虽然网络的特性是开放,但是在一些特定的场合,仍然存在着大量的物理隔离网络, 这些网络的信息安全该如何考虑? 信息化愈来愈普及的今天,信息安全的重要程度也日益提高,这使得越来越依赖计算机网络进行日常工作的企业和政府机构都在信息化建设中安设了防火墙、IDS/IDP、VPN、身份认证等各种安全设备和软件,在初步缓解了安全隐患的同时,却引入了让安全管理人员十分头痛的问题。 全新的安全问题 安全体系的抗打击能力低下。病毒、木马后门等信息安全隐患越来越严重,企业网络信息安全面临着前所未有的巨大压力。目前被动式的、出现病毒感染才去升级杀毒软件对系统进行检测的方式已经起不到应用的作用。那种只注重防护,只是在现有网络上不断加挂防火墙,网络入侵检测设备,防病毒产品的做法已经行不通。事实证明,忽视了企业网络内部众多节点的防护,是使得病毒在企业网内横行的罪魁祸首。 企业内部数量巨大的台式机、移动设备、打印机等等,它们的自我防护能力参差不齐,如果不对这些隐患节点进行防护,它们将最容易受到具有破坏性的攻击危害。黑客、病毒、不满的员工,甚至人为操作失误都会给它们带来巨大的威胁,并进一步危及到其所在的网络。 面对新的安全问题,一些重要的企业采取了物理隔离手段将重要的网络进行物理隔离,企图以此来提高整个网络的安全系数,然而,这种手段会使有非法目的人更加关注网络,从而使用一些特定的攻击手段,另外,这种物理隔离的方式并不能减少内部人员刻意地释放病毒,或者有目的发进行攻击。 主动出击,对节点安全进行防护 2004年上半年恶性蠕虫和后门程序再次引发网络安全危机,Mydoom、Netsky和Bagle蠕虫病毒以及它们的各种变种大规模轮番发作,给社会带来了十分严重的经济损失。最新的MyDoom、Sobig和Bagel等病毒的“功能”越来越强大,会给被感染的计算机留下后门,入侵者能够利用这些后门方便地侵入终端系统。多数节点工作站用户安全意识的薄弱,使得整个系统漏洞百出。从病毒和蠕虫造成的损害中可以看出,我们必须加强对网络内部节点设备的保护力度。除此之外,还要防范被感染的节点设备对整个网络的威胁,这就需要准确的定位,迅速的隔离。 此外,针对节点设备的一种更为主动的措施是“网络接入控制”。在较大规模的信息网络中,不符合安全策略要求的节点设备比比皆是,且难以检测和清除。查找并隔离这些系统是费时费力的工作,往往是今天将其拆除,明天又被安装。节点安全防护应该能够阻止这些“不安全”的节点设备接入网络。通过将节点设备的状态信息与网络接入控制的执行标准相结合,将大幅提高整个网络的安全。 全网统一管理 才是解决之道 面对新的安全问题,就需要有新的解决方案,那就是:“建立一个内网节点保护体系,并将整个网络的所有情况通过节点的实时反馈,集中到一个系统安全信息管理中心,然后通过该管理中心对全网进行统一管理!” 节点设备安全并不只是单点安全技术,不仅仅关注节点,同时还要考虑全网安全体系架构。所有节点都要服从安全体系架构的统一的框架,接受统一的管理。 节点设备用户大多不是安全专家,不可能让他们去配置复杂的安全规则,解读烦琐的安全报警。为此,好的安全解决方案除了提供上述的节点设备保护、防范、访问准入技术以外还需要提供更高层次的管理技术。 只有在每一个节点上建立起一道有效的防线,并且能够真正的统一管理这些节点的安全性能,才能从根源上解决企业内部网络的安全问题。 众多结构和思路不同的安全设备,它们的运行效果无从量化,海量的安全事件充斥着大量不可靠的信息,从而变得毫无价值,制定安全策略的高层管理人员无法获得对安全态势的全局观,安全措施与它所保障的实际业务没有有效的关联,安全预警、安全防护、应急响应各子系统没有形成高效的联动系统,导致安全体系的抗打击能力低下。这种情况,尤其在很多闭合的网络里面后果更为严重,那么如何针对封闭式网络打造新的安全体系,本文作者作出有益的探索。