如何堵住企业内网安全漏洞
来源:中小企业IT网 更新时间:2009-12-21

 
Oracle帮您准确洞察各个物流环节

在经历了外网安全建设后,企业普遍面临“内忧”胜于“外患”的局面,换言之,企业不仅需要坚固的边界安全,更需要稳定的内网安全。

最近,国内某大型造船厂发生了一起有惊无险的网络安全事件。由于该造船厂的计算机系统内储存有大量的重要设计数据,某一天,系统突然报警,显示某个电脑终端正在非法拷贝这些重要文件数据,而网管人员通过内网审计系统的跟踪,立刻锁定了拷贝文件的电脑和登陆系统的用户名,从而在重要文件还没被外传之前,及时制止了该非法行为,避免了无谓的经济损失。

事实上,类似的内网安全事件在很多企业都有发生,但由于内网安全的完善程度不同,并非每个企业都能避免损失发生。有调查显示,超过85%的安全威胁来自企业内部,其中16%来自企业内部未经授权的非法访 问,40%来自电子文件的泄露,由此可见,内网安全问题已是企业网络安全建设的重头戏。

为了确保网络安全,防火墙、杀毒软件、IPS等产品早已成为企业用户的普遍部署,但是,这些主要针对外网的安全防护在面对内网安全威胁时,往往形同虚设,因为“内忧”胜于“外患”,企业不仅需要坚固的边界安全,更需要稳定的内网安全。

那么,目前企业CIO们对于内网安全的认识是否到位,他们在内网安全部署方面处于何种程度,还存在哪些有待完善之处,内网安全在产品技术上又存在哪些发展趋势。

过半企业重视内网安全

网络安全威胁层出不穷,网络安全问题无处不在,但是,事情总有轻重缓急之分,哪个领域的安全问题是企业用户当前首需解决的呢?调查反馈显示,“内网安全”以54.9%的比例占据第一位置,其次,25.7%的用户选择外网安全,10.6%的用户选择了终端安全,8.8%的用户选择了Web安全。

显然,企业网络安全建设行进之今,过半用户已经将“内网安全”设定为首需解决的问题。同时,这也表明用户对于内网安全重要性的认识已经达到相当程度。

北京互联通网络科技有限公司产品项目部顾问黄毅就明确表示,内网的安全管理,很多时候比外网安全管理更加重要,因为企业的机密信息泄漏、业务系统被如侵等,往往就是透过内部的非授权访问和木马泛滥导致的,所以,保障内网安全势在必行。

作为内网安全建设领域的专家,北京鼎普科技股份有限公司战略市场部经理万俊告诉记者,一直以来,企业安全防御的理念更多局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面,主要的安全设施大多集中于机房、网络入口处。应该说,在这些安全设备的严密监控下,来自网络外部的安全威胁得到显著缓解。然而,随着企业信息化的不断深入,来自网络内部的安全威胁开始逐步凸显出来,网络的内部安全问题大于外部问题渐渐成为业界共识。

对此,我们可以从企业用户当前对于安全细节问题的关注度得到印证。在“哪些安全细节问题是贵公司当前比较重视的”这一问题中,83.2%的用户选择了病毒查杀,69.0%的用户选择了数据库安全,46.9%的用户选择了网络设备安全,31.9%的用户选择了补丁升级管理,31.0%的用户选择了网站运维安全,27.4%的用户选择了身份认证,22.1%的用户选择了信息加密。可以看出,不论是常见的病毒查杀,还是身份认证或信息加密,用户对此都持有相当的关注。

“提高意识 管理到位”是首要

为什么需要管理内网安全,我们从企业员工的日常小事即可明白。如今,很多员工在上班闲暇时,偶尔聊聊QQ或MSN,要不上开心网玩“偷菜”或观看在线电影,要不干脆打开BT电驴等下载软件下载大容量文件。这些在大小企业中普遍存在的现象不仅影响了员工的工作效率,而且还会占用企业网络流量,从而影响其他正常业务的开展。

事实当然不仅如此,根据本次调查反馈,70.8%的企业存在“员工随便登陆MSN、QQ、BT等内容”,37.2%的企业存在“经常有人改动IP地址从而造成冲突”,62.8%的企业存在“经常出现某台电脑没有打补丁或补丁不全”,31.0%的企业存在“经常受到非法入侵”,48.7%的企业存在“不能完全限制内网的设备与重要信息的保管”。

可以看出,近七成左右的企业存在“员工随便登陆MSN、QQ、BT等内容”和“经常出现某台电脑没有打补丁或补丁不全”的现象,另外三项困扰也有近五成企业有所遭遇。

另外,根据调查反馈,目前企业网络主要遭遇的安全威胁中,76.1%的用户选择木马病毒,14.2%的用户选择蠕虫,8.8%的用户选择电子邮件攻击,0.9%的用户选择网络钓鱼/欺骗。可见,木马泛滥的确到了人人喊打的地步。

需要指出的是,木马病毒除了可以跟随Web应用从外网进入内网之外,还有一个重要的传播渠道,即通过移动U盘直接在内网终端上蔓延开来。对此,在诸多安全厂商的内网安全产品中,都或多或少存在防止移动终端传播病毒的功能。比如鼎普科技的安全U盘系统,它是通过智能判断和权限访问控制技术,使数据信息在U盘上实现存取控制,同时也具备对U盘进行身份认证、敏感信息外带时防止非授权访问和病毒窃取等功能。目前,金融、电信等行业用户大多应用了类似系统以杜绝终端隐患。

抛开行业特殊性,抛开单一内网安全产品或功能,目前企业用户针对网络安全的部署现状如何呢。根据调查反馈,96.5%的用户选择了杀毒软件,78.8%的用户选择了防火墙,24.8%的用户选择了VPN(安全传输),20.4%的用户选择了身份认证系统,27.4%的用户选择了内网安全管理,8.8%的用户选择了IDS/IPS。

很明显,虽然近八成企业都部署了杀毒软件和防火墙,但这正好说明企业在网络安全建设过程中,外网安全是优先经历的阶段,而接下来的重点则在内网安全。

那么,内网安全建设应该从何处下手呢,首先,我们可以从“企业网络中发生安全事件的原因通常包括有哪些”这一问题的调查结果看,有48.7%的用户选择“网络或软件配置错误”,28.3%的用户选择“管理员弱口令”,62.8%的用户选择“系统漏洞”,74.3%的用户选择“员工安全意识淡薄、管理不到位”,15.0%的用户选择“DDoS攻击”。

显然,“员工安全意识淡薄、管理不到位”是企业发生网络安全事件的最普遍原因,这与很多企业CIO的看法也是一致。

山西省大同市阳高县畜牧服务中心饲料牧草管理站站长杭军表示,影响内网安全管理的因素很多,其中,用户的认识水平、重视程度及使用习惯,尤其是普通用户的安全意识和相关管理人员的管理水平,尤为重要。

同样,在吉林吉恩镍业股份有限公司信息中心主任周军利看来,保障内网安全,首先需要制订科学完善的内网安全管理制度,从要制度上规范员工上网行为,其次要加大制度的执行和考核力度,让员工自觉树立信息安全意识,最后就是使用先进的内网安全管理产品,从技术上保障内网安全。

从“偏安全”到“偏管理”

从技术角度讲,内网安全包含的内容其实很多,比如如何发现客户端设备的系统漏洞并自动分发补丁,如何防范移动存储设备随意介入内网、如何防范内网设备非法外联,如何点对点控制异常客户端的运行,如何防范内部涉密信息泄露等。

换句话说,与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,相应的产品部署也相对更加多样。比如有的侧重内网终端防护,有的侧重流量和上网行为控制,有的侧重监控审计,有的侧重身份认证或信息加密等。

万俊介绍,过去几年,人们对于内网安全的管理主要偏向于防止信息泄密,因此,严格控制电脑终端的外设及各类端口成为各大厂商产品方案的重点诉求。

然而,随着网络安全形势的不断演变,企业用户开始不仅满足于对电脑终端的监控,而是希望从管理的角度对内网安全进行防护。比如本文开头所说的那家造船厂,通过内网审计系统锁定非法操作,再比如统计网络流量、补丁分发以及系统软硬件的升级管理等。

这在本次调查也有所反映。“在内网安全管理方面,贵公司期望在哪个部分得到加强”,有51.3%的用户选择了“监控审计”,26.5%的用户选择了“桌面管理”,14.2%的用户选择了“文档加密”,8.0%的用户选择了“磁盘加密”。

事实上,为了满足用户需求,厂商的产品策略上也在随之跟进。“当然,我们在产品策略上也从最初单纯的监控审计,到现在把监控审计和管理相结合,走向偏重管理的方向。”万俊表示,“毕竟,内网安全的重心已经从偏重安全转移到偏重管理,内网的概念已不仅集中在涉密这块,许多非涉密企业、非涉密业务也开始从管理的角度落实内网安全。”

在实践应用中,偏重管理就是要求企业在运用内网功能的时候,不是为了在事后进行补救,而是一方面可以做到预防危险的发生,另一方面把公司一些理念、文化都能在计算机内网监控中得到体现。比如鼎普科技最新研发的“猎隼”网络信息监测系统,这个系统通过对所有网络的内容进行解析,能够及时阻止内部的计算机通过互联网发生的敏感信息泄露,快速定位追查源头,防止违规事件发生。它还能对整个网络及计算机用户上网行为、网络流量进行监控,帮助网络高效、稳定、安全的运行,为信息化建设及管理提供有效的技术支撑。

打造立体防御体系

“未来一年,贵公司是否制定了进一步加强内网安全管理的计划”,结果显示,41.6%的企业表示有,32.7%的用户表示暂时没有,25.7%的用户表示不确定。可见,有四成多的用户打算加强内网安全部署。

不过,涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个有机统一的安全控制系统,实现立体式实时监管,才是实施内网安全部署的关键所在。

在万俊看来,保障内网安全不能仅靠各种功用安全产品的堆叠,而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制,则可以让系统既突出安全性,有注重管理性。

第一级认证:基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固,例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。

第二级认证:基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控,即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。

第三级认证:实现对程序安装运行的授权控制。对应用程序进行黑白名单控制,只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。

第四级认证:实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实现网络的安全接入--只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对入终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断网等。

在建立以上四级可信认证机制的纵深防御体系基础上,企业用户还要实现身份鉴别、介质管理、数据保护、安全审计、实时监控等防护要求,如此才能达到扎实有效的安全效果。