雖然網(wǎng)絡(luò)的特性是開(kāi)放,但是在一些特定的場(chǎng)合,仍然存在著大量的物理隔離網(wǎng)絡(luò),
這些網(wǎng)絡(luò)的信息安全該如何考慮?
信息化愈來(lái)愈普及的今天,信息安全的重要程度也日益提高,這使得越來(lái)越依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行日常工作的企業(yè)和政府機(jī)構(gòu)都在信息化建設(shè)中安設(shè)了防火墻、IDS/IDP、VPN、身份認(rèn)證等各種安全設(shè)備和軟件,在初步緩解了安全隱患的同時(shí),卻引入了讓安全管理人員十分頭痛的問(wèn)題。
全新的安全問(wèn)題
安全體系的抗打擊能力低下。病毒、木馬后門(mén)等信息安全隱患越來(lái)越嚴(yán)重,企業(yè)網(wǎng)絡(luò)信息安全面臨著前所未有的巨大壓力。目前被動(dòng)式的、出現(xiàn)病毒感染才去升級(jí)殺毒軟件對(duì)系統(tǒng)進(jìn)行檢測(cè)的方式已經(jīng)起不到應(yīng)用的作用。那種只注重防護(hù),只是在現(xiàn)有網(wǎng)絡(luò)上不斷加掛防火墻,網(wǎng)絡(luò)入侵檢測(cè)設(shè)備,防病毒產(chǎn)品的做法已經(jīng)行不通。事實(shí)證明,忽視了企業(yè)網(wǎng)絡(luò)內(nèi)部眾多節(jié)點(diǎn)的防護(hù),是使得病毒在企業(yè)網(wǎng)內(nèi)橫行的罪魁禍?zhǔn)住?
企業(yè)內(nèi)部數(shù)量巨大的臺(tái)式機(jī)、移動(dòng)設(shè)備、打印機(jī)等等,它們的自我防護(hù)能力參差不齊,如果不對(duì)這些隱患節(jié)點(diǎn)進(jìn)行防護(hù),它們將最容易受到具有破壞性的攻擊危害。黑客、病毒、不滿(mǎn)的員工,甚至人為操作失誤都會(huì)給它們帶來(lái)巨大的威脅,并進(jìn)一步危及到其所在的網(wǎng)絡(luò)。
面對(duì)新的安全問(wèn)題,一些重要的企業(yè)采取了物理隔離手段將重要的網(wǎng)絡(luò)進(jìn)行物理隔離,企圖以此來(lái)提高整個(gè)網(wǎng)絡(luò)的安全系數(shù),然而,這種手段會(huì)使有非法目的人更加關(guān)注網(wǎng)絡(luò),從而使用一些特定的攻擊手段,另外,這種物理隔離的方式并不能減少內(nèi)部人員刻意地釋放病毒,或者有目的發(fā)進(jìn)行攻擊。
主動(dòng)出擊,對(duì)節(jié)點(diǎn)安全進(jìn)行防護(hù)
2004年上半年惡性蠕蟲(chóng)和后門(mén)程序再次引發(fā)網(wǎng)絡(luò)安全危機(jī),Mydoom、Netsky和Bagle蠕蟲(chóng)病毒以及它們的各種變種大規(guī)模輪番發(fā)作,給社會(huì)帶來(lái)了十分嚴(yán)重的經(jīng)濟(jì)損失。最新的MyDoom、Sobig和Bagel等病毒的“功能”越來(lái)越強(qiáng)大,會(huì)給被感染的計(jì)算機(jī)留下后門(mén),入侵者能夠利用這些后門(mén)方便地侵入終端系統(tǒng)。多數(shù)節(jié)點(diǎn)工作站用戶(hù)安全意識(shí)的薄弱,使得整個(gè)系統(tǒng)漏洞百出。從病毒和蠕蟲(chóng)造成的損害中可以看出,我們必須加強(qiáng)對(duì)網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)設(shè)備的保護(hù)力度。除此之外,還要防范被感染的節(jié)點(diǎn)設(shè)備對(duì)整個(gè)網(wǎng)絡(luò)的威脅,這就需要準(zhǔn)確的定位,迅速的隔離。
此外,針對(duì)節(jié)點(diǎn)設(shè)備的一種更為主動(dòng)的措施是“網(wǎng)絡(luò)接入控制”。在較大規(guī)模的信息網(wǎng)絡(luò)中,不符合安全策略要求的節(jié)點(diǎn)設(shè)備比比皆是,且難以檢測(cè)和清除。查找并隔離這些系統(tǒng)是費(fèi)時(shí)費(fèi)力的工作,往往是今天將其拆除,明天又被安裝。節(jié)點(diǎn)安全防護(hù)應(yīng)該能夠阻止這些“不安全”的節(jié)點(diǎn)設(shè)備接入網(wǎng)絡(luò)。通過(guò)將節(jié)點(diǎn)設(shè)備的狀態(tài)信息與網(wǎng)絡(luò)接入控制的執(zhí)行標(biāo)準(zhǔn)相結(jié)合,將大幅提高整個(gè)網(wǎng)絡(luò)的安全。
全網(wǎng)統(tǒng)一管理
才是解決之道
面對(duì)新的安全問(wèn)題,就需要有新的解決方案,那就是:“建立一個(gè)內(nèi)網(wǎng)節(jié)點(diǎn)保護(hù)體系,并將整個(gè)網(wǎng)絡(luò)的所有情況通過(guò)節(jié)點(diǎn)的實(shí)時(shí)反饋,集中到一個(gè)系統(tǒng)安全信息管理中心,然后通過(guò)該管理中心對(duì)全網(wǎng)進(jìn)行統(tǒng)一管理!”
節(jié)點(diǎn)設(shè)備安全并不只是單點(diǎn)安全技術(shù),不僅僅關(guān)注節(jié)點(diǎn),同時(shí)還要考慮全網(wǎng)安全體系架構(gòu)。所有節(jié)點(diǎn)都要服從安全體系架構(gòu)的統(tǒng)一的框架,接受統(tǒng)一的管理。
節(jié)點(diǎn)設(shè)備用戶(hù)大多不是安全專(zhuān)家,不可能讓他們?nèi)ヅ渲脧?fù)雜的安全規(guī)則,解讀煩瑣的安全報(bào)警。為此,好的安全解決方案除了提供上述的節(jié)點(diǎn)設(shè)備保護(hù)、防范、訪問(wèn)準(zhǔn)入技術(shù)以外還需要提供更高層次的管理技術(shù)。
只有在每一個(gè)節(jié)點(diǎn)上建立起一道有效的防線,并且能夠真正的統(tǒng)一管理這些節(jié)點(diǎn)的安全性能,才能從根源上解決企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題。
眾多結(jié)構(gòu)和思路不同的安全設(shè)備,它們的運(yùn)行效果無(wú)從量化,海量的安全事件充斥著大量不可靠的信息,從而變得毫無(wú)價(jià)值,制定安全策略的高層管理人員無(wú)法獲得對(duì)安全態(tài)勢(shì)的全局觀,安全措施與它所保障的實(shí)際業(yè)務(wù)沒(méi)有有效的關(guān)聯(lián),安全預(yù)警、安全防護(hù)、應(yīng)急響應(yīng)各子系統(tǒng)沒(méi)有形成高效的聯(lián)動(dòng)系統(tǒng),導(dǎo)致安全體系的抗打擊能力低下。這種情況,尤其在很多閉合的網(wǎng)絡(luò)里面后果更為嚴(yán)重,那么如何針對(duì)封閉式網(wǎng)絡(luò)打造新的安全體系,本文作者作出有益的探索。
