首页 > 信息安全 > 正文

浅析内网安全认识上的误区

2012-08-06 11:28:01  来源:互联网

摘要:谈到网络安全,大部分人的思维还停留在病毒破坏和黑客攻击上,习惯于倾向外部入侵的防御,强化边界安全设备的部署和优化等,往往会忽略来自网络内部的安全隐患......
关键词: 内网安全

    一、内网安全问题分析


    在网络安全领域中,始终存在一些认识上的误区,而这些误区也与层出不穷的安全事件有着直接关联。


    (一)安全观念上的误区


    1.认为网络安全就是防黑客和防病毒


    谈到网络安全,大部分人的思维还停留在病毒破坏和黑客攻击上,习惯于倾向外部入侵的防御,强化边界安全设备的部署和优化等,往往会忽略来自网络内部的安全隐患,其实内网安全事件所形成危害更大、所造成的损失更严重。美国CSI/FBI在《计算机犯罪与安全调查报告》中指出“因内网安全漏洞造成的损失占所有计算机安全事故的一半以上”,从某种意义上来说内网安全比外网安全更加重要。


    内网就是内联网(校园网、企业内部网、单位办公网、局域网都属于此类),它通常建立在一个组织的内部并为其成员提供信息的共享和交流等服务。内网所提供的是一个相对封闭的网络环境,它只为内部专有,对于外来人员进入网络有着严格的授权,但在组织内部是分层次开放的,内部有使用权限的人员访问网络资源可以不加限制,内网安全威胁正是利用了内网本身存在的安全弱点。


    一直以来,常规的安全防御理念往往基于外网安全理论,局限于网关级别、网络边界等方面的防御,重要的安全设施集中于网络入口处,在防火墙、漏洞扫描、防病毒、入侵检测等防御系统的严密监视下,来自网络外部的安全威胁大大减小。然而,这仅仅解决了信息安全的一个方面,对于内部用户攻击和威胁事件则显得无能为力,一个能进入办公室打开电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。近期最典型的例子莫过于2010年维基解密在互联网上公布了391832份美军伊拉克机密文件,创造了历史上最大规模的泄密事件,据调查,“维基解密”风波的各类机密文件均源自美军内联网。来自网络内部的安全威胁突显,而内网管理过程中的疏漏更是增加了安全问题的严重程度。


    2.认为终端管理不重要


    根据2010年《内网安全应用趋势调查报告》显示,有45%的用户未使用终端管理软件,而在使用终端管理软件的行业用户中,基于安全总体方案去采购终端管理产品的仅占30%,而另外70%的用户多是为了符合上级要求或是因为安全事件触发,这一调查结果显示行业用户对终端管理产品的重视程度还相当不够。


    终端安全是内网安全的重中之重,它构成了内网90%以上的组成。IDC的安全统计数据显示“来自内部终端的安全威胁占整个安全威胁的70%以上”;中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出“终端隐患已成为最大的安全威胁之一”。


    通常内网和外网之间是有各种安全设备严密保护的,甚至是与外网物理隔绝的。但如果内网终端非法外联至外网环境(通过无线等方式),就可以使内网与外网间开出新的连接通道,外部攻击就能够绕过边界防护屏障,顺利侵入内部网络并发起攻击,致使内部网络瘫痪、重要服务器宕机以及破坏和窃取内部的重要数据,造成严重的安全事件。另外,内部人员在计算机上滥装软件,极易引入各种潜在的安全威胁(病毒、木马等),降低系统的安全系数,而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击,或是内部人员安全意识淡薄,不安装指定的防毒软件,又或者桌面终端用户使用各种存储介质将病毒、蠕虫带人内部网络之中等等,这些行为都对内网构成了重大的安全威胁。终端是内网安全事件的产生源、攻击的发起点,有效的终端管理是内网安全的重要保障。


    3.认为终端管理效果不明显


    《内网安全应用趋势调查报告》在对终端管理和准入控制等其他功能之间的关系调查中,27%的行业用户认为各功能相互独立,没有什么关系,23%的行业用户认为准入控制使终端管理变的更复杂;表示终端产品满足现有需求的仅占21%。这一调查结果显示终端管理产品使用效果并不尽如人意,多数用户认为内网终端管理的效果并不明显。


    事实上,要实现终端安全管理必先保证终端管理软件的部署率,即使终端管理软件的功能再强,如果不能部署在客户端上,也丝毫不能发挥作用。部署率是确保终端管理功能发挥作用的前提,但是想让最终用户自行安装客户端软件,显然难度非常大,而如果不能很好地解决这个问题,终端管理也就成了空谈,导致内网终端管理产品的效果不明显,因此内网终端管理也没有引起管理者足够的重视。


    使用准入控制技术就能很好地解决客户端部署的问题,而且必须首先考虑准入控制。准入控制是在终端访问网络的必经之处设置检查点,检查发起网络访问的终端是否安装了客户端软件,能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。可以说,准人控制是终端管理的确定性手段,只有打好了这个基础,终端管理产品才能保证部署率,才能消除终端管理的盲点,才能真正为单位的内网合规管理提供可靠的技术支撑。[page]    (二)管理上的误区


    1.认为安全管理就是购买技术和设备


    多年来,人们对保障信息安全的手段偏重于依靠技术,以为花钱买来先进的技术和设备,“即插即用”然后就可以给我们带来安全。认为内网安全可以靠技术产品解决问题,存在一劳永逸的解决方案,已经成为急待扭转的误区。


    由于信息安全事件频发,国家对信息安全越来越重视,促使终端安全、桌面管理、数据加密、上网行为管理、审计、移动存储安全、检查取证、网络接入等各式产品与解决方案层出不穷,信息安全项目投资力度逐年加大,安全技术、产品、市场在迅猛发展。2009年中国企业级网络安全产品市场规模超70亿,在2010年突破100亿元的规模,其中增长最快的是内网安全产品,内网安全厂商从2002年不到5家发展到现在的400多家,预计到2012年,内网安全的市场规模很可能达到53亿元。


    内网安全的技术手段,从早期的加密技术、数据备份、防病毒、防火墙到近年来网络环境下的安全审计、入侵检测、身份认证等等。用户也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但是,行业用户却切身感觉到越来越没有安全感,各类安全事件急剧攀升。《2010年全国信息网络安全状况调查》结果显示,各类网络安全事件,通过安全产品发现的仅占27.7%;导致发生网络安全事件的原因有70%以上是因为内部安全管理存在漏洞,这与前面所提到的巨大投入形成强烈反差。


    严峻的现实告诉我们,仅仅依靠技术和产品保障信息安全的愿望往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的,安全是买不来的。仅仅从工具和操作层面去解决信息安全问题是当前最大的问题之一。


    2.认为管理就是建立制度


    有一个被广泛关注的案例:曾经负责为移动公司安装设备的一名工程师,离职数年后仍然可以通过网络访问移动公司充值中心,毫无技术含量的盗取了价值380万元的充值卡密码,使1.2亿元巨资的网络安全投入形同虚设。移动公司这样一个拥有最先进的安全技术措施的企业,但就是因为管理的问题而变得不堪一击。此案暴露了电信运营商在管理上的多重漏洞:对设备及服务提供商的管理、对密码的管理、对过期账号的处理、日常检查机制等方面都存在缺陷。


    信息安全管理不仅仅需要建立制度,更关键的是制定出符合内网要求的安全管理方案,并在此基础上根据时间的推移,结合不同时期的要求和形势变化作出动态的更改,并且持续的进行评估和调整,以适应不断变化的网络应用环境,从而可以不断加强网络安全。


    二、内网安全管理对策


    (一)构建完整的内网安全管理体系


    实际工作中,不论哪一个内网安全问题,都是可以归类到标准的安全产品或解决方案中去的,不同的是某个安全问题只需要一个产品和解决方案,而另一个问题可能需要多个产品或解决方案的结合。围绕内网安全,各主流厂商理念上各有亮点,技术表现上千差万别,但其安全产品都仅仅解决了内网安全的部分问题。要真正构建一个可管理、可信任和可控制的内网安全体系,一定要拥有整体的内网安全理念,应该统一规划,综合各种技术的优势,构建一个完整的信息安全保护体系。


    根据上述对内网安全问题的分析,一个完善的内网安全体系实现的技术措施,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监控审计(安全审计)为辅助的完整管理体系。如果只是不同产品的简单堆砌,就难以建立和实现有效的内网安全体系。


    (二)建立、健全内网安全管理机制


    从技术角度去寻求安全问题解决方案只是解决了问题的一半,更重要的是通过内部健全的内网安全管理制度及措施来保障内网安全。同时还需要建立制度的持续改进机制、建立体系科学完整的安全管理。内网安全建设中,安全制度的良好实施和执行能从很大程度上保证网络的安全,同时为网络的管理和长期监控提供有理可依的指导性理论,这就要求建立覆盖物理、网络、主机系统、数据、应用和管理等层面的各项安全管理制度,例如,建立完善的机房管理制度、完善的网络使用制度、责任到人的设备管理制度、安全教育培训制度、网络安全应急预案和定期网络评估制度等。


    信息安全管理是一个动态的过程,需要建立持续改进的机制,因此还要定期评估有关管理制度文档和重要操作规程,分析信息系统管理制度在内容覆盖上的不全面性和不完善l生,从而做到能够“发现问题解决问题,发现新问题解决新问题”,达成善治的信息安全治理境界。


    三、结束语


    内网安全概念的提出和发展虽然经历了很多年,但是目前尚没有形成统一的认识,其根源很大程度上在于对内网安全认识上仍然存在很大的误区。为了更好地解决内网的安全问题,需要有从观念、管理和技术等方面全面分析安全风险及实施对策,以更为开阔的思路看待内网的安全问题,保障一个稳定、安全的内网环境,这也是是网络安全管理工作的长期任务。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。