近幾年,隨著網(wǎng)絡(luò)安全事件的頻頻發(fā)生,人們對外部入侵和INTERNET的安全日益重視,但來自內(nèi)部網(wǎng)絡(luò)的攻擊卻有愈演愈烈之勢,內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法流露、拷貝、篡改,往往給企業(yè)、政府或軍隊部門造成重大損失。使內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運行,幫助企業(yè)各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理,保障各類業(yè)務(wù)正常安全運行,這就是內(nèi)網(wǎng)安全管理產(chǎn)品能夠帶給我們的價值。
一、 內(nèi)網(wǎng)面臨的主要安全威脅
國內(nèi)信息安全企業(yè)啟明星辰認(rèn)為,內(nèi)網(wǎng)主要面臨的安全威脅有如下幾條:
單位資產(chǎn),員工私產(chǎn)——資產(chǎn)管理失控:網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換,每個終端硬件配備(CPU、硬盤、內(nèi)存等)肆意組裝拆卸、操作系統(tǒng)隨意更換、各類應(yīng)用軟件胡亂安裝卸載,各種外設(shè)(軟驅(qū)、光驅(qū)、U盤、打印機(jī)、Modem等)無節(jié)制使用。
網(wǎng)絡(luò)無限,自由無限——網(wǎng)絡(luò)資源濫用:IP地址濫用,流量濫用,甚至工作時間聊天、游戲、賭博、瘋狂下載、登陸色情反動網(wǎng)站等行為影響工作效率,影響網(wǎng)絡(luò)正常使用。
蠕蟲泛濫,業(yè)務(wù)癱瘓——病毒蠕蟲入侵:由于補(bǔ)丁不及時、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)內(nèi)病毒蠕蟲泛濫、網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失,而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施,從而為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)的影響。
門戶大開,長驅(qū)直入——外部非法接入:移動設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入或者入侵內(nèi)部網(wǎng)絡(luò),帶來病毒傳播、黑客入侵等不安全因素。
外賊好治,家賊難防——內(nèi)部非法外聯(lián):內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等,或違反規(guī)定將專網(wǎng)專用計算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)。
網(wǎng)絡(luò)無界,一損俱損——重要信息泄密:因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄露或毀滅,造成不可彌補(bǔ)的重大損失。
千里之堤,毀于蟻穴——補(bǔ)丁管理混亂:終端用戶不了解系統(tǒng)補(bǔ)丁狀態(tài),不及時打補(bǔ)丁,也沒有辦法統(tǒng)一進(jìn)行補(bǔ)丁的下載、分析、測試和分發(fā),從而為蠕蟲與黑客入侵保留了通道。
根據(jù)啟明星辰多年的經(jīng)驗,以下一些內(nèi)網(wǎng)安全問題容易被用戶忽略,主要是:
• 如何進(jìn)行補(bǔ)丁自動分發(fā)部署和補(bǔ)丁控制(微軟公司SUS/SMS存在功能不足);
• 如何進(jìn)行外來筆記本電腦隨意接入控制;
• 如何防范網(wǎng)絡(luò)物理隔離泄漏;
• 如何對未安裝防病毒軟件的終端進(jìn)行統(tǒng)計;
• 如何對感染蠕蟲病毒的計算機(jī)快速定位,并強(qiáng)制其斷開網(wǎng)絡(luò)連接;
• 如何有效進(jìn)行網(wǎng)絡(luò)IP設(shè)備資源管理;
• 如何對終端的安全策略進(jìn)行統(tǒng)一配置管理;
• 如何審計終端的各種違規(guī)行為。
二、內(nèi)網(wǎng)安全管理應(yīng)該實現(xiàn)哪些功能?
內(nèi)網(wǎng)安全管理產(chǎn)品應(yīng)該具備終端基本管理、IT資產(chǎn)管理、終端桌面管理、終端安全管理、網(wǎng)絡(luò)主機(jī)運維、事件報表及報警處置、審計、補(bǔ)丁管理等功能。
以某商業(yè)銀行部署啟明星辰天玥內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)為例,該行是1992年經(jīng)人民銀行批準(zhǔn)試營運,下轄數(shù)十個支行,共有營業(yè)網(wǎng)點上千個。該網(wǎng)絡(luò)較為復(fù)雜,需要部署省、市兩級內(nèi)網(wǎng)安全管理系統(tǒng),對終端進(jìn)行統(tǒng)一監(jiān)控和管理。系統(tǒng)需要在內(nèi)網(wǎng)部署一臺內(nèi)網(wǎng)安全管理服務(wù)器,由于系統(tǒng)管理采用B/S構(gòu)架,管理員可在網(wǎng)絡(luò)的任何終端通過登陸內(nèi)網(wǎng)管理服務(wù)器的管理頁面進(jìn)行管理和各種信息查詢;所有的網(wǎng)絡(luò)終端需要安裝客戶端程序以對其進(jìn)行監(jiān)控和管理;系統(tǒng)同時需要在外網(wǎng)部署一臺補(bǔ)丁下載服務(wù)器(部署于外網(wǎng),和互聯(lián)網(wǎng)相連),用來更新補(bǔ)丁信息(此服務(wù)器也可用來下載病毒庫升級文件)。
具體的部署和管理構(gòu)架如下:
 |
天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)可以實現(xiàn)的功能主要有:
•客戶端分組管理功能:可按客戶端各種軟、硬件特征、IP范圍、注冊信息等進(jìn)行進(jìn)行分組管理。
•策略管理功能:可根據(jù)時間段和時間點定制策略使用或禁止使用的觸發(fā)條件,按照條件搜索的設(shè)備進(jìn)行策略分組分發(fā)管理。
•日志功能:記錄系統(tǒng)登陸、操作及客戶端違規(guī)日志,可進(jìn)行模糊查詢,并支持按管理員自定義字段進(jìn)行報表導(dǎo)出。
•全網(wǎng)統(tǒng)一升級:管理中心升級后,全網(wǎng)客戶端程序既自動升級。
•轉(zhuǎn)發(fā)代理功能:為在軟件分發(fā)(或補(bǔ)丁分發(fā))的過程,盡量減少消耗網(wǎng)絡(luò)資源,保證客戶端可從其他客戶端下載分發(fā)軟件。
•IP漂移功能:管理中心IP地址的可無縫切換。
•支持雙機(jī)熱備:管理中心支持雙機(jī)高可用方案,配合雙機(jī)軟件可實現(xiàn)管理中心的雙機(jī)熱備。
•終端代理掃描功能:各個VLAN中的注冊客戶端可觸發(fā)掃描功能發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備信息,并上報到服務(wù)器,減小了網(wǎng)絡(luò)復(fù)雜性帶來的部署難度,并可發(fā)現(xiàn)安裝個人防火墻的非法接入設(shè)備。
•多級部署:管理中心可多級部署,由上級管理中心統(tǒng)一配置管理策略,由下級管理中心將違規(guī)報警信息的級聯(lián)上報。
對于金融、政府等重要行業(yè)來說,信息安全保障系統(tǒng)建設(shè),不僅需要嚴(yán)格的“制度防內(nèi)”包括建立嚴(yán)密的計算機(jī)管理規(guī)章制度、運行規(guī)程,形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系,杜絕內(nèi)部作案的可能性,并建立良好的故障處理反應(yīng)機(jī)制,保障信息系統(tǒng)的安全正常運行;更需要成熟完善的“技術(shù)防內(nèi)”,通過技術(shù)手段上加強(qiáng)安全措施,防止內(nèi)部不合規(guī)行為,防止內(nèi)網(wǎng)的信息泄密,使正常業(yè)務(wù)與應(yīng)用不受影響。“內(nèi)憂”勝于“外患”,企業(yè)不僅需要鑄造如同長城一般的邊關(guān)防御體系,同樣需要著重管理,打造安全和諧的內(nèi)部環(huán)境。
