天的网络环境中,去定位、隔离和修复不达标的系统,意味着需要消耗大量的人力资源和时间;而且没有好的技术手段来保障,这些问题迟早又会重现。正是在这样的背景下," 完整的终端管理" 这一新的安全理念应势而出。完整的终端管理能够在当网络存在风险时,通过管理网络中的各个端点,来保证终端的安全运行、实施自动修复,并在危害发生之前就将其消灭,以最终实现对整个网络的保护。

从源头保证安全

目前端点安全技术已经相当成熟,每个端点的价格也趋于合理,这就带来了商业普及的可能性。像赛门铁克安全策略保证系统(Symantec Secure Enterprise)就可以解决内部网络(含传统内网、移动用户和分支机构)的安全管理问题,而点播式保护(Symantec On-Demand Protection )则可以帮助企业在试图进入网络的访客设备上实施安全策略,解决与电子商务、电子政务、网上银行、SSL VPN 以及其他基于 web的应用等相关的信息安全问题。

安全领域屡获殊荣的赛门铁克可谓是这一领域的领先者,其在主机防火墙技术、点播式保护技术、主机入侵防御技术以及网络准入控制技术等多项指标上均领先业界。赛门铁克网络准入/ 访问控制 Symantec  Network Admission/Aclearcase/" target="_blank" >ccess Control(NAC )的核心理念就是通过屏蔽一切不安全的设备和人员接入网络,以及规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。

不妨从网络的原理来思考赛门铁克 NAC理念的先进性。网络是由包括个人计算机、台式机、工作站、服务器、网络设备等各种各样的端点组成。各种端点是安全的最后一公里,也是最核心的地方,如果从源头入手,把安全做进端点,就可以通过确保网络中每一个" 端点" 安全措施的完整,来保护整个网络的安全和Web 应用的正常。在网络节点接入安全网络时,需要对接入的系统安全状况及系统用户的身份进行充分的分析、评估、认证,以此确认该系统是否符合网络的内部安全策略,是否达标,最后再决定是否需要给予该网络节点系统的接入权限,还是拒绝接入或是安全升级后再接入。例如,当侦测/ 预防系统检测到网络系统中存在异常情况(如病毒、蠕虫或木马程序等)时,就会将相关信息报告到策略控制系统,再由策略控制系统自动发出控制指令,通过准入安全设备将异常端点设备隔离,同时报告给网络管理员作进一步处理。如此,系统就可以在短时间内控制发作范围,免去了因为人工操作时间较长,造成病毒或木马已经在网络内蔓延,难以控制的局面。这样,通过准入设备、侦测/ 预防系统和策略控制系统的联动,将整个网络打造成预防、及时处理和策略控制的全面安全系统,如同可信计算一样,确保了所有接入到网络上的端点是可信的。这样网络就不会被滥用,有效降低了潜在的安全风险、降低了网络系统安全危机发生的频率、缩小了发生的范围、提高了处理的效率,降低了企业损失和成本。

赛门铁克以一种全新的思路,从根本上改变了网络安全一直以来被动防守的局面,为用户提供了一套完整的能够真正实现主动防护、不间断防护和零时点防护的安全管理架构。这种解决方案使企业能够为消费者提供动态灵活的保护,创建一个安全的虚拟桌面(Virtual Desktop )环境来与企业进行互动。企业甚至可以设置和实施连接策略来阻止敏感的公司信息外泄。终端解决方案让消费者确信他们的信息不会被恶意攻击或者盗窃。他们还可以保护企业的品牌以及公司与其客户的关系。

因此,不奇怪为什么越来越多的企业正转向基于风险的安全方式。诸如惠普、索尼、时代华纳、NTT 、联邦快递、优利这样的大企业都选择了赛门铁克NAC 在全球进行大规模的部署和应用,来保护自己的网络和客户的数据安全。在亚太地区,诸如瑞士信贷、富士通、中兴、一汽等也已经初步体验到了端点保护的优势。

未来之路

IDC 预测,由于新型安全威胁,病毒的频繁爆发和垃圾邮件的爆炸式增长,从2004年到2008年,安全内容管理市场将以54.4% 的年复合增长率递增。权威杂志InfoWorld 则预测,2006年最有意义的创新将会是出现" 安全偏执狂".显然,任何一家公司都是不可能仅仅靠关注安全问题的某一方面就能一劳永逸。

数字化的交互现在已经是无处不在了。网上电子商务、宽带网的使用以及人们上网方式等方面还会有非常大的发展。未来,除了组织的网络安全这一挑战将继续存在外,另一个更关键的问题可能是消费者对数字世界信心的消失。在数字世界里,消费者经常是安全保护系统中的薄弱环节。企业会担心它们的顾客是否得到了充分的保护。它们也会担心它们的客户可能会在不经意间使企业遭受攻击,让整个网络面临风险。当客户访问关键商业应用程序时,企业需要一种方法来在客户进入网络前确保他们满足了某种最基本的安全要求。

商业社区必须提供终端到终端的安全解决方案,解除数字世界客户的后顾之忧。企业应该利用它们的基础架构来提供关键和综合的解决方案,来确保终端安全,还必须保护含有客户信息的应用程序和数据库

有鉴于此,赛门铁克研究实验室小组已经开始开发一种名为赛门铁克数据库审查与安全保护(Symantec Database Audit and Security)的全新数据库保护技术。这种技术可以监视每一笔数据交易——以实时的方式进行,它可以建立审计跟踪,对每个数据库用户的异常使用情况进行扫描,标记出那些不符合公司政策的、对敏感数据的请求。

一个充满信任的、可以为最终用户提供方便、无缝连接和安全的在线经历的网上社区是我们的最终目标。企业应该坚持不懈的走主动性安全体系建设的过程,并愿意跟服务商一起共同承担安全建设的风险。实践证明,这样的企业最有可能实现安全管理最佳境界。企业也需要提高选择和制定适合企业的安全标准;建立一套安全管理的流程;实施安全意识教育,以避免无意之间造成的安全错误。

我们必须意识到,把确保信息安全放在第一位不仅仅是安全防护公司或者安全防护专家的责任,它应该是我们大家的责任。

链接:新 "木桶短板理论" 与企业的信息安全

木桶的承水量,或者企业的信息安全水平,并不只是由最短的那块木板决定。还取决于木板间的缝隙和底板的牢固。

把每块木板看成是一个安全产品,如果它们之间不能很好的密合起来,水还是会流出去。木桶之间的缝隙,好比安全防护体系不同产品之间的协作和联动。在信息安全中,目前的攻击手法已经融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,如果我们的各个安全产品还是独自作战,就无法有效地阻止病毒的传播。而且更为严重的是,目前的安全产品日志是没有合并的,精密的黑客攻击行为可能出现的情况是每一个单独的安全产品都可能没有识别出是一个攻击行为,但是如果把这些攻击日志结合在一起就发现是一次严重的攻击行为。

牢固的底板同样重要。对于企业而言,这只底板正是企业的信息安全架构、制度建设和流程管理。缺乏整体的信息安全规划和建设、制度和流程,或者执行不力,没有定期检查,正如同木桶的桶底不太坚实。越来越大的水容量将构成木桶底板的巨大挑战。

因此,企业现在需要的是一套整合各种方案和产品的安全管理流程,这是先决条件。只有这样,水才不会通过缝隙流出来,再把那块短板加高,安全水平才会得到提升。

先把握好大方向,然后再去修补小的漏洞,而不是相反!

原文转自:http://www.ltesting.net