引言:對于國內的網絡管理者而言,現有的網絡安全防護手段大多強調對來自外部的主動攻擊進行預防,檢測以及處理,而授予內部主機更多的信任。但是,統計數字表明,相當多的安全事件是由內網用戶有意或無意的操作造成的。為保護內網的安全,一些單位將內網與外網物理隔離,或者將內部通過統一的網關接入外網,并在網關處架設防火墻,IPS,IDS等安全監控設備。盡管如上述所示的各類安全措施都得到了實現,眾多管理者們卻仍然頭疼于泄密事件或其它各類內網安全事件的頻繁發生,這就充分說明了目前內網安全維護的復雜性。
總體上看,內網主機大多以LAN的方式進行接入,這些主機間以物理互連,邏輯隔離的方式共存,但為實現主機間的資料共享及數據通信需求,又不得不讓其之間建立各種互信關系,因此某臺主機的有意或無意的誤操作都會對整網主機的安全性造成威脅,這些威脅點主要分為以下幾類:
內網邏輯邊界不完整
無線技術的迅猛發展讓隨時隨地接入internet這一想法成為現實,,在驚嘆先進的無線技術為我們的生活帶來便利的同時,也對我們的網絡管理人員提出了更多的要求。在內外網隔離的環境中,如何確保內網邊界的完整性,杜絕不明終端穿越網絡邊界接入是眾多管理者面臨的一大難題。事實上,國內定義的網絡邊界防護由于《等保》的詮釋往往被理解為網絡出口保護,而在現實情況中的邊界早已超越了”出口“這一狹隘的概念,而真正擴展到全網,其中的關鍵就是內網的邊界--網絡的入口。換言之,邊界防護更應該是所有網絡邊界的防護--并側重于內網入口的防護。
缺乏有效身份認證機制
對內部主機使用者缺乏特定的身份識別機制,只需一根網線或者在局域網AP信號覆蓋的范圍之內,即可連入內部網絡獲取機密文件資料。內網猶如一座空門大宅,任何人都可以隨意進入。往往管理者都比較注重終端訪問服務器時的身份驗證,一時之間,CA、電子口令卡、radius等均大行其道,在這種環境下,被扔在墻角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭,而終端之間的聯系恰巧就是--網絡。
缺乏訪問權限控制機制
許多單位的網絡大體上可以分為兩大區域:其一是辦公或生產區域,其二是服務資源共享區域,目前上述兩大邏輯網絡物理上共存,并且尚未做明確的邏輯上的隔離,辦公區域的人員往往可隨意對服務器區域的資源進行訪問。另外需要的注意的是,來賓用戶在默認情況下,只要其接入內部網絡并開通其網絡訪問權限,相應的內部服務資源的訪問權限也將一并開通,內網機密文件資源此時將赤裸暴露于外部。
內網主機漏洞
現有企業中大多采用微軟系列的產品,而微軟系列產品恰巧像蜜糖一樣不斷吸引著蜂擁而至的黑客做為嶄露頭角的試金石,調查顯示80%以上的攻擊和病毒都是針對windows系統而產生的,這也就引發了微軟一月一次的補丁更新計劃,包括IE補丁、office辦公軟件、以及操作系統等全系列產品都被納入這個安全保護之中。但空有微軟單方發布的補救文件,也必定只是剃頭挑子一頭熱,如果由于用戶處的設置不當導致補丁無法及時更新的話,一旦被黑客所利用,將會作為進一步攻擊內網其他主機的跳板,引發更大的內網安全事故,如近年來爆發的各種蠕蟲病毒大都是利用這種攻擊方式,這也是為什么政府機構的信息安全檢查都極其重視操作系統補丁更新的原因。
對于管理者而言,內網安全的管理與外網相比存在一定的難度,究其主要原因就在于,內網的管理面比較大,終端數較多,終端使用者的IT技能水平層次不齊,而這在領導看來往往會歸結到管理的層面,因此實施起來壓力大,抵觸情緒多,并且會形成各種各樣的違規對策,單槍匹馬的”管理“往往身體懸在半空,心也懸在半空。技術人員往往亟需技術手段的輔助來形成一個立體化的安全模型,也需要有更為開闊的思路看待內網的安全問題,從這一點上看,杭州盈高科技基于NAC架構下的新一代3C網絡安全平臺將提供給用戶全局化的思路實現。
京公網安備 11010502049343號