內網安全威脅的“終結者”:堡壘機
當信息技術在企業中的地位,從一個僅在局部起支撐作用的工具,變成企業賴以日常運營的基礎平臺;毫無疑問,內網信息安全問題,也就從一個僅是影響企業運營效率的小問題,變成了直接影響到企業生死存亡的大問題。
甭管什么企業,概不例外。據相關調查數據顯示,世界上每一分鐘就有2個企業因為信息安全問題倒閉,有11個企業因為信息安全問題造成大約800多萬美元的直接經濟損失。在信息化的列車將人類帶進信息科技為主要特征的時代,企業內網信息安全問題,已經成為企業生死榮辱的“命門”。
經過數十年的信息安全技術產業的高速發展,從防病毒、防火墻、IDS老三樣,到身份認證、數據加密、應用安全、終端加固等各種新技術,企業內網各種信息安全問題,有了很多全面解決方案。然而,一個危害甚重的信息安全軟肋,卻一直不為人們所重視,這就是企業信息網絡中的所謂“權貴”人員和操作,即擁有各系統設備的高級管理權限的人員及其日常對系統維護管理工作。他們可謂對內網系統和數據,擁有最高的權限,一旦這些人員和操作出現安全問題,其后果將不堪設想。尤其在信息化程度特別高的一些大型機構和企業內網中,這個安全“軟肋”體現得越加明顯。
毫無疑問,這是內網安全最后,也是最根本致命的威脅,如何防范這個日益明顯的威脅,成為內網安全和企業內控的新課題。有人說,最新在全球流行的內控堡壘主機(簡稱“堡壘機”)將成為這個威脅的“終結者”,能夠很好幫助系統管理人員高效率安全地進行內網復雜的后臺系統設備管理,同時防范管理過程中可能出現的各種安全問題。
那么,堡壘機是否真如其名一樣穩固可靠,它技術和原理又是如何呢?國內主流的堡壘機產品產業現狀又是怎樣?請看筆者的采訪和調查。
內網信息安全 “權貴”人員和管理操作成短板
隨著全球信息技術的不斷發展和信息化建設的不斷進步,一些重要機構和大型企業信息化水平得到飛速提升,其辦公系統、 商務平臺的不斷推出和投入運行,信息系統在企業的運營中全面滲透。尤其是電信、財政、稅務、公安、金融、電力、石油等重要行業的大型機構和企業內網中,更是使用數量較多的服務器主機來運行關鍵業務。
這種情況下,企業對IT系統的依賴程度也越來越高,各類業務系統也變得日益復雜。就一個信息化程度很高網絡信息系統而言,其針對傳統的信息安全問題防護,已經比較完善,其最大的威脅和破壞來自企業內部。據國內領先的專注內網安全的極地安全公司技術團隊對用戶調研數據顯示,8.5%的安全問題導致網絡數據破壞,11%的安全問題導致數據失密,23%的病毒程序感染問題導致系統短暫故障,而從惡意攻擊的特點來看,70%的攻擊來自組織內部。
在所有內部隱患中,一種由IT系統“權貴”人員及其操作引出的非傳統的安全隱患日益凸顯,是所有安全事件中最主要的安全威脅。所謂IT系統“權貴”人員,即擁有企業內網各種IT系統軟硬件設備管理權限的人員,這些人員可能包括:系統管理員、系統運維人員、系統應用高權限用戶、第三方廠商的維護人員以及其他臨時高權限人員等。這些人員本身所擁有的高權限賬號和其在操作過程中的各種動作,都帶來日益明顯的安全隱患。
這些隱患所產生的新問題,歸結起來包括以下五個主要的問題。
其一,共享賬號帶來的安全問題。在企業內網IT系統管理中,共享賬號是很常見的管理方法,其好處顯而易見,既能節約了帳號管理成本,又降低了本地溢 出的風險……但是,隨著IT系統復雜性幾何級提升,共享賬號帶來明顯的隱患,這是因為等。這就是說,很多人共用一個賬號,就使得帳號不具有唯一性,而且密 碼難以有效管理,最關鍵的是一旦該賬號出現安全問題,責任難以認定到人,這就不符合國家關于信息安全“誰使用,誰負責”的原則。
其二,權限控制帶來的安全隱患。大多數企事業單位的IT運維均采用設備、操作系統自身的授權系統,各系統分別管理所屬的系統資源,為本系統的用戶分配權限, 無法嚴格按照最小權限原則分配權限。另外,隨著用戶數量的增加,權限管理任務越來越重,當維護人員同時對多個系統進行維護時,工作復雜度會成倍增加。安全 性無法得到充分保證。
其三,訪問控制帶來的安全隱患。目前的常見對系統管理員賬號管理中,沒有一個清晰的訪問控制列表,無法一目了 然的看到什么用戶能夠以何種身份訪問哪些關鍵設備,同時缺少有效的技術手段來保證訪問控制策略有效地執行。尤其是針對許多外包服務商、廠商技術支持人員、 項目集成商等在對企業核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護內容,極容易泄露核心機密數據或遭到潛在的 惡意的破壞。
其四,系統審計帶來的安全隱患。企業內網各IT系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。審計的機 制、格式和管理都不盡相同,就會帶來各種問題。例如,每個網絡設備,每個主機系統分別進行審計,安全事故發生后需要排查各系統的日志,但是往往日志找到 了,也不能最終定位到行為人。
其五,面臨安全合規性法規遵從的壓力。為加強信息系統風險管理,政府、金融、運營商等陸續發布信息系統管理規范和要求,如“信息系統等級保護”、“商業銀行信息科技風險管理指引”、“企業內部控制基本規范”等均要求采取信息系統風險內控與審計。
這些法規的要求和遵從,對于大型企業上市或者跨國經營,有著極大的影響。2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開始生效。其中要求企業的經營活動,企業管理、項目和投資等,都要有控制和審計手段。因此,管理人員需要有有效的技術手段和專業的技術工具和安全 產品按照行業的標準來做細粒度的管理,真正做到對于內部網絡的嚴格管理,可以控制、限制和追蹤用戶的行為,判定用戶的行為是否對企業內部網絡的安全運行帶 來威脅。
綜上所述,隨著信息化的發展,企事業單位IT系統不斷發展,網絡規模迅速擴大,設備數量激增,建設重點逐步從網絡平臺轉向 深化應用、提升效益為特征的運維階段;IT系統運維與安全管理正逐漸走向融合。面對日趨復雜的IT系統,不同背景的運維人員已經給企業信息系統安全運行帶 來較大的潛在風險,因此,內網信息系統安全治理在加大網絡邊界防護、數據通信安全、防病毒等基礎上,不能忽略網絡后臺運維安全治理和對于系統操作人員的審 計監控方面的管理,而內控堡壘主機(堡壘機)作為內網安全治理的一種有效技術手段應運而生。#p#
堡壘機現身 企業內控運維安全“終結者”
堡壘機,聽起來就是一個夠酷的名字,有用戶笑言,聽著名兒就覺著安全,就像大塊頭施瓦辛格一出現在電影鏡頭里就像終結者一樣。那么,作為內網安全的“終結者”,堡壘機究竟是個什么摸樣。
所謂“堡壘主機”(簡稱“堡壘機”),就是一種被強化的可以防御進攻的計算機,具備很強安全防范能力。“堡壘主機”這個詞是有專門含義的概念,最初由美國 Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。他提出堡壘主機“是一個系統,作為網絡安全的一個關鍵點,它由防火墻管理員來標識”,“堡壘主機需要格外的注意自己的安全 性,需要定期的審核,并擁有經過修改的軟件”。通常,堡壘主機是一臺獨立應用的主機。(這有點類似單用戶的單機操作),它有極大的價值,可能蘊含著用戶的 敏感信息,經常提供重要的網絡服務;大部分時候它被防火墻保護,有的則直接裸露在外部網絡中。其所承擔的服務大都極其重要,如銀行、證券、政府單位用來實 現業務、發布信息的平臺。“堡壘主機”的工作特性要求達到高安全性。
早期堡壘主機,通常是指這樣一類提供特定網絡或應用服務的計 算機設備,其自身相對安全并可以防御一定程度的攻擊。作為安全但可公開訪問的計算機,堡壘主機通常部署于外圍網絡(也稱為 DMZ、網絡隔離區域或屏蔽子網)面向公眾的一端。這類堡壘主機不受防火墻或過濾路由器的保護,因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服 務器、域名系統(DNS)服務器或文件傳輸(FTP)服務器等。通過將這些將必須開放的服務部署在堡壘主機而不是內部網絡中,可以換取內部網絡的安全。因 為這些主機吸引了入侵者的注意力,也就相應地減少了內部網絡遭受安全攻擊的可能性和隨之帶來的風險。
堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務、協議、程序和網絡接口來實現的。也就是說,堡壘主機往往僅提供極少的必要的服務,以期減少自身的安全漏洞。另外一些可以提 高自身安全性的手段則包括:采用安全操作系統、采取必要的身份認證和嚴格的權限控制技術等。
后來,堡壘主機被部署在外部網絡和企業內部網絡之間,提供對內部網絡特定資源的安全訪問。這類堡壘主機本身不提供網絡層的路由功能,因此可以過濾對內部網絡 的非授權訪問。對內部網絡特定資源的訪問則必須先登錄到堡壘主機上方可完成。SSL VPN可以視為這類堡壘主機的一個成功應用。這類堡壘主機是進入內部網絡的一個集中檢查點和控制點,因此很容易將整個網絡的安全問題集中在自身解決,為內 部網絡其他主機的安全提供了一道天然的安全屏障。
新一代堡壘主機,又被具體稱為“內控堡壘主機”,它綜合了運維管理和安全性的融合,切斷了終端 計算機對網絡和服務器資源的直接訪問,而是采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目標的訪問,均需要經過堡 壘主機的翻譯。極地安全專家王曉航打了一個比方,內控堡壘主機扮演著看門者的工作,所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截 非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為。#p#
目前主流的內控堡壘主機,一般具有六大主要功能。
其一,單點登錄功能。
內控堡壘主機提供了基于B/S的單點登錄系統,用戶通過一次登錄系統后,就可以無需認證的訪問包括被授權的多種基于B/S和C/S的應用系統。單點登錄為具 有多帳號的用戶提供了方便快捷的訪問途經,使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產效率。同時, 由于系統自身是采用強認證的系統,從而提高了用戶認證環節的安全性。 單點登錄可以實現與用戶授權管理的無縫連接,這樣可以通過對用戶、角色、行為和資源的授權,增加對資源的保護,和對用戶行為的監控及審計。
其二,帳號管理功能。
集中帳號管理包含對所有服務器、網絡設備帳號的集中管理。帳號和資源的集中管理是集中授權、認證和審計的基礎。集中帳號管理可以完成對帳號整個生命周期的監 控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量。同時,通過統一的管理還能夠發現帳號中存在的安全隱患,并且制定統一的、標準的用戶帳號安全 策略。 通過建立集中帳號管理,企業可以實現將帳號與具體的自然人相關聯。通過這種關聯,可以實現多級的用戶管理和細粒度的用戶授權。而且,還可以實現針對自然人的行為審計,以滿足審計的需要。
其三,身份認證功能。
內控堡壘主機為用戶提供統一的認證接口。采用統一的認證接口不但便于對用戶認證的管理,而且能夠采用更加安全的認證模式,提高認證的安全性和可靠性。
集中身份認證提供靜態密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認證方式,而且系統具有靈活的定制接口,可以方便的與其它第三方認證服務器之間結合。
其四,資源授權功能。
內控堡壘主機系統提供統一的界面,對用戶、角色及行為和資源進行授權,以達到對權限的細粒度控制,最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制 可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。在集中訪問授權里強調的“集中”是邏輯上的集中,而不是物理上的集中。即在各 網絡設備、服務器主機系統中可能擁有各自的權限管理功能,管理員也由各自的歸口管理部門委派,但是這些管理員在極地銀河內控堡壘主機系統上,可以對各自的 管理對象進行授權,而不需要進入每一個被管理對象才能授權。授權的對象包括用戶、用戶角色、資源和用戶行為。系統不但能夠授權用戶可以通過什么角色訪問資 源這樣基于應用邊界的粗粒度授權,對某些應用還可以限制用戶的操作,以及在什么時間進行操作這樣應用內部的細粒度授權。
其五,訪問控制功能。
內控堡壘主機系統能夠提供細粒度的訪問控制,最大限度保護用戶資源的安全。細粒度的命令策略是命令的集合,可以是一組可執行命令,也可以是一組非可執行的命 令,該命令集合用來分配給具體的用戶,來限制其系統行為,管理員會根據其自身的角色為其指定相應的控制策略來限定用戶。訪問控制策略是保護系統安全性的重 要環節,制定良好的訪問策略能夠更好的提高系統的安全性。
其六,操作審計功能。
操作審計管理主要審計人員的帳號使用(登錄、資源訪問)情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的帳號、資源進行標識后,操作審計能更好地對帳號的 完整使用過程進行追蹤。內控堡壘主機系統通過系統自身的用戶認證系統、用戶授權系統,以及訪問控制等詳細記錄整個會話過程中用戶的全部行為日志。還可以將產生的日志傳送給第三方產品。
在這些主干功能構筑的強大安全體系下,堡壘機漂亮地實現了對系統用戶管理、對內網操作審計、對網絡設備管理和對黑客行為防范四大功能,完美地演繹了內網安全“終結者”角色,成為大型企事業單位內網安全建設的未來戰士。
產業大格局 為企業內網構筑堡壘成趨勢
從各大行業近年來對內控堡壘主機產品的采購力度不斷加大的情況來看,在構筑企業內網安全體系的道路上,堡壘機成為重頭主力軍之一已是大勢所趨。
這樣的趨勢日益成為業界共識,而這個大趨勢的最根本的源泉,就在于企業內網在信息化應用水平提升的同時,其自身所必然出現的信息系統漏洞和桎梏,以及為滿足信息社會各種法規遵從而必然需要采取的舉措。
從企業自身信息系統發展來看,隨著企業ERP、OA、CRM等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,內網信息網絡已經成 了各個單位的生命線,對內網穩定性、可靠性和可控性提出高度的要求。內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部 分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。
由龐大的 網絡信息系統所組成的企業IT平臺,將在企業的運營中全面滲透,企業的各種內部事務和外部業務,都將全面架構于企業內網信息系統之上。尤其是電信、財政、 稅務、公安、金融、電力、石油等重要行業單位,更是使用數量較多的服務器主機來運行關鍵業務,提供電子商務、數據庫應用、運維管理、ERP和協同工作群件 等服務。由于服務器眾多,系統管理員壓力太大等因素,人為誤操作的可能性時有發生,這會對部門或者企業聲譽造成重大影響,并嚴重影響其經濟運行效能。黑客 /惡意訪問也有可能獲取系統權限,闖入部門或企業內部網絡,造成不可估量的損失。如何提高系統運維管理水平,滿足相關標準要求,防止黑客的入侵和惡意訪 問,跟蹤服務器上用戶行為,降低運維成本,提供控制和審計依據,越來越成為企業關心的問題。
從法律法規對于信息系統審計的要求上來看, 從20世紀六十年代,伴隨著計算機信息技術的誕生發展,各國法律都對IT信息系統的審計不斷提出更新更高的要求。70年代中期至80年代,美國、日本等先 后成立計算機審計相關組織;國際開始興起一系列信息安全管理標準的制定。1983年,日本通產省發布《系統審計標準》,開始培訓信息系統審計人員。 1984年美國EDPAA協會(執業會計師協會)發布一套EDP控制標準——《EDP控制目的》。1996年,ISACA協會發布了 COBIT(Control Objectives for Information and related Technology)標準,是國際上公認的安全與信息技術管理和控制的權威標準,也是國際通用的信息系統審計標準,已在100多個國家的重要組織和企業 中應用。1999年-至今,信息系統審計普及和行業應用階段。
2001年至今,美國安然事件及由此引發的一系列美國著名大公司在公 司治理和財務管理力方面的問題,促使美國陸續出臺了多個具有較強影響力的行業法案,如:2002年美國出臺Sarbanes-Oxley法案(塞班斯—奧 克斯利法案),其中第404條款要求企業在財務報告方面加強內控,企業的CEO和CFO必須對本企業的內控系統的有效性發表誠信聲明。因此,IT信息系統 同樣需要加強控制以達到SOX法案的合規要求; 2005年針對IT信息系統的SOX合規審計成為全球CIO最關注的事。目前,西方發達國家的信息系統審計應用已較為普遍,并發展到了較高的水平。#p#
從我國的發展趨勢來看,同樣如此。隨著互聯網在國內的迅速普及應用,推動國內信息系統安全審計進入快速發展階段。國家相關部門、金融行業、能源行業、運營商 均陸續推出多項針對信息系統風險管理政策法規,推動國內信息系統安全審計快速發展。2005年12月,公安部頒布82號令《互聯網安全保護技術措施規定》 即對系統信息安全審計提出明確要求。
2006年,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合制定并發布了 《信息安全等級保護管理辦法(試行)》,該辦法明確要求信息系統運營使用單位在開展等級保護工作中要按照或者參照國家、行業技術標準進行系統定級、建設、 整改、測評等工作。《信息系統安全等級保護基本要求》是信息安全等級保護標準體系中重要的基礎性標準之一。該要求針對不同安全保護等級信息系統的基本安全 審計能力均有明確要求,如:需要對用戶行為、安全事件等進行記錄,對形成的記錄能夠統計、分析、并生成報表。
2006年,國家保密局發布BMB17-2006號文件《涉密信息系統分級保護技術要求》,文件要求相關涉密單位信息系統,根據不同涉密級別,采取相關審計措施。
2006年-2009年,安全審計被列入多個行業信息系統安全建設要求。
隨著政府、金融、電信、能源等行業信息化的發展,信息科技的作用已經從業務支持逐步走向與業務的融合,成為各行業穩健運營和發展的支柱,為加強信息系統風險管理,各行業陸續發布了行業性信息系統管理規范和要求。
2008年6月,財政部、證監會、銀監會、保監會及審計署委聯合發布了《企業內部控制基本規范》,該規范被稱為中國的“SOX法案”,是我國在審計領域的重大改革 舉措,該規范將首先在上市企業中實行。如何把IT內控與企業內控管理統一起來,是《企業內部控制基本規范》的一個關鍵點,信息安全審計則將成為企業IT內 控、安全風險管理的不可或缺的技術手段。該規范將促使國內企業加強IT內控建設,從而推動安全審計市場的發展,但其中非常關鍵的一點就是安全審計技術如何 有效地與規范結合,滿足企業合規審計要求。
2009年3月,銀監會為加強商業銀行信息科技風險管理,發布了《商業銀行信息科技風險管理指引》,該 指引中重點闡述了信息系統風險管理和內外部審計要求,特別是要求審計貫穿信息科技活動的整個過程之中。另外,在《國家電網SG186工程防護總體方案》、 《中國移動集團內控手冊》、《中國電信集團內控手冊》等行業要求中也均明確要求采取信息系統風險內控和審計技術手段。
目前,隨著信息安全建設的深入,安全審計已成為國內信息安全建設的重要技術手段。總體來看,由于信息系統發展水平和業務需求的不同,各行業對安全審計的具體關注點存在 一定差異,但均是基于政策合規、自身安全建設要求,如:政府主要關注如何滿足“信息系統安全等級保護”等政策要求的合規安全審計;電信運營商則基于自身信 息系統風險內控需求進行安全審計建設。
綜上所述,在企業信息系統自身安全管理需要和國家行業的審計不斷提升的要求下,各行業單位對于堡壘機的需求,必將在近三年內達到一個井噴的市場高潮。
那么,目前國內堡壘機技術和產品提供廠商究竟是什么布局呢?
由于堡壘機是近年內出現的新技術和產品,并且國內行業用戶大多還處于信息化應用建設的高潮,還沒有到堡壘機需求期,因此,堡壘機市場需求規模和產品提供商都 有限。國內很大一部分信息安全綜合廠商都陸續推出許多有著與堡壘機部分功能相近的產品,例如單點登錄產品,內網準入產品、系統審計產品等,但是真正能夠提 供完整獨立堡壘機技術和產品的并不是很多,國內堡壘機技術和市場規模較為知名的包括以下五家:網御神州(www.legendsec.com)、綠盟科技 (www.nsfocus.com)、極地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世紀 (www.jetsen.cn)。
而從技術的角度看,目前主流的內控堡壘機所應用的主要技術包括:邏輯命令自動識別技術、分布式處理技術、圖形協議代理、多進程/線程與同步技術、數據加密技術等。
其中,邏輯命令自動識別技術是指自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文, 確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的 控制用戶意圖。該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。
分布式處理技術是指內控堡壘主機采用分布 式處理架構進行處理,啟用命令捕獲引擎機制,通過策略服務器完成策略審計,通過日志服務器存儲操作審計日志,并通過實時監視中心,實時察看用戶在服務器上 行為。這種分體式設計有利于策略的正確執行和操作記錄日志的安全。同時,各組件之間采用安全連接進行通信,防止策略和日志被篡改。各組件可以獨立工作,可 以分布于不同的服務器上,亦可所有組件安裝于一臺服務器。
正則表達式匹配技術是指內控堡壘主機采用正則表達式匹配技術,將正則表達式組合入樹型可遺傳策略結構,實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業事業架構,對于服務器的分層分級管理與控制,相當有用。
圖形協議代理是指為了對圖形終端操作行為進行審計和監控,內控堡壘主機對圖形終端使用的協議進行代理,實現多平臺的多種圖形終端操作的審計,例如Windows平臺的RDP方式圖形終端操作,Linux/Unix平臺的XWindow方式圖形終端操作。
多進程/線程與同步技術是指內控堡壘主機主體采用多進程/線程技術實現,利用獨特的通信和數據同步技術,準確控制程序行為。多進程/線程方式邏輯處理準確,事務處理不會發生干擾,這有利于保證系統的穩定性、健壯性。
數據加密功能是指內控堡壘主機在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操作過程中不被惡意破壞。
操作還原技術是指將用戶在系統中的操作行為以真實的環境模擬顯現出來,審計管理員可以根據操作還原技術還原出真實的操作,以判定問題出在哪里。目前,綠盟科 技、極地安全、方正安全等國內主流內控堡壘主機采用操作還原技術能夠將用戶的操作流程自動地展現出來,能夠監控用戶的每一次行為,判定用戶的行為是否對企業內部網絡安全性造成危害。
