內網隱患不可忽略 企業內網須建立體防御體系
【51CTO.com 綜合消息】當前的網絡邊界安全防護,已經不能有效保障網絡的安全,只有邊界安全與內網安全管理立體布控,才能有效為網絡安全提供保障。然而,內網安全集中關注的對象包括了引起信息安全威脅的內部網絡用戶、應用環境、應用環境邊界和內網通信安全,內網安全從更加全面和完整的角度對信息安全威脅的途徑進行了分析、處理和控制,使信息安全成為一個完整的體系。
如何在企業的內網構建一個有機統一的安全控制系統,實現立體式實時監管,減少安全風險。如何通過加強技術檢查、管理手段,防止敏感信息泄露,保障網絡安全運行。是擺在網絡管理員面前的一道難題。
四級認證實現可信防護
內網安全不僅是安全產品的堆疊,現階段的內網安全也由單純的安全產品部署,上升到了如何實現可信、可控的立體防護體系。通過四級可信認證機制,可以確保系統既突出安全性,更注重管理性。
第一級認證:基于硬件級別的安全防護和訪問控制
在最底層實現對計算機終端進行物理安全加固,例如使用鼎普計算機安全防護卡從BIOS級實現登錄認證和全盤數據保護,一方面可以杜絕非法用戶從光盤啟動繞過軟件防護竊取數據,同時還可令用戶不能隨意安裝操作系統、卸載已安裝的軟件系統改變現有安全環境。
第二級認證:基于操作系統的身份認證和文件保護
采用基于USB-KEY的雙因素認證技術實現操作系統登錄的可信可控——即在計算機硬件啟動之后,可以限制用戶權限,如是否可以進一步登錄操作系統,以及可以進行何種權限的文件操作,文件如何安全存放以及安全刪除。如果計算機終端發生系統災難,如何進行系統備份和災難恢復。
第三級認證:實現對程序安裝運行的授權控制
對應用程序進行黑白名單控制:只有經過管理員簽名授權的程序才能在單機終端上運行使用,進一步規范終端用戶的軟件程序使用行為,可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播、泛濫。
第四級認證:實現可信計算機接入內網的認證管理
網絡邊界的安全可控是內網安全的基本問題,通過基于802.1X認證協議的可信終端認證子系統,實現網絡的安全接入——只有經過授權許可的可信、可控、健康計算機才能接入到內網,并對入終端的運行、健康狀態進行實時監控,通過創新的技術理念打造出一個信得過、進得來、控得住的健康可信內部網絡。如果不健康,防護系統會采取進一步措施,如報警、斷網等。
被忽略的內網隱患
內網安全還應該以一個系統來體現它的價值,各安全產品之間要相輔相成,而網絡通道安全、終端源頭安全、服務器的保護、移動存儲介質的控制則是內網安全防護的重要環節。
U盤的使用管理是企業內網里最容易產生信息安全事故的一個環節,也是最容易被忽略的環節。對U盤實行管理的核心目標就是防止內外部、不同密級之間介質的交叉使用,同時使介質的管理集中、統一而高效。
有專家認為,需要實現 “一個全面、兩個運行周期”的目標,即全面掌控介質使用狀態、配置信息;嚴控介質從購買后的注冊發放、使用、統一臺帳監控、狀態查詢到收集注銷的運行周期;嚴控介質從插入、進行各種操作到拔除全程進行跟蹤記錄和實時報警的運行周期。
據悉,鼎普科技提供了“鼎普數據單向傳輸U盤系統”,通過U盤上集成的自成一體的身份認證、網絡連接智能判斷模塊功能,較好的解決了外部數據通過移動存儲介質直接單向導入企業內網主機,同時保證不能對U盤反向寫入數據而導致內網敏感信息的泄露。
此外,外網的安全在于防患于未然,內網的安全在防患的基礎上,更加側重于監控審計。目前,國際上比較先進的做法是以終端主機、桌面安全為出發點,采用C/S、B/S結構的體系設計,通過運用驅動攔截、網絡驅動過濾、文件驅動過濾、加密傳輸、身份認證、訪問控制技術實現一體化的監控審計管理。
【編輯推薦】
