一、內(nèi)網(wǎng)安全問題分析
在網(wǎng)絡(luò)安全領(lǐng)域中,始終存在一些認(rèn)識(shí)上的誤區(qū),而這些誤區(qū)也與層出不窮的安全事件有著直接關(guān)聯(lián)。
(一)安全觀念上的誤區(qū)
1.認(rèn)為網(wǎng)絡(luò)安全就是防黑客和防病毒
談到網(wǎng)絡(luò)安全,大部分人的思維還停留在病毒破壞和黑客攻擊上,習(xí)慣于傾向外部入侵的防御,強(qiáng)化邊界安全設(shè)備的部署和優(yōu)化等,往往會(huì)忽略來自網(wǎng)絡(luò)內(nèi)部的安全隱患,其實(shí)內(nèi)網(wǎng)安全事件所形成危害更大、所造成的損失更嚴(yán)重。美國(guó)CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出“因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上”,從某種意義上來說內(nèi)網(wǎng)安全比外網(wǎng)安全更加重要。
內(nèi)網(wǎng)就是內(nèi)聯(lián)網(wǎng)(校園網(wǎng)、企業(yè)內(nèi)部網(wǎng)、單位辦公網(wǎng)、局域網(wǎng)都屬于此類),它通常建立在一個(gè)組織的內(nèi)部并為其成員提供信息的共享和交流等服務(wù)。內(nèi)網(wǎng)所提供的是一個(gè)相對(duì)封閉的網(wǎng)絡(luò)環(huán)境,它只為內(nèi)部專有,對(duì)于外來人員進(jìn)入網(wǎng)絡(luò)有著嚴(yán)格的授權(quán),但在組織內(nèi)部是分層次開放的,內(nèi)部有使用權(quán)限的人員訪問網(wǎng)絡(luò)資源可以不加限制,內(nèi)網(wǎng)安全威脅正是利用了內(nèi)網(wǎng)本身存在的安全弱點(diǎn)。
一直以來,常規(guī)的安全防御理念往往基于外網(wǎng)安全理論,局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界等方面的防御,重要的安全設(shè)施集中于網(wǎng)絡(luò)入口處,在防火墻、漏洞掃描、防病毒、入侵檢測(cè)等防御系統(tǒng)的嚴(yán)密監(jiān)視下,來自網(wǎng)絡(luò)外部的安全威脅大大減小。然而,這僅僅解決了信息安全的一個(gè)方面,對(duì)于內(nèi)部用戶攻擊和威脅事件則顯得無能為力,一個(gè)能進(jìn)入辦公室打開電腦的普通員工對(duì)內(nèi)網(wǎng)安全的潛在威脅遠(yuǎn)遠(yuǎn)超過了一個(gè)技術(shù)一流的網(wǎng)上黑客。近期最典型的例子莫過于2010年維基解密在互聯(lián)網(wǎng)上公布了391832份美軍伊拉克機(jī)密文件,創(chuàng)造了歷史上最大規(guī)模的泄密事件,據(jù)調(diào)查,“維基解密”風(fēng)波的各類機(jī)密文件均源自美軍內(nèi)聯(lián)網(wǎng)。來自網(wǎng)絡(luò)內(nèi)部的安全威脅突顯,而內(nèi)網(wǎng)管理過程中的疏漏更是增加了安全問題的嚴(yán)重程度。
2.認(rèn)為終端管理不重要
根據(jù)2010年《內(nèi)網(wǎng)安全應(yīng)用趨勢(shì)調(diào)查報(bào)告》顯示,有45%的用戶未使用終端管理軟件,而在使用終端管理軟件的行業(yè)用戶中,基于安全總體方案去采購終端管理產(chǎn)品的僅占30%,而另外70%的用戶多是為了符合上級(jí)要求或是因?yàn)榘踩录|發(fā),這一調(diào)查結(jié)果顯示行業(yè)用戶對(duì)終端管理產(chǎn)品的重視程度還相當(dāng)不夠。
終端安全是內(nèi)網(wǎng)安全的重中之重,它構(gòu)成了內(nèi)網(wǎng)90%以上的組成。IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示“來自內(nèi)部終端的安全威脅占整個(gè)安全威脅的70%以上”;中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國(guó)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出“終端隱患已成為最大的安全威脅之一”。
通常內(nèi)網(wǎng)和外網(wǎng)之間是有各種安全設(shè)備嚴(yán)密保護(hù)的,甚至是與外網(wǎng)物理隔絕的。但如果內(nèi)網(wǎng)終端非法外聯(lián)至外網(wǎng)環(huán)境(通過無線等方式),就可以使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道,外部攻擊就能夠繞過邊界防護(hù)屏障,順利侵入內(nèi)部網(wǎng)絡(luò)并發(fā)起攻擊,致使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取內(nèi)部的重要數(shù)據(jù),造成嚴(yán)重的安全事件。另外,內(nèi)部人員在計(jì)算機(jī)上濫裝軟件,極易引入各種潛在的安全威脅(病毒、木馬等),降低系統(tǒng)的安全系數(shù),而一些內(nèi)部人員出于好奇心或者惡意破壞的目的,在計(jì)算機(jī)上安裝使用一些黑客軟件,從內(nèi)部發(fā)起攻擊,或是內(nèi)部人員安全意識(shí)淡薄,不安裝指定的防毒軟件,又或者桌面終端用戶使用各種存儲(chǔ)介質(zhì)將病毒、蠕蟲帶人內(nèi)部網(wǎng)絡(luò)之中等等,這些行為都對(duì)內(nèi)網(wǎng)構(gòu)成了重大的安全威脅。終端是內(nèi)網(wǎng)安全事件的產(chǎn)生源、攻擊的發(fā)起點(diǎn),有效的終端管理是內(nèi)網(wǎng)安全的重要保障。
3.認(rèn)為終端管理效果不明顯
《內(nèi)網(wǎng)安全應(yīng)用趨勢(shì)調(diào)查報(bào)告》在對(duì)終端管理和準(zhǔn)入控制等其他功能之間的關(guān)系調(diào)查中,27%的行業(yè)用戶認(rèn)為各功能相互獨(dú)立,沒有什么關(guān)系,23%的行業(yè)用戶認(rèn)為準(zhǔn)入控制使終端管理變的更復(fù)雜;表示終端產(chǎn)品滿足現(xiàn)有需求的僅占21%。這一調(diào)查結(jié)果顯示終端管理產(chǎn)品使用效果并不盡如人意,多數(shù)用戶認(rèn)為內(nèi)網(wǎng)終端管理的效果并不明顯。
事實(shí)上,要實(shí)現(xiàn)終端安全管理必先保證終端管理軟件的部署率,即使終端管理軟件的功能再強(qiáng),如果不能部署在客戶端上,也絲毫不能發(fā)揮作用。部署率是確保終端管理功能發(fā)揮作用的前提,但是想讓最終用戶自行安裝客戶端軟件,顯然難度非常大,而如果不能很好地解決這個(gè)問題,終端管理也就成了空談,導(dǎo)致內(nèi)網(wǎng)終端管理產(chǎn)品的效果不明顯,因此內(nèi)網(wǎng)終端管理也沒有引起管理者足夠的重視。
使用準(zhǔn)入控制技術(shù)就能很好地解決客戶端部署的問題,而且必須首先考慮準(zhǔn)入控制。準(zhǔn)入控制是在終端訪問網(wǎng)絡(luò)的必經(jīng)之處設(shè)置檢查點(diǎn),檢查發(fā)起網(wǎng)絡(luò)訪問的終端是否安裝了客戶端軟件,能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài),將不安全的電腦隔離、進(jìn)行修復(fù)。可以說,準(zhǔn)人控制是終端管理的確定性手段,只有打好了這個(gè)基礎(chǔ),終端管理產(chǎn)品才能保證部署率,才能消除終端管理的盲點(diǎn),才能真正為單位的內(nèi)網(wǎng)合規(guī)管理提供可靠的技術(shù)支撐。
(二)管理上的誤區(qū)
1.認(rèn)為安全管理就是購買技術(shù)和設(shè)備
多年來,人們對(duì)保障信息安全的手段偏重于依靠技術(shù),以為花錢買來先進(jìn)的技術(shù)和設(shè)備,“即插即用”然后就可以給我們帶來安全。認(rèn)為內(nèi)網(wǎng)安全可以靠技術(shù)產(chǎn)品解決問題,存在一勞永逸的解決方案,已經(jīng)成為急待扭轉(zhuǎn)的誤區(qū)。
由于信息安全事件頻發(fā),國(guó)家對(duì)信息安全越來越重視,促使終端安全、桌面管理、數(shù)據(jù)加密、上網(wǎng)行為管理、審計(jì)、移動(dòng)存儲(chǔ)安全、檢查取證、網(wǎng)絡(luò)接入等各式產(chǎn)品與解決方案層出不窮,信息安全項(xiàng)目投資力度逐年加大,安全技術(shù)、產(chǎn)品、市場(chǎng)在迅猛發(fā)展。2009年中國(guó)企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)規(guī)模超70億,在2010年突破100億元的規(guī)模,其中增長(zhǎng)最快的是內(nèi)網(wǎng)安全產(chǎn)品,內(nèi)網(wǎng)安全廠商從2002年不到5家發(fā)展到現(xiàn)在的400多家,預(yù)計(jì)到2012年,內(nèi)網(wǎng)安全的市場(chǎng)規(guī)模很可能達(dá)到53億元。
內(nèi)網(wǎng)安全的技術(shù)手段,從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒、防火墻到近年來網(wǎng)絡(luò)環(huán)境下的安全審計(jì)、入侵檢測(cè)、身份認(rèn)證等等。用戶也更加相信安全產(chǎn)品,把僅有的預(yù)算也都投入到安全產(chǎn)品的采購上。但是,行業(yè)用戶卻切身感覺到越來越?jīng)]有安全感,各類安全事件急劇攀升!2010年全國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查》結(jié)果顯示,各類網(wǎng)絡(luò)安全事件,通過安全產(chǎn)品發(fā)現(xiàn)的僅占27.7%;導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的原因有70%以上是因?yàn)閮?nèi)部安全管理存在漏洞,這與前面所提到的巨大投入形成強(qiáng)烈反差。
嚴(yán)峻的現(xiàn)實(shí)告訴我們,僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的,安全是買不來的。僅僅從工具和操作層面去解決信息安全問題是當(dāng)前最大的問題之一。
2.認(rèn)為管理就是建立制度
有一個(gè)被廣泛關(guān)注的案例:曾經(jīng)負(fù)責(zé)為移動(dòng)公司安裝設(shè)備的一名工程師,離職數(shù)年后仍然可以通過網(wǎng)絡(luò)訪問移動(dòng)公司充值中心,毫無技術(shù)含量的盜取了價(jià)值380萬元的充值卡密碼,使1.2億元巨資的網(wǎng)絡(luò)安全投入形同虛設(shè)。移動(dòng)公司這樣一個(gè)擁有最先進(jìn)的安全技術(shù)措施的企業(yè),但就是因?yàn)楣芾淼膯栴}而變得不堪一擊。此案暴露了電信運(yùn)營(yíng)商在管理上的多重漏洞:對(duì)設(shè)備及服務(wù)提供商的管理、對(duì)密碼的管理、對(duì)過期賬號(hào)的處理、日常檢查機(jī)制等方面都存在缺陷。
信息安全管理不僅僅需要建立制度,更關(guān)鍵的是制定出符合內(nèi)網(wǎng)要求的安全管理方案,并在此基礎(chǔ)上根據(jù)時(shí)間的推移,結(jié)合不同時(shí)期的要求和形勢(shì)變化作出動(dòng)態(tài)的更改,并且持續(xù)的進(jìn)行評(píng)估和調(diào)整,以適應(yīng)不斷變化的網(wǎng)絡(luò)應(yīng)用環(huán)境,從而可以不斷加強(qiáng)網(wǎng)絡(luò)安全。
二、內(nèi)網(wǎng)安全管理對(duì)策
(一)構(gòu)建完整的內(nèi)網(wǎng)安全管理體系
實(shí)際工作中,不論哪一個(gè)內(nèi)網(wǎng)安全問題,都是可以歸類到標(biāo)準(zhǔn)的安全產(chǎn)品或解決方案中去的,不同的是某個(gè)安全問題只需要一個(gè)產(chǎn)品和解決方案,而另一個(gè)問題可能需要多個(gè)產(chǎn)品或解決方案的結(jié)合。圍繞內(nèi)網(wǎng)安全,各主流廠商理念上各有亮點(diǎn),技術(shù)表現(xiàn)上千差萬別,但其安全產(chǎn)品都僅僅解決了內(nèi)網(wǎng)安全的部分問題。要真正構(gòu)建一個(gè)可管理、可信任和可控制的內(nèi)網(wǎng)安全體系,一定要擁有整體的內(nèi)網(wǎng)安全理念,應(yīng)該統(tǒng)一規(guī)劃,綜合各種技術(shù)的優(yōu)勢(shì),構(gòu)建一個(gè)完整的信息安全保護(hù)體系。
根據(jù)上述對(duì)內(nèi)網(wǎng)安全問題的分析,一個(gè)完善的內(nèi)網(wǎng)安全體系實(shí)現(xiàn)的技術(shù)措施,應(yīng)該是以身份認(rèn)證(身份鑒別)為基礎(chǔ)、以數(shù)據(jù)安全(數(shù)據(jù)加密)和授權(quán)管理(訪問控制)為核心,以監(jiān)控審計(jì)(安全審計(jì))為輔助的完整管理體系。如果只是不同產(chǎn)品的簡(jiǎn)單堆砌,就難以建立和實(shí)現(xiàn)有效的內(nèi)網(wǎng)安全體系。
(二)建立、健全內(nèi)網(wǎng)安全管理機(jī)制
從技術(shù)角度去尋求安全問題解決方案只是解決了問題的一半,更重要的是通過內(nèi)部健全的內(nèi)網(wǎng)安全管理制度及措施來保障內(nèi)網(wǎng)安全。同時(shí)還需要建立制度的持續(xù)改進(jìn)機(jī)制、建立體系科學(xué)完整的安全管理。內(nèi)網(wǎng)安全建設(shè)中,安全制度的良好實(shí)施和執(zhí)行能從很大程度上保證網(wǎng)絡(luò)的安全,同時(shí)為網(wǎng)絡(luò)的管理和長(zhǎng)期監(jiān)控提供有理可依的指導(dǎo)性理論,這就要求建立覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面的各項(xiàng)安全管理制度,例如,建立完善的機(jī)房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、安全教育培訓(xùn)制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評(píng)估制度等。
信息安全管理是一個(gè)動(dòng)態(tài)的過程,需要建立持續(xù)改進(jìn)的機(jī)制,因此還要定期評(píng)估有關(guān)管理制度文檔和重要操作規(guī)程,分析信息系統(tǒng)管理制度在內(nèi)容覆蓋上的不全面性和不完善l生,從而做到能夠“發(fā)現(xiàn)問題解決問題,發(fā)現(xiàn)新問題解決新問題”,達(dá)成善治的信息安全治理境界。
三、結(jié)束語
內(nèi)網(wǎng)安全概念的提出和發(fā)展雖然經(jīng)歷了很多年,但是目前尚沒有形成統(tǒng)一的認(rèn)識(shí),其根源很大程度上在于對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)上仍然存在很大的誤區(qū)。為了更好地解決內(nèi)網(wǎng)的安全問題,需要有從觀念、管理和技術(shù)等方面全面分析安全風(fēng)險(xiǎn)及實(shí)施對(duì)策,以更為開闊的思路看待內(nèi)網(wǎng)的安全問題,保障一個(gè)穩(wěn)定、安全的內(nèi)網(wǎng)環(huán)境,這也是是網(wǎng)絡(luò)安全管理工作的長(zhǎng)期任務(wù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺析內(nèi)網(wǎng)安全認(rèn)識(shí)上的誤區(qū)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083942615.html