近幾年���,隨著網絡安全事件的頻頻發(fā)生,人們對外部入侵和INTERNET的安全日益重視����,但來自內部網絡的攻擊卻有愈演愈烈之勢,內網安全成為企業(yè)管理的隱患���。信息資料被非法流露��、拷貝�、篡改��,往往給企業(yè)��、政府或軍隊部門造成重大損失����。使內部網絡始終處于安全���、可靠、保密的環(huán)境下運行���,幫助企業(yè)各類業(yè)務統(tǒng)一優(yōu)化����、規(guī)范管理�,保障各類業(yè)務正常安全運行,這就是內網安全管理產品能夠帶給我們的價值���。
一���、 內網面臨的主要安全威脅
國內信息安全領導企業(yè)啟明星辰認為,內網主要面臨的安全威脅有如下幾條:
單位資產����,員工私產——資產管理失控:網絡中終端用戶隨意增減調換,每個終端硬件配備(CPU����、硬盤���、內存等)肆意組裝拆卸、操作系統(tǒng)隨意更換�、各類應用軟件胡亂安裝卸載��,各種外設(軟驅�����、光驅�、U盤、打印機�����、Modem等)無節(jié)制使用����。
網絡無限,自由無限——網絡資源濫用:IP地址濫用���,流量濫用��,甚至工作時間聊天�、游戲、賭博����、瘋狂下載、登陸色情反動網站等行為影響工作效率���,影響網絡正常使用�����。
蠕蟲泛濫��,業(yè)務癱瘓——病毒蠕蟲入侵:由于補丁不及時�����、網絡濫用����、非法接入等因素導致網絡內病毒蠕蟲泛濫�、網絡阻塞、數據損壞丟失��,而且無法找到災難的源頭以迅速采取隔離等處理措施,從而為正常業(yè)務帶來災難性的持續(xù)的影響�����。
門戶大開����,長驅直入——外部非法接入:移動設備(筆記本電腦等)和新增設備未經過安全檢查和處理違規(guī)接入或者入侵內部網絡,帶來病毒傳播�����、黑客入侵等不安全因素����。
外賊好治��,家賊難防——內部非法外聯:內部網絡用戶通過調制解調器�、雙網卡、無線網卡等設備進行在線違規(guī)撥號上網���、違規(guī)離線上網等�����,或違反規(guī)定將專網專用計算機帶出網絡進入到其他網絡�。
網絡無界,一損俱損——重要信息泄密:因系統(tǒng)漏洞�、病毒入侵、非法接入����、非法外聯、網絡濫用����、外設濫用等各種原因與管理不善導致組織內部重要信息泄露或毀滅,造成不可彌補的重大損失����。
千里之堤,毀于蟻穴——補丁管理混亂:終端用戶不了解系統(tǒng)補丁狀態(tài)�,不及時打補丁,也沒有辦法統(tǒng)一進行補丁的下載����、分析、測試和分發(fā)����,從而為蠕蟲與黑客入侵保留了通道����。
根據啟明星辰多年的經驗��,以下一些內網安全問題容易被用戶忽略�,主要是:
• 如何進行補丁自動分發(fā)部署和補丁控制(微軟公司SUS/SMS存在功能不足);
• 如何進行外來筆記本電腦隨意接入控制����;
• 如何防范網絡物理隔離泄漏;
• 如何對未安裝防病毒軟件的終端進行統(tǒng)計�;
• 如何對感染蠕蟲病毒的計算機快速定位,并強制其斷開網絡連接;
• 如何有效進行網絡IP設備資源管理����;
• 如何對終端的安全策略進行統(tǒng)一配置管理;
• 如何審計終端的各種違規(guī)行為����。
二、內網安全管理應該實現哪些功能���?
內網安全管理產品應該具備終端基本管理�����、IT資產管理�、終端桌面管理���、終端安全管理、網絡主機運維��、事件報表及報警處置�、審計��、補丁管理等功能����。
以某商業(yè)銀行部署啟明星辰天玥內網安全風險管理與審計系統(tǒng)為例���,該行是1992年經人民銀行批準試營運�,下轄數十個支行,共有營業(yè)網點上千個���。該網絡較為復雜�,需要部署省�、市兩級內網安全管理系統(tǒng)���,對終端進行統(tǒng)一監(jiān)控和管理。系統(tǒng)需要在內網部署一臺內網安全管理服務器�����,由于系統(tǒng)管理采用B/S構架��,管理員可在網絡的任何終端通過登陸內網管理服務器的管理頁面進行管理和各種信息查詢;所有的網絡終端需要安裝客戶端程序以對其進行監(jiān)控和管理����;系統(tǒng)同時需要在外網部署一臺補丁下載服務器(部署于外網��,和互聯網相連)��,用來更新補丁信息(此服務器也可用來下載病毒庫升級文件)���。
天珣內網安全風險管理與審計系統(tǒng)可以實現的功能主要有:
• 客戶端分組管理功能:可按客戶端各種軟���、硬件特征、IP范圍���、注冊信息等進行進行分組管理。
• 策略管理功能:可根據時間段和時間點定制策略使用或禁止使用的觸發(fā)條件�����,按照條件搜索的設備進行策略分組分發(fā)管理����。
• 日志功能:記錄系統(tǒng)登陸�����、操作及客戶端違規(guī)日志�,可進行模糊查詢����,并支持按管理員自定義字段進行報表導出�。
• 全網統(tǒng)一升級:管理中心升級后,全網客戶端程序既自動升級�����。
• 轉發(fā)代理功能:為在軟件分發(fā)(或補丁分發(fā))的過程,盡量減少消耗網絡資源���,保證客戶端可從其他客戶端下載分發(fā)軟件。
• IP漂移功能:管理中心IP地址的可無縫切換���。
• 支持雙機熱備:管理中心支持雙機高可用方案,配合雙機軟件可實現管理中心的雙機熱備����。
• 終端代理掃描功能:各個VLAN中的注冊客戶端可觸發(fā)掃描功能發(fā)現網絡中的設備信息����,并上報到服務器��,減小了網絡復雜性帶來的部署難度��,并可發(fā)現安裝個人防火墻的非法接入設備�。
• 多級部署:管理中心可多級部署�,由上級管理中心統(tǒng)一配置管理策略�����,由下級管理中心將違規(guī)報警信息的級聯上報�。
對于金融���、政府等重要行業(yè)來說,信息安全保障系統(tǒng)建設����,不僅需要嚴格的“制度防內”包括建立嚴密的計算機管理規(guī)章制度����、運行規(guī)程����,形成內部各層人員�����、各職能部門�、各應用系統(tǒng)的相互制約關系����,杜絕內部作案的可能性���,并建立良好的故障處理反應機制,保障信息系統(tǒng)的安全正常運行�����;更需要成熟完善的“技術防內”���,通過技術手段上加強安全措施,防止內部不合規(guī)行為����,防止內網的信息泄密�,使正常業(yè)務與應用不受影響��?����!皟葢n”勝于“外患”,企業(yè)不僅需要鑄造如同長城一般的邊關防御體系�����,同樣需要著重管理����,打造安全和諧的內部環(huán)境。
