【賽迪網(wǎng)-IT技術(shù)訊】對(duì)于廣大的信息安全管理者而言,現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段大多強(qiáng)調(diào)對(duì)來自外部的主動(dòng)攻擊進(jìn)行預(yù)防,檢測(cè)以及處理,而授予內(nèi)部主機(jī)更多的信任。但是,2011年最新統(tǒng)計(jì)數(shù)字表明,相當(dāng)多的安全事件是由內(nèi)網(wǎng)用戶有意或無意的誤用造成的。為保護(hù)內(nèi)網(wǎng)的安全,一些單位將內(nèi)網(wǎng)與外網(wǎng)物理隔離,或者將內(nèi)部通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng),并在網(wǎng)關(guān)處架設(shè)防火墻,IPS,IDS等安全監(jiān)控設(shè)備,盡管各單位都加強(qiáng)了對(duì)內(nèi)網(wǎng)的安全管理,可泄密事件仍時(shí)有發(fā)生,這充分說明了對(duì)內(nèi)網(wǎng)安全監(jiān)測(cè)的復(fù)雜性。本文將全面分析機(jī)構(gòu)內(nèi)網(wǎng)面臨的諸多安全漏洞風(fēng)險(xiǎn),并簡要闡述相關(guān)漏洞的解決之道。
內(nèi)網(wǎng)安全的威脅分析
內(nèi)網(wǎng)主機(jī)間大多以局域網(wǎng)的方式進(jìn)行互連,這些主機(jī)形成以物理互連,邏輯隔離的方式共存,但為實(shí)現(xiàn)主機(jī)間的資料共享及數(shù)據(jù)通信需求,又不得讓其之間建立各種互信關(guān)系,因此某臺(tái)主機(jī)的有意或無意的誤操作都會(huì)對(duì)整網(wǎng)主機(jī)的安全性造成威脅。內(nèi)網(wǎng)安全威脅主要分為以下幾類:
·內(nèi)網(wǎng)邏輯邊界不完整
無線技術(shù)的迅猛發(fā)展讓隨時(shí)隨地接入Internet這一想法成為現(xiàn)實(shí),在驚嘆先進(jìn)的無線技術(shù)為我們的生活帶來便利的同時(shí),也對(duì)我們的網(wǎng)絡(luò)管理人員提出了更多的要求。在內(nèi)外網(wǎng)隔離的環(huán)境中,如何確保內(nèi)網(wǎng)邊界的完整性,杜絕因網(wǎng)絡(luò)邊界被破壞,造成有不明終端穿越網(wǎng)絡(luò)邊界接入。網(wǎng)絡(luò)邊界的防護(hù)不能僅限于網(wǎng)絡(luò)出口的保護(hù),而應(yīng)該是所有網(wǎng)絡(luò)邊界的防護(hù),并更應(yīng)該側(cè)重于網(wǎng)絡(luò)入口處的保護(hù)。
·缺乏有效身份認(rèn)證機(jī)制
內(nèi)部主機(jī)使用者缺乏特定的身份識(shí)別機(jī)制,只需一根網(wǎng)線或者在局域網(wǎng)AP信號(hào)覆蓋的范圍之內(nèi),即可連入內(nèi)部網(wǎng)絡(luò)獲取機(jī)密文件資料。內(nèi)網(wǎng)猶如一座空門大宅,任何人都可以隨意進(jìn)入。
·缺乏訪問權(quán)限控制機(jī)制
企業(yè)或政府單位網(wǎng)絡(luò)大體上可以分為兩大區(qū)域:其一是辦公或生產(chǎn)區(qū)域,其二是服務(wù)資源共享區(qū)域,目前上述兩大邏輯網(wǎng)絡(luò)物理上共存,并且尚未做明確的邏輯上的隔離。辦公區(qū)域的人員可隨意對(duì)服務(wù)資源共享區(qū)域的資源進(jìn)行訪問,另外需要的注意的是,來賓用戶在默認(rèn)情況下,只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限,相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通,內(nèi)網(wǎng)機(jī)密文件資源此時(shí)將赤裸暴露于外部。
·移動(dòng)存儲(chǔ)設(shè)備的濫用
隨著數(shù)字電路技術(shù)的發(fā)展,小體積大容量的U盤已成為備受人們喜愛的文件交換與共享工具,U盤的普遍應(yīng)用促使黑客開發(fā)出一種有針對(duì)性的惡意軟件,如臭名昭著的Conficker蠕蟲。這種蠕蟲能夠在連接到USB端口的時(shí)候自動(dòng)執(zhí)行。更嚴(yán)重的是默認(rèn)的操作系統(tǒng)設(shè)置一般都允許大多數(shù)程序(包括惡意程序)自動(dòng)運(yùn)行。這相當(dāng)于你的鄰居每一個(gè)人都有一把你的電子車庫門的鑰匙,并且利用這個(gè)鑰匙打開其他人的車庫門。
·內(nèi)網(wǎng)主機(jī)漏洞
現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品,而微軟系列產(chǎn)品的特點(diǎn)就是補(bǔ)丁特別多,包括IE補(bǔ)丁、office辦公軟件、以及操作系統(tǒng)等。如果這些補(bǔ)丁不及時(shí)打上的話,一旦被黑客所利用,將會(huì)作為進(jìn)一步攻擊內(nèi)網(wǎng)其他主機(jī)的跳板,引發(fā)更大的內(nèi)網(wǎng)安全事故,如近年來爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式。
內(nèi)網(wǎng)安全的解決之道
在我們對(duì)內(nèi)網(wǎng)中所存在的安全漏洞進(jìn)行逐個(gè)分析后,我們不難發(fā)現(xiàn)內(nèi)網(wǎng)安全與外網(wǎng)安全管理一樣重要,相比之下更有難度,究其主要原因在于:內(nèi)網(wǎng)安全管理面比較大,終端數(shù)較多,終端使用者的IT技能水平層次不齊。這就對(duì)我們的內(nèi)網(wǎng)安全管理提出了一定的要求,例如可實(shí)現(xiàn)對(duì)全網(wǎng)的統(tǒng)一管理;對(duì)內(nèi)網(wǎng)所面臨的安全威脅能夠提供整體的、智能化的解決方案,能夠及時(shí)響應(yīng)內(nèi)網(wǎng)中存在的安全隱患問題等等。
盈高科技作為安全準(zhǔn)入國家標(biāo)準(zhǔn)制定者,其內(nèi)網(wǎng)安全的整體解決方案已廣泛應(yīng)用于政府、金融、運(yùn)營商、能源、教育、制造、大型集團(tuán)企業(yè)等眾多行業(yè),自主研發(fā)的入網(wǎng)規(guī)范管理系統(tǒng)(ASM)在終端入網(wǎng)之前就可提供多樣化的身份驗(yàn)證方式,有效拒絕了非授權(quán)的用戶對(duì)內(nèi)網(wǎng)資源的訪問。獨(dú)有的訪問控制功能,可根據(jù)不同的用戶角色分配相應(yīng)的訪問控制權(quán)限,做到身份與權(quán)限的完美結(jié)合。此外,ASM還具備業(yè)界領(lǐng)先的終端系統(tǒng)安全掃描引擎,全面系統(tǒng)的對(duì)終端的安全狀況進(jìn)行檢查,對(duì)檢查出現(xiàn)的相關(guān)安全隱患,可自動(dòng)按管理員的設(shè)定進(jìn)行自動(dòng)修復(fù),這無疑大大提升了產(chǎn)品的附加值,將網(wǎng)管人員從繁瑣的工作中解放出來,省時(shí)省力。
2011年被IT業(yè)界喻為中國的內(nèi)網(wǎng)安全建設(shè)年,國家針對(duì)分級(jí)保護(hù)、密鑰管理和電子認(rèn)證系統(tǒng)建設(shè)均出臺(tái)了系列政策,要求切實(shí)加強(qiáng)推進(jìn)工作;一些政府部門或行業(yè)機(jī)構(gòu)也紛紛出臺(tái)了內(nèi)網(wǎng)安全的相關(guān)制度文件和行業(yè)標(biāo)準(zhǔn)。在即將到來的2012,內(nèi)網(wǎng)安全將進(jìn)一步作為各政府機(jī)構(gòu)和企事業(yè)單位的工作重點(diǎn),對(duì)于內(nèi)網(wǎng)安全的綜合性解決方案也將幫助各管理者加固好網(wǎng)絡(luò)安全的最后一塊短板。
京公網(wǎng)安備 11010502049343號(hào)