談到內(nèi)網(wǎng)安全與外網(wǎng)安全的差別���,CA(中國)有限公司產(chǎn)品市場經(jīng)理謝春穎說: "我覺得外網(wǎng)安全以阻斷攻擊為主,是粗粒度的��,而內(nèi)網(wǎng)安全屬于細粒度的安全���,以主動加固為主。"外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問�,技術上也以防火墻、入侵檢測等防御角度出發(fā)的技術為主��。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細得多�����,同時技術上內(nèi)網(wǎng)安全通常采用的是加固技術,比如設置訪問控制���、身份管理等����。
管理和技術都有漏洞
造成內(nèi)網(wǎng)不安全的因素很多��,歸結不外乎兩個方面:管理和技術���。"造成內(nèi)網(wǎng)不安全的管理方面的因素主要是管理策略不完善���,技術上主要由于對一些安全產(chǎn)品的使用和維護沒有特別重視。"CA(中國)有限公司產(chǎn)品市場經(jīng)理謝春穎說��。
細化來講���,管理還分為兩個方面�,一方面是在管理的標準化上���,比如平臺的標準化����、安裝軟件的標準化、正版軟件的強制要求等等���,任何一個細節(jié)都可能造成管理上的失誤導致安全事件發(fā)生�����。另一方面��,很多企業(yè)的管理安全策略沒有強化到系統(tǒng)之中�,缺少相應的技術支持�����,不能由計算機幫助強制執(zhí)行���。
管理是否完善���,技術力量是否強大,有沒有一些很好的產(chǎn)品去支撐和實現(xiàn)這套管理體系����,對于內(nèi)網(wǎng)安全來講都是必須去重視的�。
規(guī)劃安全業(yè)務為先
"規(guī)劃內(nèi)網(wǎng)安全首先應該考慮的是自身的業(yè)務�����,什么樣的業(yè)務有什么人去用����,主要做些什么����。然后根據(jù)這些業(yè)務的需求去規(guī)劃內(nèi)網(wǎng)的安全。"謝春穎認為����。企業(yè)在規(guī)劃內(nèi)網(wǎng)安全時,應該主要考慮兩個方面��,一方面要從業(yè)務角度去評判企業(yè)自己的那些業(yè)務系統(tǒng)分別是做什么的����,這些業(yè)務系統(tǒng)對企業(yè)自身的重要程度如何,需要什么層次的保護�。
另一方面就是風險,要盡量弄清楚企業(yè)自己的內(nèi)網(wǎng)可能面臨哪些風險�,現(xiàn)有條件下對這些風險的承受程度如何。因為風險只能控制在一個可接受的程度卻不可能降到零����,否則降低過多就會造成在安全上投資太大��,降低太少又會風險太高�。
企業(yè)應該在對于內(nèi)網(wǎng)安全的投資和可接受的風險之間找一個平衡的位置����,才是更好的規(guī)劃內(nèi)網(wǎng)安全。除了考慮業(yè)務系統(tǒng)重要程度和可接受的風險之外���,另外一個很重要的方面就是應急響應��。當安全問題出現(xiàn)時如何處理���,如何恢復,都是不能忽視的問題�。"就像以前有網(wǎng)管中心一樣,現(xiàn)在也必須有一個安全中心�����,去統(tǒng)管整個安全事件�����,包括安全事件的分析���,安全事件的響應����、處理�����,這些都是為了確保業(yè)務連續(xù)性�。"CA(中國)有限公司產(chǎn)品市場經(jīng)理謝春穎說。
保障安全三手齊抓
構建完整的內(nèi)網(wǎng)安全保證體系應該從人����、技術、流程三個方面綜合考慮�����。人的方面就是要弄清楚內(nèi)網(wǎng)都有誰去使用����,他們各自的需求是什么,這些需求和訪問分別有什么特點。技術方面�����,要清楚整個保障體系所必須的技術基礎是什么�����,哪些工作可以通過技術手段幫助管理員完成����,這樣才可以針對性的采購一些安全產(chǎn)品,去支撐整個安全體系�。第三個方面也是最重要的一個方面就是流程,在現(xiàn)有的安全保障體系中�,任何一個安全事件或者安全意外的處理流程是什么樣,有哪個部門哪個人采取什么樣的安全措施��,都是應該提前考慮的�。
"還要強調(diào)一點就是安全的審計,一個保障體系好不好要有一個定期的審計���,沒有定期審計就很難有所提高�����,把人���、技術和流程結合起來做一個定期的審計也是非常重要的�����。"CA(中國)有限公司產(chǎn)品市場經(jīng)理謝春穎說。
另外����,保障內(nèi)網(wǎng)安全出發(fā)點應該主要根據(jù)風險和ROI的評估,不論企業(yè)的自動化程度是否足夠高��,內(nèi)網(wǎng)規(guī)模是否足夠大�����,保障內(nèi)網(wǎng)安全采用何種體系關鍵在于內(nèi)網(wǎng)上運行的業(yè)務���,如果企業(yè)的關鍵業(yè)務是手工完成�,內(nèi)網(wǎng)安全事件的發(fā)生不會對關鍵業(yè)務造成任何影響�,這時候就不用刻意去強調(diào)內(nèi)網(wǎng)安全。所以考慮的出發(fā)點應該是內(nèi)網(wǎng)上的信息或者應用對用戶的重要性如何��,根據(jù)重要性再去考慮采用什么樣的保護方案,不應該僅僅根據(jù)內(nèi)網(wǎng)的規(guī)模去考慮����。
別讓VPN打亂你的內(nèi)網(wǎng)
"隨著網(wǎng)絡應用越來越復雜,網(wǎng)絡介入方式也變得多種多樣���,很多移動的用戶變得越來越多�,頻繁進出內(nèi)網(wǎng)�����,原來很好的邊界安全防護在這種新的模式下就變得不再起作用��。"Check Point公司技術顧問沈江說�����。VPN(虛擬專用網(wǎng))的用戶訪問無疑是內(nèi)網(wǎng)安全的重大威脅之一����,現(xiàn)在很多VPN產(chǎn)品將弱化的桌面置于企業(yè)防火墻之外,具有直接訪問內(nèi)網(wǎng)權限的那些VPN用戶端點勢必會給內(nèi)網(wǎng)安全帶來極大不確定性��。
那么如何才能確保這么VPN訪問的安全呢?Check Point公司技術顧問沈江認為:第一�����,VPN中要采用盡可能強的認證方式。比如���,通常在VPN的協(xié)商過程中�,有兩種方式做認證�,共享密鑰和數(shù)字證書,通常我們建議用數(shù)字證書���,因為共享的密鑰一方面管理起來比較麻煩,并且相對來說比較容易被破解�����,用數(shù)字證書相對要安全一些���,但是數(shù)字證書可能帶來成本開銷的加大�。
第二����,在加密的算法上要盡量采用更好的算法,原來我們用的比較多的是3DS加密算法�,這種算法效率比較低���。相對來說,加密算法AES算法加密更快同時強度更高�。
此外,在VPN通訊特別是遠程訪問中要加強對于端點的控制���,設置嚴格的訪問權限和級別����,避免不必要的安全隱患和安全事件的發(fā)生����。另外,針對VPN的攻擊�����,要有一定的處理方法�,未雨綢繆,一旦攻擊發(fā)生要有很好的防范措施����。
