企業內網安全分析與策略
壹、背景分析
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵禦來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防範,對於來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對於那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基於網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。壹方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另壹方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由於安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、範圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落後於新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自於內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統後,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在於廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每壹個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪壹部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對於各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認後,用戶即可以對企業內網進行各種訪問操作。在這樣壹個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立壹個安全通道。
另壹個傳統網絡訪問控制問題來自企業網絡內部,尤其對於大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對於企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來***有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、後門攻擊。
對於采取各種傳統安全防護措施的企業內網來說,都沒有萬無壹失的把握;對於從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由於這些移動用戶處於專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處於不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件壹直以來在網絡安全領域就沒有壹個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防範系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落後壹步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單壹、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由於個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行於各終端設備上的安全代理,安全代理執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對於符合的外網訪問則放行。壹個全面的網絡準入檢測系統。
4.終端設備安全完整性保證
主機完整性強制是確保企業網絡安全的關鍵組件。主機完整性可確保連接到企業網的客戶端正運行著所需的應用程序和數據文件。信息安全業界已經開發出了多種基於主機的安全產品,以確保企業網絡和信息的安全,阻止利用網絡連接技術、應用程序和操作系統的弱點和漏洞所發起的攻擊。並已充分采用了在個人防火墻、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術進步來有效地保護企業設備。然而,只有在充分保證這些安全技術的應用狀態、更新級別和策略完整性之後,才能享受這些安全技術給企業網絡安全帶來的益處。如果企業端點設備不能實施主機完整性,也就不能將該設備看成企業網絡受信設備。
僅供參考,請自借鑒
希望對您有幫助