內網安全管理方案探討
內網安全現狀分析
內網安全理論的提出是相對于傳統的網絡安全而言的。在傳統的網絡安全威脅模型中,假設內網的所有人員和設備都是安全和可信的,而外部網絡則是不安全的。基于這種假設,產生了防病毒軟件、防火墻、IDS等外網安全解決方案。這種解決策略是針對外部入侵的防范,但對于來自網絡內部的安全防護則顯得無可奈何。隨著各單位信息化程度的提高以及用戶計算機使用水平的提高,安全事件的發生更多是從內網開始,由此引發了對內網安全的關注。內網面臨的安全隱患主要表現在以下幾個方面:
內網移動存儲等設備缺乏監管
USB移動存儲介質、筆記本電腦等設備在內外網絡的交替使用,明密不分,隨意拷貝,計算機主機硬盤隨意拆卸、移動,進出內網監控不嚴,損壞和廢舊存儲設備和帶有存儲功能的外設處理不當,都會造成涉密信息的泄露丟失。同時導致病毒傳入。
涉密計算機非法外聯
內部計算機通過電話線、ISDN、ADSL、無線網卡、GPRS、CDMA、雙網卡、代理服務器等多種方式進行內外網互聯,導致內部重要機密信息泄露且難以監控。
內部攻擊和非法入侵
TCP/IP協議體系自身缺陷、口令身份認證的脆弱性,使內部人員利用系統漏洞,非法入侵公共的或他人的計算機信息系統,竊取管理員用戶名和密碼,進入單位重要的業務和應用服務器獲取內部重要數據。
管理模式滯后,策略無法有效落實
內部員工由于安全意識、安全知識、安全技能的匱乏,給信息安全帶來難以預知的潛在威脅,管理者通過禁用USB口,定期檢查等相對松散的管理方式,缺乏實時、靈活的手段保障,無法使管理措施得到有效落實。
內網的安全問題絕大多數不是來源于內部人員的惡意行為。更大程度上,漏洞出現在一些無意識、不規范的操作和網絡管理上的疏忽,給信息泄露創造了可乘之機。如果放松對內網系統的監管,內部人員可能隨時都會有意或無意地造成安全事故。因此,和外網安全相比,內網安全模型更加全面和細致,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現一個可管理、可控制和可信任的內網。
內網安全管理解決方案探討
網絡信息安全既不是純粹的技術,也不是簡單的安全產品的堆砌,而是管理,技術和策略的有機結合。信息系統安全體系框架如圖1所示,它由技術體系和管理體系組成。
圖1:信息安全體系結構框架
技術體系是全面提供信息系統安全保護的技術保障系統,其中技術機制從不同的層次來考慮內網安全的實現,技術管理則是從技術的角度,通過策略和措施的實現來達到管理的目標;管理體系是以安全策略為核心實施管理的過程,由法律、制度和培訓三部分組成。
信息安全層次體系的建立
從物理層安全、網絡層安全、系統層安全、應用層安全四個方面進行考慮,針對各個層次安全內容采取相應的應對措施。
物理層安全
主要包括通信線路安全、物理設備安全和機房安全等,其主要目標就是要做到防盜、防火、防靜電、防電磁泄露等。
網絡層安全
主要體現在網絡設備及信息的安全性,包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性等。
系統層安全
主要表現為操作系統本身的不安全和對操作系統的安全配置問題。
應用層安全
該層次的安全問題主要考慮應用軟件和業務數據的安全性,同時還包括病毒對系統的威脅。
安全管理策略實現
安全管理策略定制是一個相對細致和復雜的過程。策略的定制需要能夠對整個網絡進行多層面的配置和調控。如果各種技術方法彼此之間功能分散,不能相互支撐,協同工作,將會導致難以維護且更新困難。因此最好能夠借助集成了多種管理功能的內網安全管理軟件,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,從而有效簡化網絡安全管理工作。安全管理主要涉及到以下幾個方面。
訪問控制
訪問控制是進行授權、管理和監控的基礎,通過口令身份認證,PKI加密算法等多種方式對不同的用戶進行授權管理,區分各個用戶以及不同級別的用戶組,針對不同級別的安全對象,提供多層次的安全技術、方法與手段,分層次的化解安全風險,以滿足網絡中不同層次的各種實際需求。
信息保密
重點實現對移動存儲設備的注冊、認證、策略控制,實現客戶端移動存儲設備的接入認證、讀寫控制、加密管理、行為審計等。
資源管理
包括對計算機系統、各種外設、應用程序、端口,網絡連接、文件等資源的控制,采用授權使用、違規記錄等多種手段結合,對使用資源的行為進行管理,以確保資源使用中可控性。
監控審計
主要對計算機終端訪問網絡、應用使用、系統配置、文件操作以及外設使用等情況提供集中監控和審計功能,并可以生成各種審計日志,在發生內網安全事件后實現有效的取證。
管理體系的建立
嚴密、完整的管理體制,不但可以最大限度的在確保信息安全的前提下實現信息資源共享,而且可以彌補技術性安全隱患的部分弱點。管理體系的建立和實施能為網絡的管理和長期監控提供有理可依的指導性理論。管理體系的組成可分為法律、制度和培訓三部分。
法律
與安全有關的法律法規足信息系統安全的最高行為準則,是制定管理制度參考的標準。
制度
依照安全需求制定一系列內部規章制度,從責任、人員,部位、行為等多方面對需要保護什么、為什么需要保護以及怎樣保護涉密信息系統的安全進行具體規定,并通過全面推行,使之貫穿到日常具體工作當中。
培訓
對所有與內網安全有關的人員進行安全培訓。培訓的內容包括法律法規、內部制度、安全意識和與崗位相關的重點安全防范技能等。
總結
內網安全管理體系中,內網信息的安全保密和共享利用之間一直都存在著一種難以調和的矛盾,內網信息安全產品要提供一種方便、有效、先進的內網信息安全管理控制技術和解決方案,而管理員在實施過程中往往需要在信息安全、業務效率、結構功能之間尋找一個平衡點,力求從網絡業務、網絡行為、網絡資源、網絡安全、網絡服務等各層面提出科學、可行的解決方案。而管理策略與技術的有機結合,則能從整個網絡安全建設、運行和維護的全過程入手,真正保障內網的安全穩定運行。
