與外網(wǎng)安全同等重要 從點、線到面綜合治理內(nèi)網(wǎng)安全
內(nèi)網(wǎng)安全問題大于外部問題,已經(jīng)成為業(yè)界共識。頻頻暴露出來的違規(guī)安裝軟件,私自撥號上網(wǎng),私自帶入其他設備接入等情況使得內(nèi)網(wǎng)安全隱患重重,進行內(nèi)網(wǎng)系統(tǒng)安全優(yōu)化建設已經(jīng)刻不容緩。
企業(yè)安全最容易從內(nèi)部攻破
一般而言,多數(shù)企業(yè)對于安全部署都普遍信奉“二八法則”,即內(nèi)網(wǎng)與外網(wǎng)安全投入比例約為2:8,將信息安全防御的重點放在防御外網(wǎng)威脅上。實際上,企業(yè)用戶的誤操作或U盤病毒導致的內(nèi)網(wǎng)故障,對業(yè)務系統(tǒng)帶來的危害越來越大。
長期以來,客戶通常認為信息安全主要源于外部因素,于是都希望在網(wǎng)絡接入處部署安全設備,把病毒和攻擊擋在門外,就能安全無憂。但是H3C安全產(chǎn)品相關負責人表示,網(wǎng)絡安全是無內(nèi)、外之分的,有許多重大的網(wǎng)絡安全問題正是由內(nèi)部引起,例如,在員工瀏覽非法網(wǎng)站、使用即時通訊或訪問購物網(wǎng)站時,一些間諜軟件、木馬程序等惡意軟件就會不知不覺地被下載到電腦中,而且這些惡意軟件還會在企業(yè)內(nèi)部網(wǎng)絡中進行傳播,不僅會產(chǎn)生安全隱患,而且還會影響到網(wǎng)絡的使用率。特別值得注意的是,企業(yè)的機密資料、客戶數(shù)據(jù)等信息可能會由于惡意軟件的存在,不知不覺被盜取。
FBI曾對企業(yè)內(nèi)部信息泄露問題進行了針對484家公司的調(diào)查,結(jié)果顯示,在來自企業(yè)內(nèi)部的安全威脅中,85%的安全損失是由企業(yè)內(nèi)部的原因造成的。這可能有些聳人聽聞,但是事實正是如此。
網(wǎng)域萬通相關人士表示,局域網(wǎng)中經(jīng)常出現(xiàn)非法內(nèi)聯(lián)和非法外聯(lián),帶寬惡性占用、終端不及時打操作系統(tǒng)補丁和升級殺毒軟件、ARP病毒攻擊泛濫、移動硬盤等外設隨意使用、上網(wǎng)行為無管理等這些情況都會給企業(yè)帶來巨大的安全隱患。
從“被信任”用戶著手
從企業(yè)網(wǎng)絡安全事故的發(fā)生根源來看,內(nèi)網(wǎng)安全先于網(wǎng)絡邊界安全,大多數(shù)網(wǎng)絡安全事件都是先由內(nèi)網(wǎng)爆發(fā)引起,后影響到網(wǎng)關。如今,網(wǎng)絡管理員的工作量大多都集中在企業(yè)的終端維護上,若不對終端的系統(tǒng)安全、操作行為、網(wǎng)絡行為進行規(guī)范與審計,企業(yè)網(wǎng)絡中的安全隱患將完全不可預知和控制。網(wǎng)域萬通認為,若想從根本上減少安全隱患,降低各種不可控安全意外的發(fā)生頻率,以及對員工進行安全規(guī)范和操作實現(xiàn)監(jiān)管,做到明確的人員責任定位,我們就需要在邊界防護之前做好準備。
目前客戶對于內(nèi)網(wǎng)安全的需求表現(xiàn)在多個方面,包括:終端補丁升級與病毒庫更新不及時,蠕蟲病毒利用漏洞在內(nèi)部大肆傳播;非法外聯(lián)難以控制,內(nèi)部重要機密信息泄露頻繁發(fā)生;攻擊方法日新月異,內(nèi)部安全難以防范;軟硬件設備濫用,資產(chǎn)安全無法保障;網(wǎng)絡應用缺乏監(jiān)控和審計;管理制度缺乏技術依據(jù),安全策略無法有效落實;多種安全設備各自為政,整網(wǎng)安全狀況無法掌控等。
但是H3C則認為,內(nèi)網(wǎng)和外網(wǎng)需要的安全防護手段都是大同小異,但是內(nèi)網(wǎng)的防護對象主要是內(nèi)部“被信任”的用戶,如何保證這些不同類型用戶以合法身份接入網(wǎng)絡,獲得合法的權(quán)限,做合法的事情,不是將各種安全設備簡單疊加就可以實現(xiàn)的。因此,內(nèi)網(wǎng)的防護更加強調(diào)的是各種安全設備形成基于用戶為對象的統(tǒng)一安全策略控制和智能管理。
點、線、面的安全模型
在“信息安全=防火墻+IDS+防病毒”的“老三樣”時代,并沒有內(nèi)網(wǎng)安全的概念,業(yè)界一直在總結(jié)和分析內(nèi)網(wǎng)安全的需求,力爭找到內(nèi)網(wǎng)安全與終端用戶接受程度的平衡點,但是大多數(shù)廠商所能夠提供的只是在整個“端到端”的業(yè)務流程中某個關鍵點的安全防護措施,無法形成整網(wǎng)統(tǒng)一管理、智能聯(lián)動的整體解決方案,當業(yè)務發(fā)生調(diào)整時再進行修改,無法滿足當前靈活的移動辦公、業(yè)務多樣性的需求。
為此,網(wǎng)域萬通推出了一套內(nèi)網(wǎng)安全管理系統(tǒng),其網(wǎng)絡安全模塊、桌面管理模塊、上網(wǎng)行為管理模塊、安全準入管理模塊、網(wǎng)絡拓撲管理模塊等五大功能模塊分別對內(nèi)網(wǎng)安全準入、桌面管理、上網(wǎng)行為管理、網(wǎng)絡安全和網(wǎng)絡拓撲管理等進行管控,并且客戶可以根據(jù)自身的情況來任意選擇和搭配。
H3C也提出了從點、線、面的三個維度保障內(nèi)網(wǎng)安全的思路,“點”即終端安全準入管理軟件,確保正確的人在正確的狀態(tài)下可以進入網(wǎng)絡;“線”即嵌入式安全模塊,實現(xiàn)安全域劃分、安全策略控制、在線防護、內(nèi)容審計等功能,確保正確的人在做正確的事;“面”即智能管理中心,實時收集各個安全設備的告警信息,分析后與網(wǎng)絡和安全設備聯(lián)動,控制攻擊來源,避免威脅的再次發(fā)生,并且為用戶提供整網(wǎng)安全審計報告。
H3C內(nèi)網(wǎng)安全方案已形成了終端準入、區(qū)域隔離、病毒防護、網(wǎng)流分析、統(tǒng)一管理和安全聯(lián)動等六大功能,從根本上實現(xiàn)了讓“正確的人”在“正確狀態(tài)”下做“正確的事”這一內(nèi)網(wǎng)安全核心目標,實現(xiàn)了 “內(nèi)網(wǎng)控制 = 終端準入(點)+在線控制(線)+智能管理(面)”的理想模型。
內(nèi)網(wǎng)安全建設是每一個企業(yè)都要應該關注的事,那就要全面了解系統(tǒng),評估系統(tǒng)安全性,認識到自己的風險所在,從而迅速、準確得解決內(nèi)網(wǎng)安全問題。
【編輯推薦】
