技术从真正实现商用的第一天起,就一直采用一种以开放和共享资源为主的模式。在追求较高便利性的同时,安全性必然会受到一定的影响,这也是内网安全问题自始难以解决的最重要内因。
管理上的细度和深入程度,往往决定了一套内网安全体系最终的层次。而往往那些层次较高的解决,在管理和应用上反而更加简单。众所周知,一个使用起来复杂的安全工具往往会因为误用而带来更多的安全问题。真正理想化的内网安全状态,应该是通过对管理的精益化,而将本就繁复的内网安全问题简单化。
就各种公布的调查数据来看,即使在最乐观的情况下,内网安全问题所造成的损失也超过了外网安全问题。将近四分之三的安全问题是由组织内部原因引起的,这其中主要包括了对信息设施的非授权访问和电子文档的泄漏。
这种情况一方面反应了部署在内网、外网边界的安全防护措施确实阻断了大量的外部攻击,而从另一方面也不难得出这样的结论,内网安全在时下已经成为领域最重要也是最难解决的课题。
当各个组织都在对游弋于空间的们百般担忧恐惧之时,殊不知正是那些被信任的人们,因为自身的失误甚至是物质诱惑,为攻击者们打开了方便之门。从流行的网络安全问题及其攻击手段也可以看出,利用内网安全问题已经成为主流趋势。
知名的特洛伊程序几乎都内置了感染内网计算机之后再向外网发起反弹式连接的机制,这对于那些允许员工相对自由接入互联网的组织来说,堪称百试不爽。而更是有大量疏于防范的内网计算机被攻击者占领,被用作实施拒绝服务攻击等大规模迫害行为之用。
内网安全问题所具有的普遍性和严重性,使得我们无法再停留在重视内网安全问题的层面上,而必须要对其有彻底而清醒的认识,这样才能进一步对问题进行妥善的解决。
内网安全问题上的一个谬误是,人们经常无法正确区分内网安全所涉及的范围。例如,经常有人会将内网安全和终端安全等概念等同视之,事实上内网安全和终端安全还是有着比较明显的区别的。一般来说,终端是指内网中的、客户端、网络设备等节点。这些节点虽然代表了内网安全防护的主要目标,但是绝不是内网安全的全部。
从比较广泛的认识来看,内网是指与互联网相连但是中间有安全隔离设备的局域网络。内网安全应该涵盖了整个组织内部的信息安全问题,终端安全是内网安全的有机组成部分,过分地强调终端安全或者其它某一个领域的内网安全问题,是欠缺全面性的。
这个谬误往往造成内网安全的一个最重要问题,就是安全防护不成体系,各个安全防护点、防护措施之间整合度不够,无法良好地协同。对于一个完善的内网安全防护体系来说,不单单只要强化每个终端节点的安全性,还要监控在内网中传输的网络流量、确认数据存取是否符合权限规定、处理硬件和软件环境的变更等,工作内容甚是繁杂。
而且,随着信息安全意识的进步,企业的关注点已经不再局限于对信息节点进行单纯的监控管理,同时也考虑到应用效率和管理效率等更多的因素。也就是说,用户对于内网安全的认识正在变得更加健全和健康,也更加的全面。这就对内网安全技术和产品提出了很多新的要求,就像UTM类型的整合式安全设备正在越来越获得认可一样,在内网安全领域整合式的产品服务无疑也将会受到用户的欢迎。
正如的技术总监王海洋女士所言:“我们不光提供产品,我们要提供的是一整套解决方案,包括介质的使用管理、终端的非法外联管理、补丁的增发等等”。所谓三流的公司卖产品,二流的公司卖服务,一流的公司卖标准,只有体系健全、技术规范、需求把握准确的产品才能真正提升用户的内网安全防护质量。
另外一个必须引起重视的问题,还是信息安全领域的老生常谈,那就是管理层面的问题。这不仅仅是指管理层提供的重视和支持,也不完全是管理制度的重要性,而更多的表现于内网安全体系所具备的管理职能乃至管理“智能”。以实际的例子来说,很多内网安全产品确实具有很多的功能组件,但是对于不同的用户,安全需求往往是不同的。
相比来说,一个能够灵活根据不同用户需求进行功能定制和管理的产品,无疑能爆发出更大的安全效能。又比如内网安全常见的端口管理,一些产品只能做到限制USB、网络等端口的访问,而一些先进的产品则还可以实现对这些端口使用状态的监控并实时地返回告警信息。
一、技术篇:内网安全问题寻求技术良方
引言:对于关注内网安全的人们来说,他们或者是要亲身处理组织中的内网安全问题,或者是每天都在受到内网安全问题的困扰。正所谓“工欲善其事,必先利其器”,在本篇内容中将以更加贴近一线战场的视角为众位读者分析内网安全领域各种常见问题和相关处理方法。
在真实的世界里,确实有很多因技术因素而造成的内网安全困局,其中最重要的就是混杂平台问题。即使在一些小当中,也可能存在着超过一种以上的环境。比如那些需要Windows操作系统处理日常办公业务,同时又需要iMac进行设计工作的广告公司。而一些组织虽然只使用一个厂商提供的操作系统,由于计算机硬件配置参差不齐,很难保证使用相同版本的操作系统。
就我们所见的一个酒店客户来说,Novell的系统是经常用来支撑酒店业务软件运行的,而相匹配的终端甚至包括了遗留的DOS系统。通常文件服务和Web服务的控制要由Windows 2003 Server或更高版本的服务器操作系统来完成,而办公区域则混合着从Windows 98到Windows XP等不同版本的桌面操作系统。
最直接的一点,由于混杂的操作系统种类,该酒店的管理员在处理防、补丁更新、数据备份乃至各种内部的时候,都需要为这种情况付出大量的额外努力。
而在设备管理和跟踪的过程中,也经常会出现一些死角,导致偶有未被登录在案的计算机节点在网络中工作而却茫然不知。可以说,投入到的成本有很大一部分都因为混杂平台问题而被浪费掉了,这导致的最直接结果就是没有更多的资源来真正提升内网安全防护的质量,从而形成了一个内网安全泥潭。
在看到罗列与此的这些问题时,安全管理员一定会有似曾相识的感觉。这个列表中的问题都相当常见而且流行,可以作为内网安全的优先关注点,也可以作为在选择内网安全工具和技术解决时的映射目标,最重要的是我们需要正确地认识使用哪些技术可以有效地处理这些问题。
目前,国内也有很多选择TIPS安全防护平台,对内网进行有效管理。通过建立四级的防护体系:首先就是以硬件级防护为基础,建立可信可控的信息系统;其次,建立四级可信认证机制的纵深防御体系;接着是实现身份鉴别、介质管理、数据保护、安全审计、实时监控等一系列基本防护要求;最后,安全性、管理性并重,系统既突出安全性,更注重可管理性
系统安全补丁自动分发
很多管理员都知道提供了应用于企业内部网络的产品补丁更新解决方案,但是却不见得都部署和使用过这种方式的更新,毕竟接入下载安全更新实在是太方便了。然而,在现实的应用环境中,并不是所有时候都可以简单地让所有终端计算机都不受控制地接入互联网。
Windows服务器更新服务(WSUS)是相对常用的补丁更新工具,运行于服务器操作系统上,能够向各种版本的、包含更新代理机制的桌面Windows操作系统传递和部署更新文件。而对于需要重启控制、计划安排、更新清单和更丰富管理界面的用户来说,付费的系统管理服务器(SMS)将是一个不错的选择。
不过,在遇到混杂平台环境时,微软的产品就无法满足需要了,企业可能需要求助于CA的Unicenter这样的第三方商业产品来管理各种不同操作系统的补丁更新。对于Linux等非微软操作系统来说,对面向企业应用环境的更新分发工具的需要似乎还没有那么迫切,不过随着这些操作系统使用比例的提高,也是该重视起来的时候了。
加密电子文档同时不影响正常使用
对于数据安全来说,根据数据所对应的安全等级进行适当的加密保护是最基本的手段之一。就那些相对公开化的业务应用来说,基于公钥加密和证书认证等手段的体系是相对比较成熟和流行的,而PKI则是其中最典型的代表。一般常用的CA体系架构相对简便,也具有绝大多数用户所需的功能。
从数据的各个计算机节点来说,现在有大量免费的加密工具和数据擦除工具可用。不过其提供的保密级别往往较低,而且在操作系统层以及应用层进行加密,往往会衍生出其他的安全问题。对于密级较高的电子文档,应该尽可能应用BIOS防护卡等硬件设备,限制数据的存取,并通过级加密保护硬盘上的数据。
另外,目前基于USB接口的存储设备比如U盘、等,也可以通过智能判断和权限控制功能,来对其中的数据进行更好的安全管理。在更加高端的领域,用户可能需要对数据的流向采取非常严格的控制,甚至规定必须使用签收刻录光盘的方式来交换某些数据。对于这类问题国内厂商已经提出了不少有效的解决方案。
例如的数据单向导入管理系统就相当具有创新意义,这个系统利用了光纤单向传输的特性,在物理层保证数据的流向正确。在使用过程中,鼎普科技的设备一端连入存储涉密数据的计算机终端,一端连入U盘等数据源,即可实现数据的安全存入,而不会出现涉密数据被非法泄漏的问题。从中可以看出,作为以文档加密作为内网安全起点的国内用户来说,也许确实只有国内的厂商才真正了解国内用户的需求。
防止扩散的信号泄漏组织的有价值数据
以为代表的技术似乎已经成为便利性与安全性相互制约的一个经典示例了。尽管Wi-Fi本身的安全性一直相对脆弱,但是在内部网络中提供无线接入能力仍旧成为越来越多企业的选择。对于Wi-Fi无线接入点的管理应该具有相对较高的安全强度和级别,至少不能将其与其它普通的网络节点等同视之。
应用WPA加密无线数据通信是必要的,尽管只要攻击者有足够的耐心,还是可能从嗅探到的数据中破解密钥,但是其难度相对于WEP等旧有加密方式来说无疑要困难得多。如果需要更高的安全级别,可以考虑在无线链路上增加令牌验证和访问控制等手段,以提供较强的安全控管能力。
对各种移动终端进行接入控制
对于笔记本电脑以及越来越多的终端,企业所能做的安全管理似乎总显得有些力不从心。除了对无线接入进行控制之外,这类终端可能引起的问题还有很多。蓝牙作为极为通用和具有时尚意味的连接方式,安全性却存在一些脆弱点。
为了更好地和其它蓝牙设备进行连接,蓝牙往往被设置成相对较低的安全认证等级,而事实上很多设备在出厂时默认就被设为最低的级别,比如大部分的产品都是如此。由于仅在链路层提供有限的安全控制,所以蓝牙安全更多地依赖于上层协议甚至应用层来进行安全管理。
想真正实现蓝牙安全应该强制性地在蓝牙传送数据时结合其它安全验证措施。虽然这通常很难处理,但不应该被忽视。对于手持设备来说,站点访问是提供业务处理和办公信息获取的通行方式之一。WTLS协议虽然出于性能考虑已经做了一些简化,但是仍是一种具有较高安全性的解决方案。
另外一个通行的原则是尽量将WAP网关置于保护之后,因为数据在到达WAP网关后往往会被解密而失去了WTLS的保护,在其流出WAP网关之后往往容易被俘获。
三、趋势篇:当内网安全遇上云
引言: “当我们望向未来的时候,我们可以更好地了解现在”,在领域亦是如此,带有一点前瞻意味的分析可能更有助于我们了解在安全问题的巨浪中应该赖何为生。主流安全技术与内网安全的融合?新兴内网安全工具的兴起?当面对一个问题时如果我们能够有很多可供选择的答案,虽有点烦恼却也是一种不折不扣的幸福。
如果我们将体系的主要特性展开,会发现其与内网安全诉求有着惊人的镜面效应。从核心模式上来说,云安全有能力构建不同种类终端到安全云的统一防御体系,这是而体系性正是目前内网安全解决最亟待提高的方面。
从防这个最传统也是最为人熟知的安全防护领域来看,云安全体系的应用虽然起步时日尚短但仍以极快的速度进入成熟期。由此获得的成功经验即是对其它内网安全领域的启示,同时也是一种莫大的鼓舞。也许用不了太长时间,就能够看到有其它的产品开始通过云安全来提升自己的防护能力,又或者为自己造势。
不得不令人关注的一点是,云安全是否会成为防病毒厂商进一步扩张自己势力范围的契机呢?让我们来看看堪称云安全“先驱者”的趋势科技,其最新推出的云安全2.0技术架构中所包含的文件信誉和多协议关联分析等技术,全都是将矛头指向了终端安全和内网安全。
云客户端文件信誉(CCFR)将海量病毒特征码交付给云端服务(比如内网的一台)进行管理,终端计算机进行文件访问时,将直接连接该云服务检查文件的安全性,而不必一定将更新文件分发到各台计算机。
这样做不但解放了各个计算机节点的性能和网络带宽,而且在及时性上也有着更充分的保障,对于防护质量具有非常显见的提高。而多协议关联分析技术能够全面支持检测2~7层的恶意威胁,对于时下流行的基于Web页面的恶意攻击、欺诈等典型的内网安全问题,有着较为全面的解决能力。
从这些情况不难看出,由于具备了体系上的优势和功能上的切入点,本身就是致力于终端保护的防病毒厂商,特别是像趋势、、卡巴斯基这样在技术和市场方面有很多前期积累的厂商,很有可能成为内网安全领域的一支奇兵。
如果延伸一点来看,云安全体系不但能够融合终端与云,也可以被纳入安全云的保护,形成“终端->网关”、“终端->云端”、“网关->云端”这样层次丰富且完整的防护体系。如果云安全能够真正渗透到内网安全领域,那其弥合所有计算机设备的特性和目标,甚至有望实现与内网的融合,实现安全的统一化和简约化。
技术刚刚兴起之时,是一种几乎被所有人看好的用于进行身份验证的技术,但是时至今日,居高不下的成本以及其他一些零散的问题仍让这种技术远离主流。这带给我们一些明确的启示,单纯的技术因素永远不?能决定一个安全产品的未来,所以我们当然不应该单纯地从技术角度出发来考虑内网安全问题。内网安全在需要适合当前安全环境的工具和产品同时,更需要那些适应长远发展的理念和架构,有了坚实的基础,才有真正的未来。