在经历了外网安全建设后,普遍面临“内忧”胜于“外患”的局面,换言之,企业不仅需要坚固的边界安全,更需要稳定的内网安全。
最近,国内某大型造船厂发生了一起有惊无险的网络安全事件。由于该造船厂的计算机系统内储存有大量的重要设计数据,某一天,系统突然报警,显示某个电脑终端正在非法拷贝这些重要文件数据,而网管人员通过内网审计系统的跟踪,立刻锁定了拷贝文件的电脑和登陆系统的用户名,从而在重要文件还没被外传之前,及时制止了该非法行为,避免了无谓的经济损失。
事实上,类似的内网安全事件在很多企业都有发生,但由于内网安全的完善程度不同,并非每个企业都能避免损失发生。有调查显示,超过85%的安全威胁来自企业内部,其中16%来自企业内部未经授权的非法访问,40%来自电子文件的泄露,由此可见,内网安全问题已是企业网络安全建设的重头戏。
为了确保网络安全,、杀毒软件、等产品早已成为企业用户的普遍部署,但是,这些主要针对外网的安全防护在面对内网安全威胁时,往往形同虚设,因为“内忧”胜于“外患”,企业不仅需要坚固的边界安全,更需要稳定的内网安全。
那么,目前企业们对于内网安全的认识是否到位,他们在内网安全部署方面处于何种程度,还存在哪些有待完善之处,内网安全在产品技术上又存在哪些发展趋势。
过半企业重视内网安全
网络安全威胁层出不穷,网络安全问题无处不在,但是,事情总有轻重缓急之分,哪个领域的安全问题是企业用户当前首需解决的呢?调查反馈显示,“内网安全”以54.9%的比例占据第一位置,其次,25.7%的用户选择外网安全,10.6%的用户选择了终端安全,8.8%的用户选择了Web安全。
显然,企业网络安全建设行进之今,过半用户已经将“内网安全”设定为首需解决的问题。同时,这也表明用户对于内网安全重要性的认识已经达到相当程度。
北京互网络科技有限公司产品项目部顾问黄毅就明确表示,内网的安全管理,很多时候比外网安全管理更加重要,因为企业的机密信息泄漏、业务系统被如侵等,往往就是透过内部的非授权访问和泛滥导致的,所以,保障内网安全势在必行。
作为内网安全建设领域的专家,北京股份有限公司战略市场部经理万俊告诉记者,一直以来,企业安全防御的理念更多局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防、)等方面,主要的安全设施大多集中于、网络入口处。应该说,在这些安全设备的严密监控下,来自网络外部的安全威胁得到显著缓解。然而,随着企业的不断深入,来自网络内部的安全威胁开始逐步凸显出来,网络的内部安全问题大于外部问题渐渐成为业界共识。
对此,我们可以从企业用户当前对于安全细节问题的关注度得到印证。在“哪些安全细节问题是贵公司当前比较重视的”这一问题中,83.2%的用户选择了病毒查杀,69.0%的用户选择了安全,46.9%的用户选择了网络设备安全,31.9%的用户选择了补丁升级管理,31.0%的用户选择了网站运维安全,27.4%的用户选择了身份认证,22.1%的用户选择了信息加密。可以看出,不论是常见的病毒查杀,还是身份认证或信息加密,用户对此都持有相当的关注。
“提高意识 管理到位”是首要
为什么需要管理内网安全,我们从企业员工的日常小事即可明白。如今,很多员工在上班闲暇时,偶尔聊聊QQ或MSN,要不上玩“偷菜”或观看在线电影,要不干脆打开BT电驴等下载软件下载大容量文件。这些在大小企业中普遍存在的现象不仅影响了员工的工作效率,而且还会占用企业网络流量,从而影响其他正常业务的开展。
事实当然不仅如此,根据本次调查反馈,70.8%的企业存在“员工随便登陆MSN、QQ、BT等内容”,37.2%的企业存在“经常有人改动IP地址从而造成冲突”,62.8%的企业存在“经常出现某台电脑没有打补丁或补丁不全”,31.0%的企业存在“经常受到非法”,48.7%的企业存在“不能完全限制内网的设备与重要信息的保管”。
可以看出,近七成左右的企业存在“员工随便登陆MSN、QQ、BT等内容”和“经常出现某台电脑没有打补丁或补丁不全”的现象,另外三项困扰也有近五成企业有所遭遇。
另外,根据调查反馈,目前企业网络主要遭遇的安全威胁中,76.1%的用户选择,14.2%的用户选择,8.8%的用户选择电子邮件攻击,0.9%的用户选择/欺骗。可见,木马泛滥的确到了人人喊打的地步。
需要指出的是,木马病毒除了可以跟随Web应用从外网进入内网之外,还有一个重要的传播渠道,即通过移动U盘直接在内网终端上蔓延开来。对此,在诸多安全厂商的内网安全产品中,都或多或少存在防止移动终端传播病毒的功能。比如鼎普科技的安全U盘系统,它是通过智能判断和权限访问控制技术,使数据信息在U盘上实现存取控制,同时也具备对U盘进行身份认证、敏感信息外带时防止非授权访问和病毒窃取等功能。目前,金融、电信等行业用户大多应用了类似系统以杜绝终端隐患。
抛开行业特殊性,抛开单一内网安全产品或功能,目前企业用户针对网络安全的部署现状如何呢。根据调查反馈,96.5%的用户选择了杀毒软件,78.8%的用户选择了防火墙,24.8%的用户选择了(安全传输),20.4%的用户选择了身份认证系统,27.4%的用户选择了内网安全管理,8.8%的用户选择了IDS/IPS。
很明显,虽然近八成企业都部署了杀毒软件和防火墙,但这正好说明企业在网络安全建设过程中,外网安全是优先经历的阶段,而接下来的重点则在内网安全。
那么,内网安全建设应该从何处下手呢,首先,我们可以从“企业网络中发生安全事件的原因通常包括有哪些”这一问题的调查结果看,有48.7%的用户选择“网络或软件配置错误”,28.3%的用户选择“管理员弱口令”,62.8%的用户选择“系统漏洞”,74.3%的用户选择“员工安全意识淡薄、管理不到位”,15.0%的用户选择“DDoS攻击”。
显然,“员工安全意识淡薄、管理不到位”是企业发生网络安全事件的最普遍原因,这与很多企业CIO的看法也是一致。
山西省大同市阳高县畜牧服务中心饲料牧草管理站站长杭军表示,影响内网安全管理的因素很多,其中,用户的认识水平、重视程度及使用习惯,尤其是普通用户的安全意识和相关管理人员的管理水平,尤为重要。
同样,在吉林吉恩镍业股份有限公司信息中心主任周军利看来,保障内网安全,首先需要制订科学完善的内网安全管理制度,从要制度上规范员工上网行为,其次要加大制度的执行和考核力度,让员工自觉树立意识,最后就是使用先进的内网安全管理产品,从技术上保障内网安全。
从“偏安全”到“偏管理”
从技术角度讲,内网安全包含的内容其实很多,比如如何发现客户端设备的系统漏洞并自动分发补丁,如何防范移动设备随意介入内网、如何防范内网设备非法外联,如何点对点控制异常客户端的运行,如何防范内部涉密信息泄露等。
换句话说,与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,相应的产品部署也相对更加多样。比如有的侧重内网终端防护,有的侧重流量和上网行为控制,有的侧重监控审计,有的侧重身份认证或信息加密等。
万俊介绍,过去几年,人们对于内网安全的管理主要偏向于防止信息泄密,因此,严格控制电脑终端的外设及各类端口成为各大厂商产品的重点诉求。
然而,随着网络安全形势的不断演变,企业用户开始不仅满足于对电脑终端的监控,而是希望从管理的角度对内网安全进行防护。比如本文开头所说的那家造船厂,通过内网审计系统锁定非法操作,再比如统计网络流量、补丁分发以及系统软硬件的升级管理等。
这在本次调查也有所反映。“在内网安全管理方面,贵公司期望在哪个部分得到加强”,有51.3%的用户选择了“监控审计”,26.5%的用户选择了“桌面管理”,14.2%的用户选择了“文档加密”,8.0%的用户选择了“加密”。
事实上,为了满足用户需求,厂商的产品策略上也在随之跟进。“当然,我们在产品策略上也从最初单纯的监控审计,到现在把监控审计和管理相结合,走向偏重管理的方向。”万俊表示,“毕竟,内网安全的重心已经从偏重安全转移到偏重管理,内网的概念已不仅集中在涉密这块,许多非涉密企业、非涉密业务也开始从管理的角度落实内网安全。”
在实践应用中,偏重管理就是要求企业在运用内网功能的时候,不是为了在事后进行补救,而是一方面可以做到预防危险的发生,另一方面把公司一些理念、文化都能在计算机内网监控中得到体现。比如鼎普科技最新研发的“猎隼”网络信息监测系统,这个系统通过对所有网络的内容进行解析,能够及时阻止内部的计算机通过发生的敏感信息泄露,快速定位追查源头,防止违规事件发生。它还能对整个网络及计算机用户上网行为、网络流量进行监控,帮助网络高效、稳定、安全的运行,为信息化建设及管理提供有效的技术支撑。
打造立体防御体系
“未来一年,贵公司是否制定了进一步加强内网安全管理的计划”,结果显示,41.6%的企业表示有,32.7%的用户表示暂时没有,25.7%的用户表示不确定。可见,有四成多的用户打算加强内网安全部署。
不过,涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个有机统一的安全控制系统,实现立体式实时监管,才是实施内网安全部署的关键所在。
在万俊看来,保障内网安全不能仅靠各种功用安全产品的堆叠,而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制,则可以让系统既突出安全性,有注重管理性。
第一级认证:基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固,例如使用计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装、卸载已安装的软件系统改变现有安全环境。
第二级认证:基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控,即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。
第三级认证:实现对程序安装运行的授权控制。对应用程序进行黑白名单控制,只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。
第四级认证:实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实络的安全接入——只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对入终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断网等。
在建立以上四级可信认证机制的纵深防御体系基础上,企业用户还要实现身份鉴别、介质管理、数据保护、安全审计、实时监控等防护要求,如此才能达到扎实有效的安全效果。