壹.挑戰和威脅
1.員工安全意識薄弱,企業安全政策難以落實,網絡病毒橫行。
病毒、蠕蟲和間諜軟件等網絡安全威脅損害了客戶的利益,並導致大量金錢和生產力損失。與此同時,移動設備的普及進壹步加劇了這壹威脅。移動用戶可以從家裏或公共熱點連接到互聯網或辦公網絡,往往在不經意間容易感染病毒並將其帶入企業環境,從而感染網絡。
據2010中證/美國聯邦調查局安全報告顯示,盡管安全技術已經發展多年,安全技術的實施花費數百萬美元,但病毒、蠕蟲和其他形式的惡意軟件仍然是機構面臨的主要問題。組織每年遇到的大量安全事故造成系統中斷、收入損失、數據損壞或破壞、生產力降低等問題,給組織帶來巨大的經濟影響。
為了解決這些問題,很多企業制定了企業終端安全策略,規定終端必須安裝殺毒軟件,及時更新病毒庫;終端必須及時安裝系統安全補丁;終端必須設置強密碼等。然而,由於員工安全意識薄弱,企業的安全策略難以落實和無效,網絡安全問題依然嚴重。
2.未經授權的用戶訪問網絡,重要信息被泄露。
未授權訪問包括以下兩部分:
(1)來自外部的非法用戶,利用企業管理的漏洞,利用PC接入交換機,獲得網絡的訪問權限;然後,在使用合法用戶的密碼以合法身份登錄網站後,他們可以查看機密信息,修改信息內容,破壞應用系統的運行。
(2)來自內部的合法用戶可以隨意訪問網絡中的關鍵資源,獲取關鍵信息用於非法目的。
目前企業使用的局域網是基於以太網的網絡架構。只要插上網絡,就可以自由接入全網。非法訪問和未授權訪問導致企業業務系統的破壞和關鍵信息資產的泄露,已經成為企業需要解決的重要風險。
3.網絡資源使用不合理,工作效率下降,存在違反法律法規的風險。
根據IDC的最新數據報告,平均而言,企事業單位員工每天有超過50%的工作時間在網上聊天、瀏覽娛樂、色情、賭博網站,或處理個人事務;員工從網上下載各種信息,其中62%用於軟件下載,11%用於下載音樂,只有25%用於下載與寫報告和文檔相關的資料。
在中國,法律規定很多網站是非法的,比如色情內容、反政府、迷信、犯罪等。使用寬帶上網後,企事業單位的內網在某種程度上成為了壹個“公共* * *”的上網場所,很多違法的行為都可能發生在內網。這些東西很難追溯,給企業帶來法律法規上的風險。
二、防護措施
目前終端數據管理存在的問題有:數據管理難以制度化,數據丟失時有發生;數據分散在不同機器、不同應用中,管理分散,安全性沒有保障;難以實現數據庫數據的高效在線備份;很難管理存儲介質和保存歷史數據。
為此,我們從以下幾個方面采取措施實現終端安全。
1.數據備份
隨著計算機數據系統的發展,數據變得越來越重要,如何有效地管理數據系統日益成為保證系統正常運行的關鍵環節。但數據系統中數據格式不壹,物理位置分布廣,應用分散,數據量大,難以對數據進行有效管理,給以後的工作帶來很多隱患。因此,建立制度化的數據備份系統意義重大。
數據備份是指在數據系統中選擇壹臺機器作為數據備份的管理服務器,在其他機器上安裝客戶端軟件,從而將整個數據系統的數據自動備份到與備份服務器相連的存儲設備上,並在備份服務器上為每個備份客戶端建立備份數據對應的索引表,利用索引表自動驅動存儲介質,實現數據的自動恢復。在系統崩潰、非法操作等突發事件發生時,可以使用數據備份系統進行恢復。從可靠性的角度來看,備份數量最好等於或大於2。
1)數據備份的主要內容
(1)跨平臺數據備份管理:支持各種操作系統和數據庫系統;
(2)備份的安全性和可靠性:雙重備份保護系統,確保備份數據萬無壹失;
(3)自動調度/智能報警:通過郵件/廣播/日誌產生報警;
(4)數據災難預防和恢復:提供指定目錄/單個文件的數據恢復。
2)數據備份方案
每個計算環境的規模、架構、客戶端平臺和支持的應用軟件都不壹樣,其存儲管理需求也會不壹樣,所以要選擇最適合自己環境的解決方案。雖然目前還沒有統壹的標準,但至少應該具備以下功能:集成的客戶端代理支持、廣泛的存儲設備支持、先進的介質管理、先進的調度、數據完整性保障機制、數據庫保護。比如華為的VIS數據容災解決方案,HDP的數據連續性保護解決方案,HDS的TrueCopy解決方案,IBM的SVC解決方案等。
2.全面可靠的防病毒系統
計算機病毒的防治要從反病毒、病毒檢測和解毒三個方面來進行,系統對計算機病毒的實際防治能力和效果也要從反病毒、病毒檢測和解毒能力三個方面來判斷。
由於企業數據系統的環境非常復雜,它有不同的系統和應用。因此,對於整個企業數據系統病毒防範,要兼顧各個環節,否則某些環節出現問題,很可能造成整體防範的失敗。所以對於殺毒軟件來說,要做到全面殺毒,就要在技術上做到無所不用其極。
因為數據系統病毒和單機病毒本質上是壹樣的,都是人為編制的計算機程序,所以殺毒原理是壹樣的。但由於數據系統的特殊復雜性,對數據系統的防病毒要求不僅僅是防病毒、查毒、殺毒,還要與系統無縫鏈接。因為這項技術是影響軟件運行效率和全面查殺病毒的關鍵。但是,要實現無縫鏈接,必須全面掌握系統的底層協議和接口規範。
隨著當代病毒技術的發展,病毒已經能夠緊密嵌入操作系統的深層,甚至是內核。這種根深蒂固的嵌入給徹底查殺病毒造成了很大的難度。如果不能保證在不破壞操作系統本身的情況下查殺病毒,那麽使用這款殺毒軟件可能會產生適得其反的嚴重後果。無縫鏈接技術可以保證反病毒模塊從底層內核與各種操作系統、數據系統、硬件和應用環境緊密配合,保證病毒入侵時反病毒操作不會傷及操作系統內核,同時保證對入侵病毒的防範和查殺。
VxD是微軟專門為Windows制定的設備驅動程序接口規範。總之,VxD程序有點類似於DOS中的設備驅動程序,專門用來管理系統加載的各種設備。VxD不僅適用於硬件設備,而且比其他類型的應用具有更高的優先級,更接近系統底層資源。因此,在Windows操作系統下,反病毒技術需要使用VxD機制來完全控制系統資源,並在病毒入侵時及時報警。而且VxD技術和TSR技術有很大的不同,它占用的內存非常少,對系統性能的影響也很小。
因為病毒是隱藏的,會不自覺的潛入妳的機器。如果連這種隱蔽性都無法抵禦,那麽殺毒軟件就無從談起殺毒功能。實時殺毒軟件作為壹項任務,對進出計算機系統的數據進行監控,可以保證系統不被病毒入侵。同時,用戶的其他應用可以像其他任務壹樣在系統中並行運行,與實時反病毒任務並不沖突。所以在Windows環境下,如果不能實現實時殺毒,也會為病毒入侵埋下隱患。針對這壹特點,需要采用實時反病毒技術,確保在計算機系統的整個工作過程中,能夠隨時防止病毒從外部入侵計算機系統,從而全面提高計算機系統的整體防護水平。
目前,大多數存儲在光盤上的文件和在數據系統上傳輸的文件都是以壓縮形式存儲的,情況非常復雜。目前通用的壓縮格式有很多,有些壓縮工具會將壓縮文件打包成壹個自解壓的可執行文件,擴展名為”。exe”,可以不使用壓縮工具直接運行。對於這些壓縮文件的復雜情況,如果殺毒軟件不能準確判斷或者單方面判斷,必然會給查殺病毒留下“死角”,給病毒防控造成隱患。通過全面掌握通用壓縮算法和軟件廠商定義的壓縮算法,可以深入分析壓縮文件的數據內容,而不是簡單的檢查擴展文件名,實現對所有壓縮文件查殺病毒的功能。
對於數據系統病毒的防控,殺毒軟件要能做到全方位防護,做到查殺病毒不外泄。對於數據系統病毒,除了最常見的病毒感染的軟盤、光盤等介質外,還要註意企業數據系統更隱蔽的傳播渠道。
目前,公司之間和人與人之間的電子通信應用更加廣泛。然而,隨著這種數據交換的增加,越來越多的病毒隱藏在電子郵件附件和數據庫文件中。
傳播和傳播。所以殺毒軟件應該具備有效控制這種病毒傳播渠道的功能。
隨著數據系統的發展,下載文件時感染病毒的概率呈指數級增長。對於這種傳播更廣的病毒源,在下載文件中的病毒感染機器之前,
自動檢測和清除壓縮文件也是有效的。
總之,要綜合采用數字免疫系統、病毒源監控技術、主動內核技術、“分布式處理”技術、安全網絡管理技術等措施,提高系統的反病毒能力。
3.防火墻的安全措施和數據加密
所謂防火墻,就是把互聯網和內網隔開的壹道屏障。有兩種類型的防火墻,即標準防火墻和雙M門。隨著防火墻技術的進步,在兩個N網關的基礎上演化出了兩種防火墻配置,壹種是隱藏主機網關,另壹種是隱藏智能網關(隱藏子網)。隱藏主機網關是目前常見的防火墻配置。顧名思義,這種配置壹方面隱藏路由器,另壹方面在互聯N和內部N之間安裝堡壘主機。堡壘主機安裝在內網上。通過路由器的配置,堡壘主機成為內部網和互聯網之間通信的唯壹系統。技術最復雜、安全級別最高的防火墻是隱藏式智能網關,它將H-Pass隱藏在公共系統後面,保護其免受直接攻擊。隱蔽的智能網關提供了幾乎透明的訪問互聯網服務,同時防止未經授權的外部訪問者非法訪問私人數據系統。壹般來說,這種防火墻最不容易被破壞。
與防火墻配合使用的安全技術是數據加密技術,是提高信息系統和數據的安全性和保密性,防止秘密數據被外界破解的主要技術手段之壹。隨著信息技術的發展,人們越來越重視數據系統的安全性和信息的保密性。目前,各國除了在法律和管理上加強數據安全保護外,在技術上分別在軟件和硬件上采取措施,推動了數據加密技術和物理防範技術的不斷發展。根據功能的不同,數據加密技術主要分為四種:數據傳輸、數據存儲、數據完整性識別和密鑰管理技術。
4.智能卡實現
與數據加密技術密切相關的另壹項技術是智能卡技術。所謂智能卡,就是壹種密鑰的媒介,壹般像信用卡壹樣,由授權用戶持有,並由用戶給予密碼或口令。該密碼與內部數據系統服務器上註冊的密碼壹致。當口令和身份特征壹起使用時,智能卡的安全性能相當有效。這些針對數據系統安全和數據保護的防範措施是有壹定限度的,越安全越可靠。因此,在看壹個內網是否安全時,不僅要考察其手段,更重要的是對數據系統采取的各種措施進行綜合評估,不僅包括物理上的防範措施,還包括人員素質等其他“軟”因素,從而得出是否安全的結論。
此外,其他具體的安全措施還包括數字認證、嚴格有效的管理制度、高度的安全意識和多級網絡管理。此外,考慮到數據系統的業務連續性,我們還需要設計和部署必要的BCP計劃。?
第三,解決方案
將終端安全狀態信息與新的網絡訪問控制技術相結合是解決終端安全問題的有效途徑。
(1)部署和實施網絡訪問控制。通過訪問控制設備,可以有效防止非法終端訪問網絡業務資源,有效防止信息泄露。
(2)通過訪問控制設備實現最小授權的訪問控制,使不同身份和角色的員工只能訪問特定授權的業務系統,保護財務系統等企業關鍵業務資源。
(3)端點安全狀態與網絡訪問控制技術相結合,防止不安全終端和不符合企業安全策略的終端訪問網絡,通過技術手段強制執行企業安全策略,減少網絡安全事件,增強對企業安全體系的遵從性。
加強事後審核,記錄和控制終端接入網絡,控制M-network應用程序的使用,督促員工專心工作,降低企業在互聯網接入法律法規方面的風險,提供責任追溯的手段。
1.集中式網絡方案
終端安全管理(TSM)系統支持集中式群組。
網絡,將所有控制服務器集合在壹起,為網絡中的終端提供訪問控制和安全管理功能。集中式組網方案如圖9-3所示。
2.如果滿足以下條件,可能需要采用分布式組網方案,如圖9-4所示。?
(1)終端相對集中在幾個區域,區域之間帶寬相對較小。因為代理和服務器之間有壹定的流量,如果采用集中部署,會占用區域之間的帶寬,影響服務的提供。
(2)終端規模相當大,可以考慮采用分布式組網,避免大量終端訪問TSM服務器,占用大量網絡帶寬。
在分布式部署中,TSM安全代理選擇最近的控制服務器來獲得身份認證和訪問控制等各種服務。
3.分層網絡方案
如果網絡規模過大,可以選擇分層組網方案,如圖9-5所示。
在該部署方案中,每個TSM節點是壹個獨立的管理單元,承擔獨立的用戶管理、訪問控制和安全策略管理服務。管理中心負責制定整體安全策略,分發到所有TSM管理節點,並監控TSM管理節點的實施。
TSM系統為關鍵用戶認證數據庫提供鏡像備份機制。當主數據庫出現故障時,鏡像數據庫提供備份認證源,可以保證基本服務的提供,防止單個數據源故障導致的訪問控制網絡故障。
當TSM系統出現嚴重故障,或者TSM系統所在網絡出現嚴重故障時,用戶可以根據業務情況選擇:業務優先級/安全優先級。
如果選擇業務優先級,門禁設備(802.1X交換機除外)上設計的逃生通道可以檢測TSM系統的嚴重故障,啟用逃生通道,防止重要業務中斷。
TSM終端安全管理系統提供服務器狀態監控工具,可以監控服務器的運行狀態,如數據庫鏈路故障、SACG鏈路故障、CPU/內存異常等。當服務器狀態異常時,可以通過郵件、短信等方式通知管理員及時處理。
第四,終端虛擬化技術
1.傳統終端數據安全保護技術
1)DLP
(1)工作模式:DLP (Data Loss Prevention)技術專註於信息泄露的防護,是壹款通過深入的內容分析,能夠識別、檢測和保護動態數據、靜態數據和使用中數據的產品。妳可以檢測和保護PC終端、網絡、郵件服務器等系統上的信息內容,妳可以找到妳的敏感數據的存儲位置,然後做壹些處理,但是有壹些漏洞。
(2)使用場景和限制:雖然DLP方案在靈活性、安全性和可管理性方面滿足了數據安全的要求,但是DLP方案的成功部署還需要壹個前提,即其數據內容匹配算法的誤報率要足夠低。但是,由於數據內容的表達方式不同,在定義數據內容匹配規則時,很難平衡漏檢率和誤判率。無論是哪個廠商的DLP產品,在實際測試過程中,虛警率普遍較高,DLP方案的防護效果體驗不佳。
2)數字版權管理
(1)工作模式:DRM(數字版權管理)是加密。
和元數據,用於解釋哪些用戶被允許訪問數據,以及他們是否可以對數據操作執行某些操作。DRM可以決定如何訪問和使用數據,相當於壹個隨身帶著數據的保鏢。權限包括閱讀、更改、剪切/粘貼、提交電子郵件、復制、移動、保存到便攜式存儲設備和打印。DRM雖然很強大,但是很難大規模實現。
(2)使用場景和限制:DRM極度依賴人工操作,難以大規模實現。用戶必須知道哪些權限適用於哪些內容的用戶。這種復雜性經常使員工忽略DRM,導致無法提高安全性。就像加密壹樣,企業在申請權限時必須依靠人的判斷,因為DRM設備不具備理解內容的功能。成功的DRM部署通常僅限於擁有訓練有素的用戶的小型工作組。由於這種復雜性,大型企業通常不適合部署DRM。但就像加密壹樣,DLP可以用來專註於DRM,減少壹些阻礙廣泛部署的手動過程。
3)完全加密
(1)工作模式:所謂全磁盤加密技術,壹般采用磁盤級動態加解密技術,通過攔截操作系統或應用軟件的讀/寫請求,實現對全磁盤數據的實時加解密,從而保護磁盤中所有文件的存儲和使用安全,避免因便攜終端或移動設備丟失、存儲設備報廢維護等造成的數據泄露風險。
(2)使用場景和局限性:與防水墻技術類似,總加密技術仍然無法區別對待不同涉密系統的數據,涉密文件和普通文件都是加密存儲,無法支持正常的內外文件交換。此外,整體加密方案雖然可以從數據源上保證數據內容的安全性,但無法保證自身的安全性和可靠性。壹旦軟件系統被破壞,所有數據將無法正常訪問,這對業務數據的可用性是壹個潛在的威脅。
上述傳統安全技術是目前銀行業部署的基本安全體系,這些安全體系在某壹點上可以起到保護作用。然而,盡管如此,數據泄露事件仍屢禁不止,可見目前銀行網絡整體安全最嚴重的威脅來自終端安全。而且部署了這麽多系統解決方案,用戶體驗並不好,也不好普及,沒有達到預期效果。為了徹底改變企業內網安全現狀,有必要為涉密系統部署更有效的數據泄露防範方案。
2.數據保護的創新——終端虛擬化技術
為了在保證數據安全的前提下提高用戶的易用性和部署速度,壹些企業已經開始使用終端虛擬化技術來保護數據安全。其中,桌面/應用虛擬化技術和基於安全沙箱技術的虛擬安全桌面是兩種常見的方式。
1)桌面/應用虛擬化
桌面/應用虛擬化技術是壹種基於服務器的計算模型,它在數據中心托管和管理所有桌面虛擬機。通過購買大量服務器,集中搭建CPU、內存等硬件資源,構建終端服務層,讓桌面和應用以鏡像的形式發布給終端用戶。作為雲計算的壹種方式,由於所有的計算都放在服務器上,對終端設備的要求會大大降低,不需要傳統的臺式電腦和筆記本電腦。用戶可以通過客戶端或遠程訪問獲得類似於傳統PC的用戶體驗,如圖9-6所示。
然而,基於集中計算模式的桌面虛擬化技術雖然可以大大簡化終端的管理和維護,解決終端的數據安全問題,但也帶來了服務器部署成本過高、管理成本增加等新問題。
(1)所有的客戶端程序都運行在終端服務器上,需要配置壹個高性能的終端服務器集群來平衡服務器的負載壓力。
(2)由於網絡延遲、服務器性能、並發擁塞等客觀因素,在桌面虛擬化方案中,終端用戶的體驗遠低於物理計算機的本地應用。
(3)集中計算容易導致終端服務器單點故障,需要通過終端服務器的冗余備份來加強系統的穩定性。
(4)桌面虛擬化方案中部署的大量終端服務器與集中式數據存儲之間的備份、恢復、遷移、維護和隔離。
(5)由於數據的集中化,還需要考慮管理員的權限管理。畢竟讓網絡管理員接觸銀行部門的業務數據是違背數據安全要求的。
(6)桌面集中化方案提高了網絡的穩定性要求,無法滿足線下辦公的需求。
所以這種方案在大規模部署時會遇到成本高、體驗差的問題,如圖。
如9-7所示。
2)防泄密安全桌面
為了解決桌面/應用虛擬化存在的問題,壹種新的終端虛擬化技術——基於R沙箱的安全桌面已經應用到防泄密領域,如圖9-8所示。
在不改變當前IT架構的情況下,充分利用本地PC的軟硬件資源,通過安全沙箱技術直接在本地虛擬出壹個安全的桌面。這個桌面可以理解為原來默認桌面的備份和鏡像,安全桌面環境下運行的應用、數據和網絡權限與默認桌面完全隔離,安全沙箱可以對不同桌面進行細粒度的安全控制。比如安全桌面下只能訪問敏感的業務系統,安全桌面裏的數據不能發出去。
這樣,通過安全桌面和安全控制網關的配合,可以保證用戶只有在安全桌面經過認證後才能訪問核心敏感系統,實現了終端的多業務風險隔離,保證了終端的安全性。安全桌面虛擬化方案為用戶提供多個虛擬安全桌面。通過不同的虛擬安全桌面將文件資源、網絡資源和系統資源相互隔離,用戶可以通過不同的桌面訪問不同的業務資源。
比如為用戶訪問涉密業務系統提供壹個具有數據防泄露保護的防泄露安全桌面,盡可能減少對用戶使用習慣的影響,解決物理隔離方案的可用性問題,如圖9-9所示。
基於沙盒的安全桌面方案的價值在於,在防止終端敏感業務數據泄露的前提下,不改變用戶的使用習慣,增強易用性,保護用戶的現有投資。之前,防泄密安全桌面已經廣泛應用於金融、政府、企業等單位,主要部署在CRM、ERP、設計圖紙等系統前端,防止內部銷售、供應鏈、財務等人員主動泄密。
然而,安全桌面技術也有壹些局限性。比如不適合Java和C語言的生成開發環境,存在壹些兼容性問題。
總之,兩種終端虛擬化技術各有優缺點,適用於不同的業務場景。詳見圖9-10。