提起信息安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界等方面的防御,但是实际情况看,安全问题大都是出自网络内部,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失。
据权威机构调查三分之二以上的安全威胁来自泄密和内部因素,而非病毒和外来黑客引起。防火墙、入侵检测、隔离装置等网络安全保护对于防止外部入侵有着不可替代的作用,但对于网络内部存在的不安全隐患却显得无可奈何,因此,内部网络安全必须作为整体安全管理的一个重要组成部分来对待。
造成内网不安全的因素很多,但归结到底不外乎两个方面:管理和技术。造成内网不安全的管理因素主要是管理策略不完善,技术因素主要由于对一些安全产品的使用和维护没有特别重视。内网的信息安全是一个整体的策略方案,如何从根本上解决内部泄密至关重要。据调查大多数企业内部的重要电子文档均以明文保存、而权限控制还处于粗放状态,拥有文件的人对文件具有全部的使用权限,而且是无期限的,一旦出现问题,无法查找出泄密根源。
目前,内网安全对于各种规模的企业来说都在逐渐引起关注,它势必将为企业提供最大化安全防御能力。同时,为了确保整个企业内部的安全性和业务连续性,安全必须与管理相结合。
一:内网安全基本架构
从内网安全的基本构架来讲,内网安全问题可以系统地划分为四个方面:系统安全、网络安全、数据安全和安全管理。
系统安全主要用于界定单个计算机或设备节点的安全问题,保障所有系统的安全是建立安全系统的基础。如果某个系统具有较低的安全性,那么与该系统处于同一网络中的其它系统同样会面临安全威胁。在保障系统安全方面,除常见的系统加固、补丁管理等,还应充分考虑应用系统的安全问题,并能够保障这些工作能够在动态的环境中良好地完成。
相对于统安全,网络安全主要涵盖的是节点之间的安全问题。除此之外,网络安全部分还应该包括访问控制方面的问题。
数据备份是数据安全范畴的最基本问题。当今的数据备份已是涵盖数据可用性的更加全面的数据管理方案,而加密已经成为渗透到各个功能层次中的极为重要的信息保护手段。
与以上所列的三个方面相比,安全管理更多的集中于抽象层次的内容,即着眼于整个内网环境的管理规划和执行。 细化来讲,内网的安全管理还分为两个方面,一方面是在管理的标准化上,比如平台的标准化、安装软件的标准化、正版软件的强制要求等等,任何一个细节都可能造成管理上的失误导致安全事件发生。另一方面,很多企业的管理安全策略没有强化到系统之中,缺少相应的技术支持,不能由计算机帮助强制执行。管理是否完善,技术力量是否强大,有没有一些很好的产品去支撑和实现这套管理体系,对于内网安全来讲都是必须去重视的。
二:保障内网安全
保障内网安全从以下几点着手:
1,做好内网安全规划
规划内网安全首先要从业务角度去评判企业自己的业务系统内容与重要程度,什么样的业务有什么人去用,主要做些什么。然后根据这些业务的需求去规划内网的安全级别,比如,财务和内部技术部门的开发系统,安全等级应该列为重中之重;对在内网传输着的保密和敏感的数据,一定要设法保证对这些数据加密,以便保护这些数据,根据传输数据的性质,可以使用IPsec或者采用物理隔离等措施。
另一方面就是风险,要尽量弄清楚企业自己的内网可能面临哪些风险,现有条件下对这些风险的承受程度如何。因为风险只能控制在一个可接受的程度却不可能降到零,否则降低过多就会造成在安全上投资太大,降低太少又会风险太高。
企业应该在对于内网安全的投资和可接受的风险之间找一个平衡的位置,才是更好的规划内网安全。除了考虑业务系统重要程度和可接受的风险之外,另外一个很重要的方面就是应急响应。当安全问题出现时如何处理,如何恢复,都是不能忽视的问题。"就像以前有网管中心一样,现在也必须有一个安全中心,去统管整个安全事件,包括安全事件的分析,安全事件的响应、处理,这些都是为了确保业务连续性。
2,构建完整有效的内网安全保证体系
构建完整的内网安全保证体系应该从人、技术、流程、审计四个方面综合考虑。前二个因素支撑起内网安全平台的基本框架,审计则将这三个因素有机地结合到了一起。
人的方面就是要弄清楚内网都有谁去使用,他们各自的需求是什么,这些需求和访问分别有什么特点。技术方面,要清楚整个保障体系所必须的技术基础是什么,哪些工作可以通过技术手段帮助管理员完成,这样才可以针对性的采购一些安全产品,去支撑整个安全体系。第三个方面也是最重要的一个方面就是流程,在现有的安全保障体系中,任何一个安全事件或者安全意外的处理流程是什么样,有哪个部门哪个人采取什么样的安全措施,都是应该提前考虑的。
最后就是内网安全审计,一个保障体系好不好取决于有没有一个定期的审计,没有定期审计就很难有所提高,所以把人、技术和流程结合起来做一个定期的审计也是非常重要的。内网安全审计系统主要是针对特定网络、特定主机实现行为控制和审计,是监控上述三个环节是否出现问题和漏洞或者出现什么样的问题和漏洞的主要手段之一。如果企业构建安全管理分析中心,就需要依托在网络安全审计功能之上.从海量数据中提取极端精确的数据内容,为更深入和高层的安全防护备足充分的线索。
另外,保障内网安全出发点应该主要根据风险和ROI的评估,不论企业的自动化程度是否足够高,内网规模是否足够大,保障内网安全采用何种体系关键在于内网上运行的业务,如果企业的关键业务是手工完成,内网安全事件的发生不会对关键业务造成任何影响,这时候就不用刻意去强调内网安全。所以考虑的出发点应该是内网上的信息或者应用对用户的重要性如何,根据重要性再去考虑采用什么样的保护方案,不应该仅仅根据内网的规模去考虑。
3,确保VPN的安全访问
随着网络应用越来越复杂,网络接入方式也变得多种多样,很多移动的用户变得越来越多,频繁进出内网,原来很好的边界安全防护在这种新的模式下就变得不再起作用。VPN(虚拟专用网)的用户访问无疑是内网安全的重大威胁之一,现在很多VPN产品将弱化的桌面置于企业防火墙之外,具有直接访问内网权限的那些VPN用户端点势必会给内网安全带来极大不确定性。那么怎样确保VPN的安全访问呢?
第一,VPN中要采用尽可能强的认证方式。比如,通常在VPN的协商过程中,有两种方式做认证,共享密钥和数字证书,通常我们建议用数字证书,因为共享的密钥一方面管理起来比较麻烦,并且相对来说比较容易被破解,用数字证书相对要安全一些,但是数字证书可能带来成本开销的加大。
第二,在加密的算法上要尽量采用更好的算法,原来我们用的比较多的是3DS加密算法,这种算法效率比较低。相对来说,加密算法AES算法加密更快同时强度更高。
此外,在VPN通讯特别是远程访问中要加强对于端点的控制,设置严格的访问权限和级别,避免不必要的安全隐患和安全事件的发生。另外,针对VPN的攻击,要有一定的处理方法,未雨绸缪,一旦攻击发生要有很好的防范措施。
三:内网安全产品的发展
当前的内网安全管理正在从认识的普及走向产品的普及,已经有越来越多的用户认识到内网安全在整个信息安全体系当中的重要地位。
目前,在市场上也已经出现并不断推出很多以内网安全为核心目标的管理产品,这些产品能够提供覆盖系统管理、漏洞检测、访问控制、安全审计,数据存储、信息加密等极大范围的安全管理功能。从这一点来说,内网安全在经历了长时间的理论积累和实践反思后,正在加快向实际环境开展应用的步伐。
配合用户安全意识及理念的不断提升,内网安全相关的产品将在较短的时间里获得类似防火墙这类产品一样的主流地位。事实上,防火墙产品本身就是内网安全体系的重要组成部分之一,入侵检测类产品的发展也与内网误用这一需求的推动有极大的关系,而最早在用户群体中获得普及的防病毒产品所经历的也是从内而外的发展历程。信息安全产业在未来的几年中,将催生出更加成熟、更加统一、包容性更强的信息安全管理框架。安全产品的形态趋势将逐步表现为兼顾外网安全防御与内网安全管理的全面综合系统.
“外网是危险的,内网是可信任的”,这种目前获得广泛使用的思维方式无论是在意识形态上还是在产品设计上都会被打破。随着内网安全获得更加合理的地位,信息安全将进一步沿着整合化、平台化,统一化、基础化的方向发展。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073