【平坦安全】内网安全之美
前面讲过了,目前安全界的趋势是平坦化。一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS 就会不停的报警,然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机,让它从一堆IP地址中定位某一台设备,这简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围,才有定位的可能性。
目前,不少安全厂商已经开始完善自身的内网安全技术,并与身份认证系统做到有机结合。王景辉介绍说,他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术,作为3DSMP技术的具体化。而在DCSM技术中,提出了五元素控制:即用户名、用户账号、 IP地址、交换机端口、VLAN绑定在一起,进一步去做访问控制。
在此基础上,内网安全机制可以根据IDS/IPS的报警,对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒,比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时,DCBI控制中心就会进行实时告警。若告警无效,系统就可以阻断某个用户的网络联结。
由于通过完整的认证过程,系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。
不难看出,一套安全的认证系统,在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍,一套完善的认证机制与内网安全管理软件组合在一起,就可以实现丰富的准入控制功能。此外,一般这类管理软件本身不需要安装,只要通过服务器进行分发,就可以推给每一台试图接入网络的计算机上。
而Juniper的安全产品经理梁小东也表示,把认证系统与内网安全系统结合起来,可以确保总体的网络设计更加安全。而且通过内置的安全协议,可以最大程度地让更多的安全产品,如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况,选配不同的模块,具备了安全部署的灵活性。
在采访的过程中,记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的,虽然企业用户都拥有完善的基础设施,包括全套防病毒系统,可近两年的状况是,病毒大规模爆发的次数不但没有减少,反而更多了,而且大量安全事件都是从内网突破的。
因此总结起来看,要实现一套完善的内网安全机制,第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为,去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后,让系统合理地执行很重要。传统上封堵IP的做法,对于现在的攻击和病毒效果不好,因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式,就是在安全认证通过以后,系统就可以定位到某一个IP的用户是谁,然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候,就可以避免阻断整个IP子网的情况。此外,通过利用802.1X协议,整套安全系统可以把交换机也互动起来,这样就可以更加精确地定位发生安全事件的客户机在哪里。
| 主流安全认证技术一瞥 | ||||
| 属性 | 类型 | 主要特点 | 应用领域 | 主要问题 |
| 单因数认证 | 用户名密码体制 | 静态的认证方式,实现简单 | 常见于办公网络 | 安全性较差 |
| 短信认证 | 动态的认证方式,部署方便,成本较低,安全性较高 | 常用于企业IT部门或部分金融机构 | 无法与AD结合 | |
| 双因数认证 | 数字证书 | 安全性很高,可以与AD结合使用。 | 常见于金融机构,政府部门 | 系统开发的复杂度高,存在一定的证书安全隐患 |
| 动态令牌 | 具有最高的安全性,基本不会有单点安全的困扰 | IT安全厂商有使用 | 成本高昂 | |
的确,纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是,其带来的IT管理问题也无法忽视。
美国《Network World》的安全编辑撰文指出,美国很多年营业额在1.5亿到10亿美元的中型企业用户,很多都不考虑双因数认证的问题。因为他们认为,双因数认证系统不仅难于配置,而且花费在购买和实施上的资金也较高,特别是其管理和维护的复杂度也过高。
回到国内,记者发现类似的问题确实也有不少。这个问题的关键在于,这些中型企业恰好处于市场的成长期,用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下,部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。
不过,这并不意味着认证安全无法解决。事实上,很多企业已经开始行动了。在此,记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。
顾名思义,“混合认证”就是把传统的身份认证与双因数认证进行了整合,以求获得最佳性价比。在此,请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中,将对人的认证和对机器的认证进行了有机结合。在OA办公领域,采用的都是传统的“用户名+密码”的方式,而在分散各地的ATM机器中,采用了双因数认证,通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证,从而确保了安全监管的需求。
“我们通过这种混合认证模式,既保证了OA系统的简单、高效,同时又在安全的基础上,降低了企业网的运营成本。”福建兴业银行的IT安全负责 人解释说,“这是把有限的资金用在生产网上。”
对于类似的认证,确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言,如果国内企业普遍采用了混合认证模式,那么可以极大地规范企业网中的隐性安全问题,包括一些私有设备和无线设备的准入控制,都可以低成本地解决。
事实上,中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上,没有哪个国家的人比中国人更喜欢发短信了。”因此,利用短信进行安全认证也成为了一大特色。
短信认证的成本很低,客户端只需要一部手机,服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码,这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出,短信认证虽然安全、成本低,但是其无法与企业目录服务(AD)进行整合,因此易用性受到挑战。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073