隨著企業(yè)信息化建設(shè)的不斷發(fā)展����,電子化的信息系統(tǒng)給企業(yè)帶來了諸多便利�����,越來越多的信息通過網(wǎng)絡(luò)進行高效傳遞,與此同時����,新的問題也給IT專家們帶來了全新的挑戰(zhàn),即如何構(gòu)建安全的IT架構(gòu)�,使它們能夠在不斷演變、日益增多的安全風(fēng)險中安然無恙?安全威脅的爆發(fā)頻率越來越高�����、攻擊手段越來越高明�,而且受經(jīng)濟利益驅(qū)動的成分越來越大。
當(dāng)前IT面臨的安全威脅
隨著企業(yè)信息化建設(shè)的不斷發(fā)展���,電子化的信息系統(tǒng)給企業(yè)帶來了諸多便利��,越來越多的信息通過網(wǎng)絡(luò)進行高效傳遞��,與此同時���,新的問題也給IT專家們帶來了全新的挑戰(zhàn),即如何構(gòu)建安全的IT架構(gòu)�,使它們能夠在不斷演變、日益增多的安全風(fēng)險中安然無恙?安全威脅的爆發(fā)頻率越來越高、攻擊手段越來越高明��,而且受經(jīng)濟利益驅(qū)動的成分越來越大�����。同時員工和合作伙伴對連接的需求也提升到一個更高的層次�����,他們需要多點訪問�����,無論在辦公室或者在家都能夠訪問他們所需要的數(shù)據(jù)��,而這無疑又加大了潛在威脅的風(fēng)險�����。對IT專家而言��,快速響應(yīng)這些威脅是一項長期挑戰(zhàn)�,這對于保持企業(yè)的正常運轉(zhuǎn)至關(guān)重要。如果缺乏行之有效的安全策略���,組織的職能將消失殆盡���,這絕非危言聳聽。
那么��,究竟如何才能構(gòu)建真正的安全可靠的IT架構(gòu)?隨著威脅技術(shù)的不斷發(fā)展����,當(dāng)前條件下僅僅利用某一種防御技術(shù)已經(jīng)很難真正抵御威脅,我們需要的是縱深化的����、全面的防御,只有構(gòu)建了綜合的���、多點的防御�,才能使企業(yè)信息安全得到保障��。本文將向您介紹縱深防御中的幾個重要的環(huán)節(jié)����。
通信和團隊協(xié)作安全
現(xiàn)在,典型的企業(yè)工作者都需要進行移動辦公和團隊協(xié)作��。他們具有復(fù)雜的訪問個人、團隊��、企業(yè)和合作伙伴數(shù)據(jù)的訪問需求���。工作者需要在本地和遠程都能夠訪問和共享這些數(shù)據(jù)��,有時是在不安全的場所中���,而且使用類似Internet公共終端這樣的設(shè)備。即時消息��、電子郵件�����、遠程訪問和Internet訪問是關(guān)鍵的業(yè)務(wù)工具����,因此任何服務(wù)中斷都會給生產(chǎn)效率帶來不利影響。但是���,部署一種消息傳遞和協(xié)作基礎(chǔ)結(jié)構(gòu)又會增加安全需求和安全管理的復(fù)雜性���。
有四種因素可以威脅消息傳遞和協(xié)作基礎(chǔ)結(jié)構(gòu)的安全性��,包括:
■惡意軟件 現(xiàn)在很多病毒和蠕蟲可以通過Internet���、電子郵件和即時消息迅速感染全球數(shù)百萬臺計算機系統(tǒng)。類似MyDoom蠕蟲這樣的高調(diào)攻擊(High profile attack)導(dǎo)致的停機和病毒清除可以給企業(yè)增加數(shù)十萬美元的成本�����。事實上�����,根據(jù) Computer Security Institute 在2005 年的調(diào)查�,對于收入不足1000萬美元的企業(yè)�����,平均每名員工的安全支出是643美元��。
■垃圾郵件 垃圾電子郵件消耗網(wǎng)絡(luò)資源���,充斥電子郵件收件箱���,這讓企業(yè)不堪重負(fù)����。僅MSN�、Hotmail每天就要處理將近30億封垃圾郵件。來自IDC的分析人員估計垃圾郵件流量要占到全部電子郵件流量的50%到95%�。垃圾郵件不僅威脅企業(yè)效率,而且還是惡意代碼的常用載體����。因此�����,消息傳遞基礎(chǔ)結(jié)構(gòu)就成為企業(yè)防御惡意軟件的重點���。
■未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問 當(dāng)網(wǎng)絡(luò)向外部用戶開放以進行消息傳遞和協(xié)作時���,適用于保護LAN數(shù)據(jù)的安全過程和策略就會失去效用��。例如��,外部網(wǎng)絡(luò)使用的脆弱的身份驗證可能會危害網(wǎng)絡(luò)接入點的安全,并允許未經(jīng)授權(quán)的訪問���。通過Internet或無線網(wǎng)絡(luò)發(fā)送的敏感數(shù)據(jù)如果沒有適當(dāng)?shù)募用?,可能會泄密���。此外��,因為現(xiàn)在黑客使用更加高級的應(yīng)用程序?qū)庸簦云髽I(yè)必須使用應(yīng)用程序防火墻,以確保流量在進入內(nèi)部網(wǎng)絡(luò)之前得到過濾。
■未經(jīng)授權(quán)的數(shù)據(jù)訪問 企業(yè)越來越擔(dān)心敏感信息通過消息傳遞和協(xié)作架構(gòu)外泄����。根據(jù)Jupiter Research 分析人員的調(diào)查,與其他任何安全問題相比�,在受到病毒感染后���,企業(yè)更加頻繁地報告電子郵件意外轉(zhuǎn)發(fā)和移動設(shè)備丟失�����。
縱深防御體系
縱深防御體系被認(rèn)為是一種最佳安全做法����。這種方法就是在網(wǎng)絡(luò)中的多個點使用多種安全技術(shù),從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可能性���。在消息傳遞和協(xié)作環(huán)境中���,縱深防御體系可以幫助管理員確保惡意代碼或活動被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個檢查點��。這降低了威脅進入內(nèi)部網(wǎng)絡(luò)的可能性���。
多層保護
為建立深入的消息傳遞和協(xié)作防御,企業(yè)可以在基礎(chǔ)結(jié)構(gòu)內(nèi)的四個點保護網(wǎng)絡(luò)流量�����,即網(wǎng)絡(luò)邊緣、服務(wù)器、客戶端以及信息本身�。網(wǎng)絡(luò)邊緣有兩個作用:保護訪問以及保護網(wǎng)絡(luò)免受內(nèi)部和外部攻擊。
保護訪問�。消息傳遞和協(xié)作防御必須防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)�����、應(yīng)用程序和企業(yè)數(shù)據(jù)的情況����。這需要在網(wǎng)關(guān)或非軍事區(qū)(DMZ) 提供防火墻保護�。這層保護可以保護對于內(nèi)部服務(wù)器的訪問免受所有惡意訪問的影響��,包括那些尋求破解和利用消息傳遞及協(xié)作系統(tǒng)和服務(wù)的應(yīng)用程序和網(wǎng)絡(luò)攻擊��。
要利用消息傳遞和協(xié)作服務(wù)器����,黑客首先必須找到這些服務(wù)器����。因此���,企業(yè)必須實施一些技術(shù)以防止黑客找到基礎(chǔ)結(jié)構(gòu)服務(wù)器�。例如,對于 Microsoft Exchange,很多企業(yè)提供通過Outlook�����、Web Access(OWA)的遠程訪問。企業(yè)可以在OWA服務(wù)器和網(wǎng)絡(luò)邊緣之間設(shè)置一個安全層,從而消除OWA直接訪問Internet并帶來潛在威脅的情況����。這一層額外的保護給黑客找到有漏洞的計算機帶來了困難,并且提供了一個可以進行用戶身份驗證和流量掃描的點��。
邊緣保護�。一般說來�����,企業(yè)可以同時在網(wǎng)絡(luò)邊緣或網(wǎng)關(guān)位置應(yīng)用防病毒和反垃圾郵件保護,以阻止基于SMTP的威脅進入內(nèi)部網(wǎng)絡(luò)��。這一層保護不僅可以阻止病毒和垃圾郵件侵害用戶��,同時也極大減少了流向電子郵件服務(wù)器的總體流量�����。這意味著帶寬和服務(wù)器資源現(xiàn)在僅用于關(guān)鍵業(yè)務(wù)通信����。
服務(wù)器保護。安全威脅可以來自網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部,以及通過授權(quán)的計算機發(fā)起攻擊��。例如�,員工可能無意中將一個受病毒感染的文件從USB設(shè)備復(fù)制到一臺安全計算機中���。因此前端和后端電子郵件服務(wù)器都必須提供防病毒保護���。而網(wǎng)關(guān)保護可以消除大部分威脅,在消息傳遞和協(xié)作服務(wù)器中安裝防病毒軟件則可以提供額外的防御線�����,并遏制內(nèi)部事件的威脅����,讓它們永遠不能達到網(wǎng)關(guān)。
客戶端保護�。盡管不是消息傳遞和協(xié)作基礎(chǔ)結(jié)構(gòu)的組成部分����,但受危害的客戶端可以自由地訪問一些安全區(qū)域����。因此,必須在客戶端上提供桌面防病毒��、反垃圾郵件和個人防火墻保護�。同時需要在客戶端部署防止用戶轉(zhuǎn)發(fā)、打印或共享機密材料的信息控制技術(shù)�����。
信息保護���。數(shù)字信息保護是一項任重而道遠的任務(wù)��。通常���,企業(yè)使用基于周邊的安全方法來保護數(shù)字信息。防火墻可以限制對于網(wǎng)絡(luò)的訪問���,而訪問控制列表(ACL) 可以限制對于特定數(shù)據(jù)的訪問����。此外,企業(yè)還可以使用加密和身份驗證技術(shù)����、產(chǎn)品在郵件傳送時提供保護,同時幫助確保目標(biāo)收件人是第一個打開郵件的人��。
這些方法可以幫助企業(yè)控制對于敏感數(shù)據(jù)的訪問����。然而���,收件人仍然能夠?qū)λ麄兪盏降男畔⒆杂蓤?zhí)行任何操作�。在獲得訪問授權(quán)后�����,訪問者要對數(shù)據(jù)執(zhí)行任何操作或是將數(shù)據(jù)發(fā)送到哪里都沒有任何辦法可以控制�。基于周邊的安全方法不能對員工使用數(shù)據(jù)的方式以及員工將數(shù)據(jù)分發(fā)到周邊外部的方式強制應(yīng)用企業(yè)規(guī)則以進行控制�,也不能在周邊被滲透之后強制應(yīng)用企業(yè)規(guī)則。
作為企業(yè)整體安全策略的重要組成部分,一個好的信息保護解決方案必須提供控制數(shù)據(jù)使用和分發(fā)的方法�,而不是僅提供簡單的訪問控制。它必須在防火墻后幫助保護敏感的企業(yè)信息����,并確保數(shù)據(jù)得到保護而且不能被篡改。
多種技術(shù)
除了在整個網(wǎng)絡(luò)中提供多個防御層之外����,縱深防御體系還使用多種技術(shù)來揭露和防止安全威脅。它并非依賴于單一技術(shù)來防御攻擊����,從而消除了企業(yè)整個安全體系結(jié)構(gòu)中的單點故障。
與基礎(chǔ)結(jié)構(gòu)集成
不管要提供什么保護�����,安全解決方案都必須可靠和可管理才行�����。如果IT管理員要不斷重啟崩潰的服務(wù)器����、重新設(shè)置配置或是手動分發(fā)更新��,那不僅會嚴(yán)重削弱保護��,而且還會影響效率增長��,這與企業(yè)使用安全解決方案的初衷背道而馳�����。
要確保安全解決方案很好地發(fā)揮作用�,一個重要的方法就是確保與消息傳遞和協(xié)作基礎(chǔ)結(jié)構(gòu)緊密集成�。這種集成讓安全應(yīng)用程序可以集中全力提供保護,而不用執(zhí)行冗余的消息傳遞應(yīng)用程序任務(wù)��。例如����,如果防病毒解決方案與本機Microsoft Windows SMTP 協(xié)議棧集成�,它就不需要利用端口25重定向器,只需執(zhí)行病毒掃描即可��,而不用執(zhí)行路由功能�����。
緊密集成同時還增加了安全解決方案的性能、可用性和可管理性優(yōu)點��。緊密集成的安全解決方案一般能夠更好地執(zhí)行�����,這意味著可以管理更多流量而不會影響服務(wù)器性能��。
為了幫助用戶構(gòu)建安全可靠的IT環(huán)境���,微軟2006年推出了最新的安全解決方案Forefront�����,微軟希望通過Forefront使企業(yè)的安全跨入到一個新的層次���,F(xiàn)orefront安全解決方案以縱深防御理念為出發(fā)點,從客戶端�、服務(wù)器、網(wǎng)絡(luò)邊緣三個方面對網(wǎng)絡(luò)加以防護����。
