2011-03-10 14:07:40 来源:赛迪网
随着全球信息化步伐的加快,计算机网络作为信息社会的基础设施已经渗透到社会的各个方面,与此同时,网络安全问题也日益突出。虽然大多数用户都部署了防火墙、IDS、IPS等种种安全设备。但是,Intranet内部的安全问题却依然严峻。
据全球最具权威的IT研究与顾问咨询公司Gartner的一项调查显示,网络安全问题在很多情况下都是由“内部人士”而非外来黑客引起。另据国内某权威机构针对大型运营商高级IT经理进行的调查问卷显示,66%的经理认为终端的随意接入、内部资源滥用和误用、经营数据泄漏,以及病毒是最严重的安全威胁。作为对比,认为黑客入侵是最严重威胁的只有13%。由此可以看出网络内部的不安全因素远比外部的危害更加恐怖。
CCID 网络安全风险分析图
分析这些内部安全威胁没有得到有效控制的根源,我们可以发现下列主要因素:
·没有严格的身份认证体系
·外来终端设备难以判定并加以监视和控制
·对设备的系统无法进行严格的安全检验或检查
·不具备完整的访问授权机制
·安全规范制度得不到落实等
解决之道
(一)严格控制非法接入
办公室规模化的网络接口方便了员工接入网络,同时也方便了外来计算机或终端设备接入网络,管理人员对此类情况很难判定并加以监视和控制,而一些严重的安全问题往往就是由于这些随意、非法接入网络的终端引起,解决此类问题的核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为。只有终端对网络资源的访问是受控的,才能从源头上铲除这样的安全威胁,避免名誉受损及事后处理的高额成本。
(二)双因子实名制身份认证
真实可信的网络身份认证体系一方面能够让心存恶意者在有害行为之前有所顾忌,另一方面也可以让网络管理者在安全事件发生后准确及时的找到肇事者,能够在一定程度上防止安全事件的发生,所以身份认证是建设安全可信网络的前提条件。
管理者必须采用安全度更高的双因子实名认证机制,将“人”和“设备”分开对待,并做一一的绑定,只有对应的“人”使用其对应的“设备”才能完成身份认证。保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
(三)科学、严格的系统安全性检查
由于绝大多数单位员工的计算机水平参差不齐,同时网络管理人员也不可能对每一方面的技术都很精通,因此在日常的安全管理中,就需要有系统能够快捷有效地进行系统漏洞扫描和智能修复。对于管理员来说,只有这两方面的工作做好才能规避潜在的安全风险。
(四)细粒度的用户权限管控
公司员工首先是内网资源的使用者,需要对其赋予相应权限来完成所对应的工作,但同时要保证关键资源的安全性,必须对权限进行适当的控制,同时随着各项业务的开展,访客来往用户单位也十分的频繁,更需要对来宾和第三方代维人员进行安全规划和有效管理。
(五)落实安全管理规范
网络安全规范制度的落实,一直是各单位信息部门头痛的难题。安全规范的实施前期,依靠行政发文通告的方式强制实施下去。但到后期,总是由于这样那样的原因,造成一纸空文被个人和部门束之高阁。
管理者需要以入网强制技术NAC为基础,将之前无序的接入行为加以控制,再结合高效、可持续升级的检查引擎进行安全修复,并监视终端用户在单位内网的操作行为。通过这种严谨的流程化管理及多种高新技术的有效组合,可以有效的帮助单位解决网络安全规范落实的问题。
杭州盈高科技的盈高入网规范管理系统(ASM)从产品的设计到实现都参照国内国际有关标准,多项技术为业内第一,着重从接入控制、身份认证、系统安全检查、用户权限管理和安全规范落实等五个方面进行设计,通过统一的系统平台进行集中的安全管理。
ASM典型部署示意图
对于政府机关、电力、证券、大型企业、金融、电信等网络安全要求极高的行业,ASM系统的作用显得尤其重要,ASM能够帮助用户提高信息网络的安全管理水平,极大地增强网络安全整体防范和预警能力,使信息系统更好地为社会服务。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。