网络安全无处不在 基于平台网络安全架构
来源:赛迪网 更新时间:2008-07-13

作者:劣性威士忌

 从技术点出发来建设运维管理平台系统、从业务应用的角度出发来设计应用管理策略,从整个IT管理出发来建设流程管理ITSM 。这些都是建立在安全管理基础上进行的,没有安全这一切都将很脆弱。

传统的网络安全

我们来分析一下网络的安全管理。目前大部分运维管理人员对黑客、病毒攻击的危险性都有了深刻的认识,所以很多网络都大量投资了防火墙、入侵监测、防病毒软件等。但一段时间运用下来,发现效果并不理想,病毒依然时常泛滥、重要信息常被泄露、网络安全受到挑战,原因何在?关键在于安全并不是几个产品就可以解决的问题,而是一个完整的体系。运维人员往往只是单纯的考虑某种安全问题并没有从整体IT管理平台的高度来考虑整体安全体系架构,这就是很多单位虽然耗费了大量的资金,但是安全问题却依然没有有效解决的原因。

传统的网络安全从时间来看,网络安全解决方案往往只考虑事前防范,缺乏必要的事后追踪及审计能力,时间层面上并没有端到端考虑。空间层面并没有端到端考虑。从网路层面来看,往往侧重于业务层的安全,对网络层和用户层的安全缺乏必要关注。

很多用户购买了大量的防火墙、入侵监测设备、防病毒软件,目的是通过数据隔离、加密、过滤、管理等技术,加强整个网络的安全性。但这些都是在于防,而对事后跟踪能力考虑很少,在安全事件发生前后,要求网络所能提供的支持也是不同的,其花费的代价与技术实现难度有非常大的差别从空间来看,往往侧重于考虑对来自外网的黑客防御,对于内部的安全控制缺乏必要手段。

任何的安全产品都不能保证自己可以100%的做到安全防范,当安全问题出现的时候我们应该如何处理?这个时候我们就需要一个事后处理方案。

事后跟踪:通过对用户上网端口、时间、访问地的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。

日志记录、地址簿等功能是一个非常良好的追溯手段,在出现问题时可以根据记录迅速查找源头,防止事态进一步扩大;例如在发生未知病毒传播或者是黑客攻击的时候,传统的事前防范常常失效。怎么快速的确认问题,找到问题源,解决问题。这在传统的功能模块很难完成,基于平台的网络安全架构体系通过安全数据分析系统、IP地址安全管理、配合设备的管理功能轻松解决这些问题。

以往的安全体系侧重在外网防范上下工夫,而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异,所以必须针对外网与内网的不同特点制定有效的安全策略。策略分为两大部分,第一部分是外网,通过VPN、加密等保证信息安全,通过网络防火墙、病毒防火墙等防范网络攻击,侧重的是防范。第二部分是内网,通过对用户的识别,IP/MAC绑定等技术保证合法的用户访问合法接入,并做好访问记录,侧重的是监控。

在目前这样一个人员高动流动的时代,大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台,而实际上不同的人员其访问的范围应该是有所不同。比如普通员工只能谈问本部门的办工服务器,而领导则可以访问某些重要服务器。如果不对人员访问权限进行合理的控制,则必然对重要信息产生极大威胁。原有的在应用层进行用户鉴权与访问控制的方案由于用户已合法接入网络,可以监听到相关信息,实施攻击,所以效果往往不尽如人意。也正是因为这个原因,今天的安全已是一个涵盖网络级、应用级的在内的完整概念。从网络级就对用户进行访问控制,使非法用户接入网络就成为聋子、瞎子,将大大增加非法用户进一步实施盗取与攻击的难度,从而增强安全防护体系的效能。

传统的网络安全比较容易疏忽的一点在传输的加密上。网络管理多以SNMP的方式进行取数和管理,这种管理存在安全隐患越来越受到管理人员的重视。新的IT管理平台在SNMP V3、HTTPS等新的传输加密技术上的使用成为必不可少的功能。 
 

基于平台的网络安全架构体系

从完整的安全体系架构的角度来看,安全的威胁包括基础网络资源本身以及承载的数据两大方面,而对安全的保障也应该是一个从发送端到接收端的完整的端到端的安全防护模型:这就包括了:数据传送保证机密性、完整性及正确性,网络资源防止路由欺骗、地址盗用,对于带宽和端口的占用可以有效的管理与控制,均是构成一个完整安全体系不可缺少的组成部分。这些你会发现都是基于网络整体架构的安全。

基于平台的网络安全架构体系并表现为传统的某个安全模块,而是在网络综合管理平台总无处不在。在网络层:保障网络路由、网络地址、网络传输加密等基础网络的安全。用户接入层:确保合法的用户接入,访问合法的网络范围,并保障用户信息的隔离等用户接入网络的安全。业务层:保证用户访问内容的合法性与安全性。

随着网络上应用的进一步增多,网络已经深入人们的生活,入侵与反入侵、盗用与反盗用的斗争也必将升级。而网络的安全防护作为一个系统工程,其范围与深度早已超出了我们原来的预料,并还将进一步发展。只有在整体平台角度从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢,疏而不漏”。