內網網絡安全的解決之道
本文簡要分析了企業內部網絡所面臨的主要分析,闡述了安全管理人員針對不同威脅的主要技術應對措施。進一步介紹了業界各種技術措施的現狀,并提出了未來可能的發展趨勢。
內網網絡安全問題的提出
網絡安全對于絕大多數人而言指的都是互聯網安全(Internet Security),但是對于組織的安全主管而言卻不盡然。他們的使命是負責保護企業的數字資產-信息和基礎架構,對于這些保護對象而言,其外部都可能是風險源,而這里的外部風險源則既有可能是互聯網Internet,也有可能是內部網絡Intranet。內部網絡并不等于可信網絡。對于組織而言,來自內部的威脅有可能遠大于外部的威脅。這使得有必要對于內網的網絡安全進行針對性的分析,并找出解決之道。
內網網絡安全風險分析
分析的視角
網絡安全是一個非常復雜而龐大的研究對象,不同的研究視角可能會"看到"不一樣的安全風險。例如針對單個數字資產,最常見的視角是關注其完整性、機密性和可用性。對于組織的安全架構,可以從物理層、網絡層、數據層、用戶層這樣的視角進行分析。本文出于簡化的目的,將內部網絡的安全按其參與者進行分析,包括網絡、通信方和信息。本文分析的模型是位于不同網絡的通信方,在其信息交換的過程中所面臨的安全風險。
按照這一模型,需要關注的風險主要有:
◆網絡
假設組織對于其內部網絡進行了良好的規劃和管理,則來自不同的網絡意味著處于不同的內部部門和/或不同的安全等級。這里主要的風險有:不同的部門可能不應跨網絡訪問資源;不同安全等級網絡 的通信可能包含潛在的攻擊。
◆通信方
在參與通信的雙方中,需要保護的是服務器一方的安全。由于服務器往往采取了必要的安全保障措施,客戶端那一方的安全性則成為木桶理論中可能的短板。
◆信息交換
通信的目的是交換信息,對于通信方之外的安全管理員而言,主要關注交換的內容和通信的方式中可能存在的安全風險。主要的風險有:不符合企業安全策略的通信內容(主要指文件);不符合企業安全策略的通信方式(不應通信或帶寬擠占)。#p#
其他的風險
當然,真實世界遠比理論復雜。本文的視角選取并不能覆蓋組織中內部網絡的所有風險。其他可能存在的風險有:
◆機密性
對于某些組織而言,在內部網絡中仍然要保證高度的機密性要求。這可能意味著對于數據的整個生命周期過程中,都需要考慮各階段安全風險和防護手段。這部分內容一般不列入網絡安全的范疇,本文并未展開討論。
◆完整性
對于組織的某些特定信息資產,保障其完整性至關重要。對于該信息資產的存儲、修改都需要考慮可能的安全風險,并通過技術手段進行保障。這部分內容往往通過安全設計和數據備份實現,不是傳統的網絡安全范疇。本文并未展開討論。
◆可用性
網絡安全主要考慮的是帶寬擠占帶來的可用性風險,本文并未對信息資產的可用性進行全面討論。
◆風險的定義
各組織對于風險的接受程度并不相同,這也導致了本文討論的風險可能對于部分組織并不完整。
內網網絡安全的解決之道
按照前文的分析結果,內網網絡的安全主要關注的對象應該是網絡、通信方和信息交換相關的安全風險。對于這三個對象,安全管理員可以采取相應的技術緩解風險。
網絡
合理劃分網絡
對于組織而言,傳統的網絡劃分往往是由網絡管理部進行的。組織的安全管理員需要網絡劃分進行審閱。網絡劃分的依據除了根據地理位置、部門之外,也應考慮其包含信息資產安全等級,安全管理員關注網絡劃分的目的在于更容易實現按安全等級進行保護。應盡可能避免安全等級相差較大的信息資產劃分在同一網絡中。
設置邊界檢查點
對于來自不同的網絡的通信應在其邊界處設置檢查點,過濾其中可能的安全威脅,包括未授權的網絡訪問和潛在的攻擊。
技術實現
防火墻(Firewall)
防火墻是最早出現的網絡安全技術,也是相對簡單的一種。防火墻作為網絡邊界檢查點的主要作用是實現訪問控制。#p#
防火墻作為一種安全技術,主要優勢包括:
◆性能:目前的防火墻已經有100G的產品。
◆工作在網絡層:可實現網絡地址翻譯甚至路由等功能。
◆配置容易:防火墻配置較為容易。
但是在實踐中,防火墻并非是內網邊界檢查點最常用的設備,這主要是因為以下原因:
◆內網往往并沒有極高的網絡吞吐量性能要求
◆防火墻對于通過ACL規則之后的數據包檢查并不擅長,對于復雜的攻擊無法防御
◆添加工作在網絡層的防火墻需要更改內部網絡拓撲
◆防火墻沒有失效打開(Fail Open)功能。設備失效會影響網絡可用性。
當然,近年來防火墻技術也在發展。最主要的方向是解決其對于數據包的檢查功能,使防火墻能夠理解應用層的通信,成為基于應用的防火墻(Application Firewall),國際上主要的應用防火墻廠商包括McAfee公司(收購Secure Computing獲得技術)和PAN,還有一些專注于Web應用的公司,如Imperva和國內的綠盟等。這些應用防火墻很大程度上改善了應用層防護能力,設置通過協議代理技術做到了非常精細的顆粒度,當然也存在著配置復雜,對管理員要求高,性能較低等需要進一步克服的技術障礙。
入侵防護系統(Intrusion Prevention System)
入侵防護系統 作為入侵檢測系統的升級技術,在近年廣泛用于組織內部網絡的邊界防護。主要技術優勢包括:
◆強大的數據包深入檢查(Deep Packet Inspection)功能,可以檢測各種應用層協議中夾帶的攻擊(不局限于Web等)
◆配置容易,用戶可基于默認的策略進行設置。自動阻斷攻擊。
◆透明接入網絡,無需更改網絡拓撲
◆帶有失效打開功能。如果設備失效會自動旁路,不致影響網絡的可用性
入侵防護系統也存在一些局限,主要包括:
◆全面部署成本較高。一般而言,同樣吞吐性能的防火墻和入侵防護系統相比,后者購置成本遠高于前者。
◆對入侵防護系統的評價較為復雜,對于普通用戶難以評估不同入侵防護系統的防護能力。
這些局限導致了目前入侵防護系統作為最被安全技術趨勢研究機構看好的內網網絡安全產品,并未得到與其名聲相匹配的普及程度。
通信方
即便是來自可信網絡,如果參與通信的一方自身的系統安全無法保障,也將會影響對端的安全。因此應對于通信方的安全狀況需進行必要的檢查,使其滿足組織預定義的安全基準,才許可其參與通信。
技術實現
網絡準入控制(Network Access Control)
網絡準入控制技術可以實現確保接入網絡的客戶端安全狀況符合要求。通過在桌面機上安裝客戶端軟件,組織可以避免未達安全要求的客戶端接入內部網絡,造成潛在的安全風險。這一技術的主要優點包括:
◆可基于客戶端的身份控制準入
◆可基于客戶端的安全狀況控制準入
◆方便實現公司的安全策略。#p#
網絡準入控制技術也存在一些實現的難點,主要包括:
◆對于網絡環境復雜的組織,技術方案設計較難
◆客戶端軟件會一定程度上影響客戶端性能
◆對于規模較大的組織,部署工作是一個挑戰
雖然網絡準入控制技術有著這些實現困難,但是目前還沒有其他更好的技術實現對于客戶端的安全控制。尤其是對于大規模的組織而言,通過網絡準入控制技術來保障網絡安全,仍是一種極為常見的選擇 。
信息的流動
組織的網絡安全管理人員需要關注通信方之間的信息流動。包括應用層的相關信息(哪些文件,哪些協議)和網絡層的相關信息(流量模型,異常流量),并根據這些信息結合組織的安全策略,判斷網絡中信息流動的正常與否。
信息
網絡安全管理人員可能關注的信息包括:
◆當前傳輸次數最多的文件
◆當前主要訪問的URL地址
◆最忙碌的服務器
◆各種協議所占網絡通信的百分比
◆異常流量信息
◆拒絕服務攻擊信息
◆蠕蟲爆發信息
技術實現
網絡行為分析(Network Behavior Analysis)
網絡行為分析是一種基于"流(flow)"的分析技術,通過對于Net flow 信息的采集,可以呈現出組織網絡中的各種流量信息。網絡行為分析技術的主要優點有:
◆通過對流信息的理解和整理,可以顯示網絡的流量異常
◆通過建立網絡訪問模型,可以顯示網絡濫用
◆顯示網絡協議百分比等信息,幫助分析網絡帶寬使用情況
◆可顯示文件、URL等應用層信息
◆離線部署
網絡行為分析技術多用于規模較大的組織,它可為網絡管理員和安全管理員提供有積極價值的流量信息。它的主要限制在于需要網絡設備(路由器和交換機等)支持流信息的導出,并非所有的網絡設備都支持這一功能。#p#
內網網絡安全的管理挑戰
對于組織而言,確定安全風險和部署安全產品之后,最艱巨的挑戰來自如何管理這些安全產品。攻擊或違反策略的行為往往會被多個不同的安全產品監測到,這就需要安全產品之間的整合;同樣的,出于管理的需要,安全產品也應與組織的IT基礎架構和流程融合。
整合
內網網絡安全產品
本文介紹的用于內網網絡安全的產品之間都將需要協同工作。
防火墻和網絡入侵防護系統這兩種產品都承擔著網間檢查點的重任,未來的趨勢必然是整合為單一的產品。最重要的功能將是檢測和阻斷攻擊,以及應用層協議的細顆粒控制。
網絡行為分析和網絡入侵防護兩者相似而并不相同,前者看到的是Net flow,后者檢查的是數據包 。前者用于宏觀分析,后者用于微觀分析。前者為離線設備,后者為在線設備。前者目的在于分析,后者的作用是防護。但是兩者卻又相得益彰,互為補充。以邁克菲為代表的廠商已經著手整合這兩種產品,通過網絡入侵防護系統提供Net flow v9信息給網絡行為分析。使得兩者之間可以共享網絡安全信息。
網絡準入控制和網絡入侵防護系統的整合也非常必要。某種意義上,前者保障的是安全的系統準入,后者保障的是安全的數據包準入,二者的結合方可保證在系統層面和網絡層面的安全。對于較小規模的組織,可以選擇二合一的產品 。對于較大規模的組織,選擇單獨的產品,最好可通過統一管理平臺查看相關信息。
融合
和管理軟件協作
網絡安全產品作為一種網絡設備,需要與網管軟件協同工作。向網管軟件報告自身的重要系統事件,如系統錯誤、資源耗盡告警等等。兩者的協作多通過標準的SNMP協議實現,網絡安全產品應設計為提供必要的系統狀態信息用于通知網管軟件其狀態。
有的組織也需要網絡安全產品和流程軟件協同工作,在安全產品的管理平臺上可定義工單和對象,并可配置事件觸發工單指派給某一對象,實現工單管理的全過程。
信息融合
對于組織而言,各種安全產品會產生大量的安全日志,組織的真實安全狀況就存在這些日志中。目前常見的方式是通過安全事件管理系統集中各不同安全產品的日志,采用數據挖掘技術分析這些事件的相關性,從中找出應關心的安全事件。日志集中相對而言容易實現,而日志的相關性分析仍沒有突破性的技術 。
近年來,很多安全廠商在產品中集成了更為強大的分析系統,通過已建立的遍布全球的各式各樣的傳感器和多年的信息安全知識積累。可為用戶提供更為準確更具參考意義的安全事件信息。防毒軟件的云安全技術是這種趨勢的成功示例,邁克菲公司更進一步在其網絡安全產品中集成了全球智能威脅感知系統,可反映攻擊源的地理位置,安全聲譽信息等,使得安全管理員能夠更容易判定和處理安全事件。
總結
內網網絡安全需要管理者對其網絡進行全面準確的風險評估,并根據評估結果選擇合適的安全產品以降低風險。在選擇產品時,除主要功能外,也需要注意該產品與其它產品的整合能力以及信息融合能力。
【編輯推薦】
