企業不僅要堅固的邊界安全 更需要穩定的內網安全
在經歷了外網安全建設后,企業普遍面臨“內憂”勝于“外患”的局面,換言之,企業不僅需要堅固的邊界安全,更需要穩定的內網安全。
最近,國內某大型造船廠發生了一起有驚無險的網絡安全事件。由于該造船廠的計算機系統內儲存有大量的重要設計數據,某一天,系統突然報警,顯示某個電腦終端正在非法拷貝這些重要文件數據,而網管人員通過內網審計系統的跟蹤,立刻鎖定了拷貝文件的電腦和登陸系統的用戶名,從而在重要文件還沒被外傳之前,及時制止了該非法行為,避免了無謂的經濟損失。
事實上,類似的內網安全事件在很多企業都有發生,但由于內網安全的完善程度不同,并非每個企業都能避免損失發生。有調查顯示,超過85%的安全威脅來自企業內部,其中16%來自企業內部未經授權的非法訪問,40%來自電子文件的泄露,由此可見,內網安全問題已是企業網絡安全建設的重頭戲。
為了確保網絡安全,防火墻、殺毒軟件、IPS等產品早已成為企業用戶的普遍部署,但是,這些主要針對外網的安全防護在面對內網安全威脅時,往往形同虛設,因為“內憂”勝于“外患”,企業不僅需要堅固的邊界安全,更需要穩定的內網安全。
那么,目前企業CIO們對于內網安全的認識是否到位,他們在內網安全部署方面處于何種程度,還存在哪些有待完善之處,內網安全在產品技術上又存在哪些發展趨勢。
過半企業重視內網安全
網絡安全威脅層出不窮,網絡安全問題無處不在,但是,事情總有輕重緩急之分,哪個領域的安全問題是企業用戶當前首需解決的呢?調查反饋顯示,“內網安全”以54.9%的比例占據第一位置,其次,25.7%的用戶選擇外網安全,10.6%的用戶選擇了終端安全,8.8%的用戶選擇了Web安全。
顯然,企業網絡安全建設行進之今,過半用戶已經將“內網安全”設定為首需解決的問題。同時,這也表明用戶對于內網安全重要性的認識已經達到相當程度。
北京互聯通網絡科技有限公司產品項目部顧問黃毅就明確表示,內網的安全管理,很多時候比外網安全管理更加重要,因為企業的機密信息泄漏、業務系統被如侵等,往往就是透過內部的非授權訪問和木馬泛濫導致的,所以,保障內網安全勢在必行。
作為內網安全建設領域的專家,北京鼎普科技股份有限公司戰略市場部經理萬俊告訴記者,一直以來,企業安全防御的理念更多局限在常規的網管級別(防火墻等)、網絡邊界(漏洞掃描、安全審計、防病毒、IDS)等方面,主要的安全設施大多集中于機房、網絡入口處。應該說,在這些安全設備的嚴密監控下,來自網絡外部的安全威脅得到顯著緩解。然而,隨著企業信息化的不斷深入,來自網絡內部的安全威脅開始逐步凸顯出來,網絡的內部安全問題大于外部問題漸漸成為業界共識。
對此,我們可以從企業用戶當前對于安全細節問題的關注度得到印證。在“哪些安全細節問題是貴公司當前比較重視的”這一問題中,83.2%的用戶選擇了病毒查殺,69.0%的用戶選擇了數據庫安全,46.9%的用戶選擇了網絡設備安全,31.9%的用戶選擇了補丁升級管理,31.0%的用戶選擇了網站運維安全,27.4%的用戶選擇了身份認證,22.1%的用戶選擇了信息加密。可以看出,不論是常見的病毒查殺,還是身份認證或信息加密,用戶對此都持有相當的關注。
“提高意識管理到位”是首要
為什么需要管理內網安全,我們從企業員工的日常小事即可明白。如今,很多員工在上班閑暇時,偶爾聊聊QQ或MSN,要不上開心網玩“偷菜”或觀看在線電影,要不干脆打開BT電驢等下載軟件下載大容量文件。這些在大小企業中普遍存在的現象不僅影響了員工的工作效率,而且還會占用企業網絡流量,從而影響其他正常業務的開展。
事實當然不僅如此,根據本次調查反饋,70.8%的企業存在“員工隨便登陸MSN、QQ、BT等內容”,37.2%的企業存在“經常有人改動IP地址從而造成沖突”,62.8%的企業存在“經常出現某臺電腦沒有打補丁或補丁不全”,31.0%的企業存在“經常受到非法入侵”,48.7%的企業存在“不能完全限制內網的設備與重要信息的保管”。
可以看出,近七成左右的企業存在“員工隨便登陸MSN、QQ、BT等內容”和“經常出現某臺電腦沒有打補丁或補丁不全”的現象,另外三項困擾也有近五成企業有所遭遇。
另外,根據調查反饋,目前企業網絡主要遭遇的安全威脅中,76.1%的用戶選擇木馬病毒,14.2%的用戶選擇蠕蟲,8.8%的用戶選擇電子郵件攻擊,0.9%的用戶選擇網絡釣魚/欺騙。可見,木馬泛濫的確到了人人喊打的地步。
需要指出的是,木馬病毒除了可以跟隨Web應用從外網進入內網之外,還有一個重要的傳播渠道,即通過移動U盤直接在內網終端上蔓延開來。對此,在諸多安全廠商的內網安全產品中,都或多或少存在防止移動終端傳播病毒的功能。比如鼎普科技的安全U盤系統,它是通過智能判斷和權限訪問控制技術,使數據信息在U盤上實現存取控制,同時也具備對U盤進行身份認證、敏感信息外帶時防止非授權訪問和病毒竊取等功能。目前,金融、電信等行業用戶大多應用了類似系統以杜絕終端隱患。
拋開行業特殊性,拋開單一內網安全產品或功能,目前企業用戶針對網絡安全的部署現狀如何呢。根據調查反饋,96.5%的用戶選擇了殺毒軟件,78.8%的用戶選擇了防火墻,24.8%的用戶選擇了VPN(安全傳輸),20.4%的用戶選擇了身份認證系統,27.4%的用戶選擇了內網安全管理,8.8%的用戶選擇了IDS/IPS。
#p#很明顯,雖然近八成企業都部署了殺毒軟件和防火墻,但這正好說明企業在網絡安全建設過程中,外網安全是優先經歷的階段,而接下來的重點則在內網安全。
那么,內網安全建設應該從何處下手呢,首先,我們可以從“企業網絡中發生安全事件的原因通常包括有哪些”這一問題的調查結果看,有48.7%的用戶選擇“網絡或軟件配置錯誤”,28.3%的用戶選擇“管理員弱口令”,62.8%的用戶選擇“系統漏洞”,74.3%的用戶選擇“員工安全意識淡薄、管理不到位”,15.0%的用戶選擇“DDoS攻擊”。
顯然,“員工安全意識淡薄、管理不到位”是企業發生網絡安全事件的最普遍原因,這與很多企業CIO的看法也是一致。
山西省大同市陽高縣畜牧服務中心飼料牧草管理站站長杭軍表示,影響內網安全管理的因素很多,其中,用戶的認識水平、重視程度及使用習慣,尤其是普通用戶的安全意識和相關管理人員的管理水平,尤為重要。
同樣,在吉林吉恩鎳業股份有限公司信息中心主任周軍利看來,保障內網安全,首先需要制訂科學完善的內網安全管理制度,從要制度上規范員工上網行為,其次要加大制度的執行和考核力度,讓員工自覺樹立信息安全意識,最后就是使用先進的內網安全管理產品,從技術上保障內網安全。
從“偏安全”到“偏管理”
從技術角度講,內網安全包含的內容其實很多,比如如何發現客戶端設備的系統漏洞并自動分發補丁,如何防范移動存儲設備隨意介入內網、如何防范內網設備非法外聯,如何點對點控制異常客戶端的運行,如何防范內部涉密信息泄露等。
換句話說,與防范外網安全主要集中于邊界部署不同,保障內網安全需要涉及的環節較多,相應的產品部署也相對更加多樣。比如有的側重內網終端防護,有的側重流量和上網行為控制,有的側重監控審計,有的側重身份認證或信息加密等。
萬俊介紹,過去幾年,人們對于內網安全的管理主要偏向于防止信息泄密,因此,嚴格控制電腦終端的外設及各類端口成為各大廠商產品方案的重點訴求。
然而,隨著網絡安全形勢的不斷演變,企業用戶開始不僅滿足于對電腦終端的監控,而是希望從管理的角度對內網安全進行防護。比如本文開頭所說的那家造船廠,通過內網審計系統鎖定非法操作,再比如統計網絡流量、補丁分發以及系統軟硬件的升級管理等。
這在本次調查也有所反映。“在內網安全管理方面,貴公司期望在哪個部分得到加強”,有51.3%的用戶選擇了“監控審計”,26.5%的用戶選擇了“桌面管理”,14.2%的用戶選擇了“文檔加密”,8.0%的用戶選擇了“磁盤加密”。
事實上,為了滿足用戶需求,廠商的產品策略上也在隨之跟進。“當然,我們在產品策略上也從最初單純的監控審計,到現在把監控審計和管理相結合,走向偏重管理的方向。”萬俊表示,“畢竟,內網安全的重心已經從偏重安全轉移到偏重管理,內網的概念已不僅集中在涉密這塊,許多非涉密企業、非涉密業務也開始從管理的角度落實內網安全。”
在實踐應用中,偏重管理就是要求企業在運用內網功能的時候,不是為了在事后進行補救,而是一方面可以做到預防危險的發生,另一方面把公司一些理念、文化都能在計算機內網監控中得到體現。比如鼎普科技最新研發的“獵隼”網絡信息監測系統,這個系統通過對所有網絡的內容進行解析,能夠及時阻止內部的計算機通過互聯網發生的敏感信息泄露,快速定位追查源頭,防止違規事件發生。它還能對整個網絡及計算機用戶上網行為、網絡流量進行監控,幫助網絡高效、穩定、安全的運行,為信息化建設及管理提供有效的技術支撐。
打造立體防御體系
“未來一年,貴公司是否制定了進一步加強內網安全管理的計劃”,結果顯示,41.6%的企業表示有,32.7%的用戶表示暫時沒有,25.7%的用戶表示不確定。可見,有四成多的用戶打算加強內網安全部署。
不過,涉及內網安全的因素非常多,產品形式也比較多樣,在哪些環節如何部署就顯得非常重要。總體而言,內網安全集中關注的對象包括引起信息安全威脅的內網用戶、應用環境、應用環境邊界和內網通信安全,因此,如何在企業內網構建一個有機統一的安全控制系統,實現立體式實時監管,才是實施內網安全部署的關鍵所在。
在萬俊看來,保障內網安全不能僅靠各種功用安全產品的堆疊,而需要由單純的安全產品部署上升到如何實現可信、可控的立體防護體系。比如通過四級可信認證機制,則可以讓系統既突出安全性,有注重管理性。
第一級認證:基于硬件級別的安全防護和訪問控制。在最底層實現對計算機終端進行物理安全加固,例如使用鼎普計算機安全防護卡從BIOS級實現登錄認證和全盤數據保護,一方面可以杜絕非法用戶從光盤啟動繞過軟件防護竊取數據,同時還可令用戶不能隨意安裝操作系統、卸載已安裝的軟件系統改變現有安全環境。
第二級認證:基于操作系統的身份認證和文件保護。采用基于USB-KEY的雙因素認證技術實現操作系統登錄的可信可控,即在計算機硬件啟動之后,可以限制用戶權限,如是否可以進一步登錄操作系統,以及可以進行何種權限的文件操作,文件如何安全存放以及安全刪除。
第三級認證:實現對程序安裝運行的授權控制。對應用程序進行黑白名單控制,只有經過管理員簽名授權的程序才能在單機終端上運行使用,進一步規范終端用戶的軟件程序使用行為,可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。
第四級認證:實現可信計算機接入內網的認證管理。網絡邊界的安全可控是內網安全的基本問題,通過基于802.1X認證協議的可信終端認證子系統,實現網絡的安全接入——只有經過授權許可的可信、可控、健康計算機才能接入到內網,并對入終端的運行、健康狀態進行實時監控,通過創新的技術理念打造出一個信得過、進得來、控得住的健康可信內部網絡。如果不健康,防護系統會采取進一步措施,如報警、斷網等。
在建立以上四級可信認證機制的縱深防御體系基礎上,企業用戶還要實現身份鑒別、介質管理、數據保護、安全審計、實時監控等防護要求,如此才能達到扎實有效的安全效果。
【編輯推薦】
