内网安全
提起信息安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界等方面的防御,但是实际情况看,安全问题大都是出自网络内部,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失。据权威机构调查三分之二以上的安全威胁来自泄密和内部因素,而非病毒和外来黑客引起。防火墙、入侵检测、隔离装置等网络安全保护对于防止外部入侵有着不可替代的作用,但对于网络内部存在的不安全隐患却显得无可奈何,因此,内部网络安全必须作为整体安全管理的一个重要组成部分来对待。造成内网不安全的因素很多,但归结到底不外乎两个方面:管理和技术。造成内网不安全的管理因素主要是管理策略不完善,技术因素主要由于对一些安全产品的使用和维护没有特别重视。内网的信息安全是一个整体的策略方案,如何从根本上解决内部泄密至关重要。据调查大多数企业内部的重要电子文档均以明文保存、而权限控制还处于粗放状态,拥有文件的人对文件具有全部的使用权限,而且是无期限的,一旦出现问题,无法查找出泄密根源。
目前,内网安全对于各种规模的企业来说都在逐渐引起关注,它势必将为企业提供 大化安全防御能力。同时,为了确保整个企业内部的安全性和业务连续性,安全必须与管理相结合。
内网安全与外网安全相比较,可以说外网安全是以阻断攻击为主,是粗粒度的,而内网安全属于细粒度的安全,以主动加固为主。外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。
细化来讲,内网的安全管理还分为两个方面,一方面是在管理的标准化上,比如平台的标准化、安装软件的标准化、正版软件的强制要求等等,任何一个细节都可能造成管理上的失误导致安全事件发生。另一方面,很多企业的管理安全策略没有强化到系统之中,缺少相应的技术支持,不能由计算机帮助强制执行。管理是否完善,技术力量是否强大,有没有一些很好的产品去支撑和实现这套管理体系,对于内网安全来讲都是必须去重视的。
二:保障内网安全
1,规划安全业务为先
规划内网安全首先应该考虑的是自身的业务,什么样的业务有什么人去用,主要做些什么。然后根据这些业务的需求去规划内网的安全。企业在规划内网安全时,应该主要考虑两个方面,一方面要从业务角度去评判企业自己的那些业务系统分别是做什么的,这些业务系统对企业自身的重要程度如何,需要什么层次的保护。
另一方面就是风险,要尽量弄清楚企业自己的内网可能面临哪些风险,现有条件下对这些风险的承受程度如何。因为风险只能控制在一个可接受的程度却不可能降到零,否则降低过多就会造成在安全上投资太大,降低太少又会风险太高。
企业应该在对于内网安全的投资和可接受的风险之间找一个平衡的位置,才是更好的规划内网安全。除了考虑业务系统重要程度和可接受的风险之外,另外一个很重要的方面就是应急响应。当安全问题出现时如何处理,如何恢复,都是不能忽视的问题。"就像以前有网管中心一样,现在也必须有一个安全中心,去统管整个安全事件,包括安全事件的分析,安全事件的响应、处理,这些都是为了确保业务连续性。
2,保障安全三手齐抓
构建完整的内网安全保证体系应该从人、技术、流程三个方面综合考虑。人的方面就是要弄清楚内网都有谁去使用,他们各自的需求是什么,这些需求和访问分别有什么特点。技术方面,要清楚整个保障体系所必须的技术基础是什么,哪些工作可以通过技术手段帮助管理员完成,这样才可以针对性的采购一些安全产品,去支撑整个安全体系。第三个方面也是 重要的一个方面就是流程,在现有的安全保障体系中,任何一个安全事件或者安全意外的处理流程是什么样,有哪个部门哪个人采取什么样的安全措施,都是应该提前考虑的。
还有一点就是安全的审计,一个保障体系好不好要有一个定期的审计,没有定期审计就很难有所提高,把人、技术和流程结合起来做一个定期的审计也是非常重要的。
另外,保障内网安全出发点应该主要根据风险和ROI的评估,不论企业的自动化程度是否足够高,内网规模是否足够大,保障内网安全采用何种体系关键在于内网上运行的业务,如果企业的关键业务是手工完成,内网安全事件的发生不会对关键业务造成任何影响,这时候就不用刻意去强调内网安全。所以考虑的出发点应该是内网上的信息或者应用对用户的重要性如何,根据重要性再去考虑采用什么样的保护方案,不应该仅仅根据内网的规模去考虑。
3,确保VPN的安全访问
随着网络应用越来越复杂,网络介入方式也变得多种多样,很多移动的用户变得越来越多,频繁进出内网,原来很好的边界安全防护在这种新的模式下就变得不再起作用。VPN(虚拟专用网)的用户访问无疑是内网安全的重大威胁之一,现在很多VPN产品将弱化的桌面置于企业防火墙之外,具有直接访问内网权限的那些VPN用户端点势必会给内网安全带来极大不确定性。那么怎样确保VPN的安全访问呢?
第一,VPN中要采用尽可能强的认证方式。比如,通常在VPN的协商过程中,有两种方式做认证,共享密钥和数字证书,通常我们建议用数字证书,因为共享的密钥一方面管理起来比较麻烦,并且相对来说比较容易被破解,用数字证书相对要安全一些,但是数字证书可能带来成本开销的加大。
第二,在加密的算法上要尽量采用更好的算法,原来我们用的比较多的是3DS加密算法,这种算法效率比较低。相对来说,加密算法AES算法加密更快同时强度更高。
此外,在VPN通讯特别是远程访问中要加强对于端点的控制,设置严格的访问权限和级别,避免不必要的安全隐患和安全事件的发生。另外,针对VPN的攻击,要有一定的处理方法,未雨绸缪,一旦攻击发生要有很好的防范措施。