有人的地方就有江湖 內網安全以人為本
原創【51CTO.com 獨家專訪】內網是企業網絡最為核心與機密的平臺,內網的安全與否不僅僅影響了企業信息的安全,同時也是保證業務連續性的關鍵問題。
由于行業的不同,對于內網安全的需求也就不同,企業網絡架構的方方面面都關乎著內網的可靠性和安全性。那么我們如何有效地進行一個內網安全的管理呢?就此相關問題,我們采訪了酷6網信息化部高級項目經理林鵬先生,看看他所規劃的內網安全策略和管理是怎樣的。
酷6網信息化部高級項目經理 林鵬
51CTO:我們知道內網安全是一個非常復雜的問題,針對小、中、大型企業或是不同的行業都有各自不同的內網安全問題。那么,以目前來看,您所在的企業的內網安全問題有哪些呢?
林鵬:目前公司已經有一個具體的安全策略了,正在一步一步地實施當中,同時伴隨著企業網絡的一些改建,然而以現階段來說,問題主要集中在身份驗證,異常行為監控,準入控制以及內網管理和策略的實施等幾個方面。例如怎樣防控具有針對性的內網探測,VPN登入的相關管理等等。
51CTO:目前貴企業針對這些內網安全問題使用了哪些管理手段或者是解決方案?
林鵬:針對剛才所說的幾個問題,目前我們剛剛完成有線和無線的802.1x相關部署,主要使用的產品是微軟和H3C的設備,通過802.1x加域控認證的方式來達到一個公司需要的認證要求。
另外,我還建立了監控服務器,對公司的登入以及流量進行一個監控,對異常行為能夠達到一個告警的作用。例如有人會進行一些用戶密碼猜測的行為,(通過異常行為監控)都能及時地反映到我這里,從而能夠進行一個快速地處理。
在這些策略實施的過程中,也暴露了一些平時沒有注意到的問題,比如,當某員工用一個賬號進行登錄的時候,在某一個vlan認證失敗的同時,這個員工通過VPN,繞過認證登錄,接入到內網當中。這在當時是我沒有想到的問題,之后,通過其他手段將VPN登錄禁掉了,當時是使用的微軟自帶的VPN系統,后來改成了思科的SSL VPN系統。
此外,我們還針對內網的一些特定攻擊進行了防護,例如ARP攻擊和DHCP的一些攻擊。現在的主要操作是封掉了一些不必要的ARP流量,限制ARP發送速率,若超過規定的速率,會自動Down掉發送的端口,同時發送告警信息。另一方面,通過DHCP-snooping技術來防止DHCP的攻擊和中間人攻擊。
51CTO:那么以現在的狀況,您覺得還有哪些地方存在著不足,希望在(內網安全)哪一方面進行改進?
林鵬:內網安全包括管理,技術和基礎信息建設等幾個方面,我認為在基礎信息建設這方面是尤為重要的。
打個比方,例如我們將整個安全事件分為事前-事中-事后三個部分,事前就是針對安全這塊所進行的部署,就不多說了。就說在事中,如果發現一個IP地址有問題,檢測過程中發現此IP地址正在入侵內網,你要靠多長時間來定位這個IP地址,是哪臺機器,是哪個人?想要快速地鎖定事發的人員,這個就要靠先期的一些基礎的信息記錄來完成,這就需要我們安全人員不管是拿到MAC地址、IP地址、人名或是計算機名字當中的任何一個信息,都要將相關信息快速地關聯起來,從而定位目標。
想要達到這個目的,就需要建立一個基礎信息的數據庫,并要經常更新和維護的,所以對于基礎信息這塊還是需要不斷完善的。
51CTO:很多人說,內網安全不僅僅是監控網絡方面的安全問題,更是管理人的問題。對此您有什么看法?
林鵬:我對這方面的感觸也是比較深的,說道內網安全最根本的就是"人",因為人是最不容易控制的。如果在企業當中,每一個員工都有一個良好的安全意識,那么這個企業的安全工作肯定會做的非常完善。對于安全管理人員來說,整個企業的人都是來幫助你完善這個工作,你不是孤立的,大家都在自覺地配合你。
當然,你也要配合大家來做好安全工作。首先,我們要清楚,內網安全的管理者,并不是一個阻止者。你的過多的安全措施可能會讓員工們感到厭煩,你要從員工的角度出發,告訴他們,按照你的安全措施做,他們會得到什么好處,站在員工這一邊的話,告訴他們如此操作是對他們有利的,他們也許會幫助你,至少比站在對立面來說是更好的方式。
另外,我還會定期給員工們進行一些安全的培訓,例如大講堂,發一些技術操作郵件這類的形式。還有,領導們的幫助也是必不可少,往往領導的推動作用,安全制度的有效實施才是最關鍵的。
51CTO:以您的了解,目前市場上的一些內網安全產品所提供的技術管理體系是否能和企業的內網安全制度結合在一起?存在的問題有哪些?
林鵬:個人認為,現在的安全產品都是大同小異的,比的都是誰更人性化而已。然而這些東西都是由人來操作的,也在于領導對其安全策略的重視程度。如果,領導和管理人員都不重視這些問題,這些設備和產品也只是擺設。
結語:
在采訪過程中,林鵬還說過這樣一句話"有人的地方,就有江湖",他是如此形容內網安全管理的,可見內網安全一切的根源還是"人"。只有將技術、管理、人,三者有機地結合在一起,才能構建一個立體的內網安全壁壘。
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
