企業(yè)網(wǎng)絡(luò)的安全內(nèi)患
在信息高速傳遞的現(xiàn)代工業(yè)社會(huì),企業(yè)無(wú)可避免要利用公司網(wǎng)絡(luò)來(lái)連結(jié)員工、伙伴、客戶(hù)和供貨商以傳遞高度敏感的資料和數(shù)據(jù),萬(wàn)一網(wǎng)絡(luò)被惡意程序入侵,則可能令企業(yè)停止運(yùn)作,或者令機(jī)密數(shù)據(jù)被黑客竊取,造成重大損失。
一直以來(lái),企業(yè)面對(duì)的攻擊主要來(lái)自網(wǎng)絡(luò)外部,因此企業(yè)都十分著重搭建防御外在威脅的安全架構(gòu),例如部署防火墻和入侵偵測(cè)系統(tǒng);但現(xiàn)今的間諜軟件等惡意程序能夠先通過(guò)互聯(lián)網(wǎng)感染企業(yè)用戶(hù)的流動(dòng)設(shè)備,然后當(dāng)這些用戶(hù)登入企業(yè)網(wǎng)絡(luò)時(shí),便在企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行檔案破壞或密碼破解等動(dòng)作,再將企業(yè)內(nèi)部信息傳送到外界。這種攻擊模式已經(jīng)十分流行,因此,完善企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵,除了對(duì)外聯(lián)信息要進(jìn)行管制之外,還要加強(qiáng)對(duì)內(nèi)聯(lián)信息傳遞的監(jiān)管,應(yīng)該從每一個(gè)使用者連接到網(wǎng)絡(luò)的那一刻開(kāi)始,進(jìn)行徹底的統(tǒng)一接入控制 (Unified Access Control),對(duì)于登入企業(yè)網(wǎng)絡(luò)及使用網(wǎng)絡(luò)者進(jìn)行最全面的安全監(jiān)控。
部署統(tǒng)一接入控制的考慮因素
統(tǒng)一接入控制可以分成三個(gè)層面,除了監(jiān)控使用者能否連接網(wǎng)絡(luò)之外,接下來(lái)要監(jiān)控使用者在網(wǎng)絡(luò)上的行為,讓其符合公司的安全規(guī)范,最后一個(gè)部份則是分層管理,也就是針對(duì)使用者不同的身份及角色,實(shí)施不同的網(wǎng)絡(luò)監(jiān)控政策,使不同部門(mén)有不同的權(quán)限要求與保障。
UAC功完善,但因?yàn)樯婕爸匾陌踩珕?wèn)題,加上配置和管理工作的重要性也不容忽視,因此企業(yè)需要周全計(jì)劃,以及慎重地選擇適當(dāng)?shù)腢AC方案。部署統(tǒng)一接入控制應(yīng)當(dāng)考慮的方面應(yīng)該包括:
1. 周全性
完善的UAC方案應(yīng)可根據(jù)不同的準(zhǔn)則來(lái)訂出存取操控決策,包括設(shè)備的完整性、用戶(hù)身份及設(shè)備的地點(diǎn)。不同的用戶(hù)可能會(huì)于不同地點(diǎn)以不同的設(shè)備登入網(wǎng)絡(luò),所以UAC方案要能夠?qū)?yīng)各種可能會(huì)出現(xiàn)的網(wǎng)絡(luò)存取情況,以及隨時(shí)監(jiān)控已登入的端點(diǎn)設(shè)備及用戶(hù),并更新其存取權(quán)限,并向管理人員提供其相關(guān)信息。
2. 對(duì)應(yīng)日后擴(kuò)展需要
理想的UAC方案應(yīng)該要有靈活和擴(kuò)展能力,以應(yīng)對(duì)日后的發(fā)展需要,例如企業(yè)可能會(huì)擴(kuò)展其網(wǎng)絡(luò)基建以接納更大量用戶(hù)和端點(diǎn)設(shè)備,用戶(hù)亦可能會(huì)在日后采用全新的硬件設(shè)備、網(wǎng)絡(luò)接入方式和應(yīng)用程序。好的UAC方案應(yīng)該可以提供各種不同的配置選項(xiàng),以對(duì)應(yīng)硬件、網(wǎng)絡(luò)技術(shù)、應(yīng)用軟件甚至存取操控政策方面的改變。
3. 開(kāi)放式標(biāo)準(zhǔn)
UAC方案應(yīng)該盡量采用符合業(yè)界標(biāo)準(zhǔn)的開(kāi)放式規(guī)格,例如 TCG建議的 Trusted Network Connect標(biāo)準(zhǔn),才能夠確保與客戶(hù)端安全軟件、防火墻、IDS/IPS、身份認(rèn)證基及政策儲(chǔ)存目錄等現(xiàn)有的安全方案互相配合,同時(shí)確保可以對(duì)應(yīng)日后推出的方案,以及簡(jiǎn)化安裝、維護(hù)、更新和管理等各方面的程序和降低成本。
4. 簡(jiǎn)化管理和報(bào)告功能
除了最重要的安全功能外,UAC方案最好還應(yīng)當(dāng)具有易于管理和方便用戶(hù)產(chǎn)生詳盡報(bào)告等優(yōu)點(diǎn),這樣有助企業(yè)減低成本、遵守法規(guī)需求,和讓管理人員充分了解網(wǎng)絡(luò)管理人員和安全狀況。
5. 配置及管理成本
為降低成本,考慮UAC的時(shí)候,企業(yè)還需要計(jì)算其配置選項(xiàng)的靈活性、操作方便程度及管理存取控制政策時(shí)所動(dòng)用的資源。與之有關(guān)的準(zhǔn)則包括:其架構(gòu)是否采用開(kāi)放式標(biāo)準(zhǔn)以方便管理和整體管理,以及配置成本能否分階段建立等。
在綜合考慮了以上各方面因素之后,企業(yè)才可以部署合理的統(tǒng)一接入控制方案,從而實(shí)現(xiàn)對(duì)于來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題的防范與管理,并且對(duì)于內(nèi)部信息存取動(dòng)作與權(quán)限進(jìn)行有效監(jiān)管。
