对于关注内网安全的人们来说,他们或者是要亲身处理组织中的内网安全问题,或者是每天都在受到内网安全问题的困扰。正所谓“工欲善其事,必先利其器”,在本篇内容中将以更加贴近一线战场的视角为众位读者分析内网安全领域各种常见问题和相关处理方法。
在真实的世界里,确实有很多因技术因素而造成的内网安全困局,其中最重要的就是混杂平台问题。即使在一些小企业当中,也可能存在着超过一种以上的操作系统环境。比如那些需要Windows操作系统处理日常办公业务,同时又需要iMac进行设计工作的广告公司。而一些组织虽然只使用一个厂商提供的操作系统,由于计算机硬件配置参差不齐,很难保证使用相同版本的操作系统。
就我们所见的一个酒店客户来说,Novell的服务器系统是经常用来支撑酒店业务软件运行的,而相匹配的终端甚至包括了遗留的DOS系统。通常文件服务和Web服务的控制要由Windows 2003 Server或更高版本的服务器操作系统来完成,而办公区域则混合着从Windows 98到Windows XP等不同版本的桌面操作系统。
最直接的一点,由于混杂的操作系统种类,该酒店的管理员在处理防病毒、补丁更新、数据备份乃至各种内部应用服务的时候,都需要为这种情况付出大量的额外努力。
而在设备管理和跟踪的过程中,也经常会出现一些死角,导致偶有未被登录在案的计算机节点在网络中工作而却茫然不知。可以说,投入到信息安全的成本有很大一部分都因为混杂平台问题而被浪费掉了,这导致的最直接结果就是没有更多的资源来真正提升内网安全防护的质量,从而形成了一个内网安全泥潭。
在看到罗列与此的这些问题时,安全管理员一定会有似曾相识的感觉。这个列表中的问题都相当常见而且流行,可以作为内网安全的优先关注点,也可以作为在选择内网安全工具和技术解决方案时的映射目标,最重要的是我们需要正确地认识使用哪些技术可以有效地处理这些问题。
目前,国内也有很多CIO选择TIPS安全防护平台,对内网进行有效管理。通过建立四级的防护体系:首先就是以硬件级防护为基础,建立可信可控的信息系统;其次,建立四级可信认证机制的纵深防御体系;接着是实现身份鉴别、介质管理、数据保护、安全审计、实时监控等一系列基本防护要求;最后,安全性、管理性并重,系统既突出安全性,更注重可管理性。
系统安全补丁自动分发
很多管理员都知道微软提供了应用于企业内部网络的产品补丁更新解决方案,但是却不见得都部署和使用过这种方式的更新,毕竟接入互联网下载安全更新实在是太方便了。然而,在现实的应用环境中,并不是所有时候都可以简单地让所有终端计算机都不受控制地接入互联网。
Windows服务器更新服务(WSUS)是相对常用的补丁更新工具,运行于服务器操作系统上,能够向各种版本的、包含更新代理机制的桌面Windows操作系统传递和部署更新文件。而对于需要重启控制、计划安排、更新清单和更丰富管理界面的用户来说,付费的系统管理服务器(SMS)将是一个不错的选择。
不过,在遇到混杂平台环境时,微软的产品就无法满足需要了,企业可能需要求助于CA的Unicenter这样的第三方商业产品来管理各种不同操作系统的补丁更新。对于Linux等非微软操作系统来说,对面向企业应用环境的更新分发工具的需要似乎还没有那么迫切,不过随着这些操作系统使用比例的提高,也是该重视起来的时候了。
加密电子文档同时不影响正常使用
对于数据安全来说,根据数据所对应的安全等级进行适当的加密保护是最基本的手段之一。就那些相对公开化的业务应用来说,基于公钥加密和证书认证等手段的体系是相对比较成熟和流行的,而PKI则是其中最典型的代表。一般常用的CA体系架构相对简便,也具有绝大多数用户所需的功能。
从存储数据的各个计算机节点来说,现在有大量免费的加密工具和数据擦除工具可用。不过其提供的保密级别往往较低,而且在操作系统层以及应用层进行加密,往往会衍生出其他的安全问题。对于密级较高的电子文档,应该尽可能应用BIOS防护卡等硬件设备,限制数据的存取,并通过芯片级加密保护硬盘上的数据。
另外,目前基于USB接口的存储设备比如U盘、移动硬盘等,也可以通过智能判断和权限控制功能,来对其中的数据进行更好的安全管理。在更加高端的领域,用户可能需要对数据的流向采取非常严格的控制,甚至规定必须使用签收刻录光盘的方式来交换某些数据。对于这类问题国内厂商已经提出了不少有效的解决方案。
例如鼎普科技的数据单向导入管理系统就相当具有创新意义,这个系统利用了光纤单向传输的特性,在物理层保证数据的流向正确。在使用过程中,鼎普科技的设备一端连入存储涉密数据的计算机终端,一端连入U盘等数据源,即可实现数据的安全存入,而不会出现涉密数据被非法泄漏的问题。从中可以看出,作为以文档加密作为内网安全起点的国内用户来说,也许确实只有国内的厂商才真正了解国内用户的需求。
防止扩散的无线信号泄漏组织的有价值数据
以Wi-Fi为代表的无线局域网技术似乎已经成为便利性与安全性相互制约的一个经典示例了。尽管Wi-Fi本身的安全性一直相对脆弱,但是在内部网络中提供无线接入能力仍旧成为越来越多企业的选择。对于Wi-Fi无线接入点的管理应该具有相对较高的安全强度和级别,至少不能将其与其它普通的网络节点等同视之。
应用WPA加密无线数据通信是必要的,尽管只要攻击者有足够的耐心,还是可能从嗅探到的数据中破解密钥,但是其难度相对于WEP等旧有加密方式来说无疑要困难得多。如果需要更高的安全级别,可以考虑在无线链路上增加令牌验证和VPN访问控制等手段,以提供较强的安全控管能力。
对各种移动终端进行接入控制
对于笔记本电脑以及越来越多的智能手机终端,企业所能做的安全管理似乎总显得有些力不从心。除了对无线局域网接入进行控制之外,这类终端可能引起的问题还有很多。蓝牙作为极为通用和具有时尚意味的连接方式,安全性却存在一些脆弱点。
为了更好地和其它蓝牙设备进行连接,蓝牙往往被设置成相对较低的安全认证等级,而事实上很多设备在出厂时默认就被设为最低的级别,比如大部分的手机产品都是如此。由于仅在链路层提供有限的安全控制,所以蓝牙安全更多地依赖于上层协议甚至应用层来进行安全管理。
想真正实现蓝牙安全应该强制性地在蓝牙传送数据时结合其它安全验证措施。虽然这通常很难处理,但不应该被忽视。对于手持设备来说,WAP站点访问是提供业务处理和办公信息获取的通行方式之一。WTLS协议虽然出于性能考虑已经做了一些简化,但是仍是一种具有较高安全性的解决方案。
另外一个通行的原则是尽量将WAP网关置于防火墙保护之后,因为数据在到达WAP网关后往往会被解密而失去了WTLS的保护,在其流出WAP网关之后往往容易被俘获。
相关阅读:
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
管理是内网安全的硬道理
尽管很多时候人们觉得守护目标不让黑客对其进行攻击是一件很酷的事,但在多数情况下,安全管理都是建构在规范和严谨之上的。不但需要正确的应用安全技术……