来源:中国电子政务网 更新时间:2012-04-14
近年来,信息泄露的案例屡见不鲜,可以说让信息泄密单位“领导很生气”,而最可怕的是内部安全的纰漏使得该单位“后果很严重”。因此,当信息安全大浪潮席卷而来的时代,切近每个人利益最紧密的,便是内网安全的威胁,甚至有专家指出,对于企事业机构内部网络的安全威胁防范,怎么强调都不过分,而且必将在未来成为信息安全的重中之重。
那么,何谓内网呢?从一般的理解而言,所谓内网,是对应于外网而言的。它经常又被称作局域网、LAN、私网。主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭,一所学校或者团体组织,一家公司或者事业机构,一个政府部门,甚至来自一个行业或区域。
信息化的快车,使得这些组织机构将自身的机密信息和核心价值文档,逐步电子化网络化,极大提升工作效率;信息化科技的“双刃剑”效应,则使得这些“核心价值”面临着巨大风险和威胁。在这样的安全形势下,尽管企事业单位也日趋重视内网安全问题,但往往事与愿违,常常是内网信息安全防护投入不断增加,病毒、木马、攻击却不断产生;硬件和带宽投入持续增长,网络却时断时续,关键应用性能无法得到保障,内网安全问题层出不穷。
金庸在其武侠小说《天龙八部》中,描写了一种精绝至深的武学内功——六脉神剑。该剑法实为人体内功修炼的最高境界之一,其功法强健人体筋骨精神,打通人体气血脉络,激发人体潜能,将剑意转化为剑气,构建和谐强大的内在稳健体系,爆发出迅猛有力的攻击力度。可以讲,六脉神剑成为功夫迷们理想中的剑气绝学,堪称剑中无敌。企业就像一个人体,如何畅通、调理好内部网络,构建出架构简约、功效卓著、固若金汤的内网安全防线,成为多少企业“功夫武师”CIO们追求破解的终极疑惑。
从当前国外先进的内网安全理念和实践出发,众多信息安全“江湖”的顶级高手都认为,要构筑企业内网综合安全体系,需要从终端运维保障、终端行为管理、核心系统防护、应用系统管理、漏洞风险评估、数据存储灾备六大技术管理体系出发,打通内网筋脉,构筑严密体系,保障内网安全。
少商剑:终端运维保障
剑气经脉:左手大拇指—手太阴肺经。
剑法特点:剑路雄劲,颇有石破天惊,风雨大至之势。将整个庞大内网终端安保置于密不透风的剑气罩护之下。
终端安全管理系统,是智能化自动化的安全集中管理平台,作为终端安全各子系统的“指挥中枢”,终端与内网安全管理系统是内网内控统一安全管理平台产品的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。
补丁分发管理系统,主要完成客户端的补丁检测和安装,强化客户端自身健壮性。允许管理员自定义软件分发,完成用户自由系统的补丁管理。可以远程进行软件分发。可以深入结合对客户端防病毒程序安装和运行情况的检测,为安全接入管理系统提供授权认证凭据。
终端运维管理系统,主要完成对于终端计算机的稳定运行状况的监控,和对于终端计算机出现异常情况的远程支持和智能化辅助。能够通过控制台远程取得客户机的控制权,身临其境般进行操作。对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。包括通过对内网中高密级终端电脑的操作屏幕进行及时监控和录像,防止恶意人员或病毒程序违规操作该电脑,并进行及时截屏取证、隔离阻断等智能化操作。
终端资产管理系统,能够智能化收集分析内网中各终端软、硬件设备组成,并进行多种策略统计,供管理人员即时查询,可以针对资产的部门、领用情况、责任人、资产价值等行政信息进行管理,方便管理员从资产的整个生命周期进行管理。并能够对终端软、硬件设备的变化进行动态审计,自动监测系统软硬件资产的变动,记录日志并可以产生报警,同时可以根据策略自主采用响应措施,防止资产变更给客户端或者网络带来更大的危害。
▲
图注:JD-ESMS终端与内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略Policy的控制和指导下,综合运用防护工具Protection(如防火墙、加密机、防病毒等手段)的同时,利用检测工具Detection(如隐患扫描、入侵检测等)了解和评估系统的安全状态,通过适当的安全响应Response将系统调整到“最安全”和“风险最低”的状态。
少冲剑:终端行为管理
剑气经脉:右手小指—手少阴心经。
剑法特点:轻灵迅速,意之所指,气之所向,剑之即到。内网终端出现异常行为,能够快速迅捷地进行相应管控。
在一些大型的基础行业单位,其内网用户数以千计,这些员工的各种不规范的计算机操作或上网行为,都将给整个内网带来潜在的隐患。终端行为管理,就是针对这些终端用户的操作行为,进行的后台安全管理,主要包括以下系统:外设与接口行为管理系统、准入控制管理系统、上网行为管理系统、信息访问控制系统。
外设与接口行为管理系统,主要对终端上的各种外设和接口进行管理。该技术可以禁用系统的外设和接口,防止用户非法使用。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。
准入控制管理系统,通过准入控制管理,可以对所有客户端进行合法性检验和控制,非法的、不接受管理的客户端将被隔离在网络之外,而合法的客户端可以接入网络进行正常操作。系统提供了最全面的准入控制方式,可以充分满足用户网络各种不同环境下的准入控制需求。
▲
图注:入侵者可以侵入企业内部网络发起攻击,使内部网络瘫痪、重要服务器宕机、破坏和窃取公司内部的重要数据。通过准入控制管理系统,可以阻止所有不符合要求的人员接入内网。
上网行为管理系统,主要解决实时发现、即时管理和数据审计用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。同时,该系统还可以通过客户端的端口控制、监控客户端运行协议,防止病毒、非法程序访问客户端,从另一方面降低了客户端的风险性。
信息访问控制系统,该系统一方面通过对访问设备的策略设定,严格控制和审计各种网络设备对终端的访问;另一方面,该系统可以通过文件名和文件类型的方式制定管理策略,管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。同时,该系统还能通过加密等一些技术手段,对本地文档进行高密保护。
中冲剑:核心系统防护
剑气经脉:右手中指—手厥阴心包经。
剑法特点:大开大阖,气势雄迈。后台核心设备和系统,乃内网核心之所在,对其的防护乃重中之重,须大招术,大管控,大力度。
随着全球信息技术的不断发展和信息化建设的不断进步,一些重要机构和大型企业信息化水平得到飞速提升,其办公系统、 商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业的大型机构和企业内网中,更是使用数量较多的服务器主机来运行关键业务。
这种情况下,企业对IT系统的依赖程度也越来越高,各类业务系统也变得日益复杂。就一个信息化程度很高网络信息系统而言,其针对传统的信息安全问题防护,已经比较完善,其最大的威胁和破坏来自企业内部。据国内领先的专注内网安全的极地安全公司技术团队对用户调研数据显示,8.5%的安全问题导致网络数据破坏,11%的安全问题导致数据失密,23%的病毒程序感染问题导致系统短暂故障,而从恶意攻击的特点来看,70%的攻击来自组织内部。
▲
图注:极地安全JD-FORT?内控堡垒主机应用了目前先进的技术作为支持,针对单位内部网络设备和服务器进行账号和认证的统一管理,对此类资产的常用访问方式进行监控和审计。例如对字符终端、图形终端等访问方式进行监控和审计,实现对用户行为进行控制、追踪、判定,满足单位内部网络对安全性的要求。
在所有内部隐患中,一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显,是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员,即拥有企业内网各种IT系统软硬件设备管理权限的人员,这些人员可能包括:系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。这些人员本身所拥有的高权限账号和其在操作过程中的各种动作,都带来日益明显的安全隐患。
因此,内网信息系统安全治理在加大网络边界防护、数据通信安全、防病毒等基础上,不能忽略网络后台运维安全治理和对于系统操作人员的审计监控方面的管理,而以内控堡垒机等技术的兴起,正在构筑成为企业核心系统内控的坚强堡垒。
少泽剑:应用系统管理
剑气经脉:左手小指—手太阳小肠经。
剑法特点:忽来忽去,变化精微。企业各种业务应用系统日益复杂,变化繁多,各自漏洞、兼容性冲突等问题不断,要对其形成良好的运维和安全的保障,则安全技术体系需要对应用变化进行最细微的对应。
应用系统管理主要是为企业内网日益复杂的各种信息化应用提供一些辅助的安全监控技术,实现应用系统进入身份认证和整体稳定运行监控等功能。其主要包括:关键应用运维行为检测和采集、统一身份管理等系统功能。
统一身份管理系统,主要是针对各大行业用户的应用信息系统规模越来越大、设备越来越多、内部用户数不断增加的信息化发展趋势下出现的几个方面问题,一方面使用人员的负担增加,工作效率无法提高;另一方面也无法对所有系统实现统一的安全策略;迫切需要新的安全框架来对所有资源和应用系统做集中身份管理。一个较为完善的安全管理框架包括用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit),简称4A框架。
同时,由于重要业务应用信息化的深入,企业对于很多关键信息化应用的依赖,达到了无以复加的程度,那么对这些应用的安全和不间断稳定运行,有着非常高的要求。因此,关键应用运维行为检测和采集系统,也是内网大安全体系未来的一个重要需求方向,这个系统顾名思义,就是通过对关键重要应用的数据传输、用户行为、漏洞评估以及其相关软硬件设备等各种运行环境的数据监测,实现更加方便快捷的查看应用系统的运行状况,智能化的分析系统当前安全状况,通过各种方式预警,实现日常应用运维工作的自动化、信息化和标准化,保障业务系统“网络不断、数据不丢、系统不瘫”!
商阳剑:漏洞风险评估
剑气经脉:六脉神剑右手食指—手阳明大肠经。
剑法特点:巧妙灵活,难以捉摸。凡事预则立,凡险防则微。内网各种系统和应用漏洞的出现,以及其所可能导致的风险,都是快速发展变化,且难以捉摸的。内网安全体系尤其需要更加灵活应对。
目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,由于其开发厂商的各种原因(软件开发者设计不完善、编码错误等)存在安全漏洞,这些安全漏洞有可能存在重大安全隐患,而几乎所有的信息安全威胁的产生,都直接或间接与系统的相关漏洞缺陷有关系。因此,未雨绸缪,在内网安全尚未发生实际灾害的过程中,通过技术手段对漏洞进行扫描挖掘,对系统风险进行评估并及时修补完善,成为内网安全体系中一个不可或缺的重要方法。
▲
图注:JD-SCAN 网络漏洞扫描系统,也称为网络风险评估管理系统,在不改变企业网络系统结构的情况下,通过与目标主机建立模拟连接并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标某些内在的安全弱点。定期地进行漏洞扫描测试,检查、分析网络范围内的设备、网络服务、操作系统、数据库等系统的安全性,根据漏洞情况和风险风机给出解决漏洞的建议方案,从而为提高网络安全的等级提供支持。
如何实现内网漏洞和风险评估,对于一般的企业内网来说,通过漏洞扫描等技术产品,是比较常见的方法。漏洞扫描系统是一种主动检测本地或远程主机系统安全性弱点的程序,采用模仿黑客入侵的手法对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在,然后将扫描结果向系统管理员提供周密可靠的安全性分析报告,从而让管理人员从扫描出来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏洞,在系统安全防护中做到"有的放矢",及时修补漏洞,从根本上解决网络安全问题,有效地阻止入侵事件的发生。
漏洞扫描技术是网络安全防御中的一项重要技术,它的成功应用,在网络安全体系的建设中可以大规模减少安全管理员的负担,有利于保持整个网络安全政策的统一和稳定。虽然亡羊补牢可贵,未雨绸缪才是理想境界。
关冲剑:数据存储灾备
剑气经脉:右手无名指—手少阳三焦经。
剑法特点:以拙滞古朴取胜。曾经何时,存储和备份是最枯燥无味,且技术含量不高的基础技术,然而,随着数据的重要性不断提升,最朴素最基础的存储灾备工作,成为内网安全最实在的最后一道钢铁防线。
数据安全是业务系统持续运行的前提和保障。虽然通过端点安全、网络安全、应用安全、存储区域网络的防护,可以从多个层面予以数据的安全防护,但是,数据丢失或损坏的情况在现实中还是经常发生。如今频繁发生的各种自然灾难(火灾、水灾、地震等)、IT系统故障(IT设备硬件、软件故障等)和人为灾难(误删除、误操作等),都对数据安全带来了巨大冲击。
正是基于如此,信息系统面临的各种灾害是难免的,而对于企事业机构的内部网络中最核心和要害的数据信息来说,除了日常的安全存放,在遭遇各种系统灾害的情况下,如何避免对企业正常工作秩序造成严重干扰,和对企业整体利益造成不可挽回的损失。最根本、有效、可控的手段,就是信息系统灾难备份和恢复技术(简称“灾备”),灾备已经成为内网信息安全系统配套建设的一个基本要求,成为企业信息化体系中不可缺少的信息安全基础设施,成为内网信息安全体系中当之无愧的最后一道“钢铁防线”。
数据存储是数据流在加工过程中产生的临时文件或加工过程中需要查找的信息。数据以某种格式记录在计算机内部或外部存储介质上。常用的存储介质为磁盘和磁带。这个在内网建设中,没有太大技术含量,最终要就是灾备。灾备就是灾难备份与恢复,指利用专业技术手段与管理手段,灾前确保关键信息数据等资料的备份,灾后将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态的整体信息安全体系。灾备的核心技术主要包括数据存储技术,体系结构技术,信息安全技术和系统管理技术。
相关链接:国内知名内网安全企业推荐之一——极地安全公司
▲
北京极地信息技术有限公司(www.jidisec.com),创始于2005年,是一家专注于内部网络控制技术研究、开发、服务的信息安全公司。针对内部网络面临的各种威胁,极地安全构筑了全方位的安全防线。对于内部网络面临的威胁,“JD-ESMS终端安全管理系统”、“JD-SCAN网络漏洞扫描系统”、“JD-4A集中身份管理系统”、“JD-FORT内控堡垒主机”等四大产品线,分别从终端、服务器、应用系统、风险评估等四方面提供了内控安全的技术手段。作为国内自主研发提供内部网络风险控制整体解决方案的厂家,极地安全将先进的科研成果迅速应用到市场实践中,帮助用户更好地适应《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《2002年公众公司会计改革和投资者保护法案》(简称萨班斯法案)等信息安全法规的要求。
极地安全一贯坚持共赢共荣的市场理念和专注专攻的开发策略,产品销售方式采用首推渠道合作伙伴的市场策略:即凡是合作伙伴能够覆盖到的销售区域,极地安全都依托合作伙伴进行销售;凡是合作伙伴能够处理商务环节的合同,极地安全都转交合作伙伴进行商务处理。极地安全的市场和销售人员最重要的职责就是配合合作伙伴共同为客户服务。
我们坚信,顾客的成功才是我们的成功,合作伙伴的兴旺才是我们的兴旺,员工的成长才是我们的成长。通过大家的共同努力,一定能为国产信息软件技术的发展添砖加瓦,也一定能为维护国家的信息安全做更大贡献!