作 者:启明星辰 吕明
近几年,随着网络安全事件的频频发生,人们对外部入侵和INTERNET的安全日益重视,但来自内部网络的攻击却有愈演愈烈之势,内网安全成为企业管理的隐患。信息资料被非法流露、拷贝、篡改,往往给企业、政府或军队部门造成重大损失。使内部网络始终处于安全、可靠、保密的环境下运行,帮助企业各类业务统一优化、规范管理,保障各类业务正常安全运行,这就是内网安全管理产品能够带给我们的价值。
一、内网面临的主要安全威胁
国内信息安全领导企业启明星辰认为,内网主要面临的安全威胁有如下几条:
单位资产,员工私产——资产管理失控:网络中终端用户随意增减调换,每个终端硬件配备(CPU、硬盘、内存等)肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载,各种外设(软驱、光驱、U盘、打印机、Modem等)无节制使用。
网络无限,自由无限——网络资源滥用:IP地址滥用,流量滥用,甚至工作时间聊天、游戏、赌博、疯狂下载、登陆色情反动网站等行为影响工作效率,影响网络正常使用。
蠕虫泛滥,业务瘫痪——病毒蠕虫入侵:由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续的影响。
门户大开,长驱直入——外部非法接入:移动设备(笔记本电脑等)和新增设备未经过安全检查和处理违规接入或者入侵内部网络,带来病毒传播、黑客入侵等不安全因素。
外贼好治,家贼难防——内部非法外联:内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等,或违反规定将专网专用计算机带出网络进入到其他网络。
网络无界,一损俱损——重要信息泄密:因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失。
千里之堤,毁于蚁穴——补丁管理混乱:终端用户不了解系统补丁状态,不及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。
根据启明星辰多年的经验,以下一些内网安全问题容易被用户忽略,主要是:
· 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足);
· 如何进行外来笔记本电脑随意接入控制;
· 如何防范网络物理隔离泄漏;
· 如何对未安装防病毒软件的终端进行统计;
· 如何对感染蠕虫病毒的计算机快速定位,并强制其断开网络连接;
· 如何有效进行网络IP设备资源管理;
· 如何对终端的安全策略进行统一配置管理;
· 如何审计终端的各种违规行为。
二、内网安全管理应该实现哪些功能?
内网安全管理产品应该具备终端基本管理、IT资产管理、终端桌面管理、终端安全管理、网络主机运维、事件报表及报警处置、审计、补丁管理等功能。
以某商业银行部署启明星辰天玥内网安全风险管理与审计系统为例,该行是1992年经人民银行批准试营运,下辖数十个支行,共有营业网点上千个。该网络较为复杂,需要部署省、市两级内网安全管理系统,对终端进行统一监控和管理。系统需要在内网部署一台内网安全管理服务器,由于系统管理采用B/S构架,管理员可在网络的任何终端通过登陆内网管理服务器的管理页面进行管理和各种信息查询;所有的网络终端需要安装客户端程序以对其进行监控和管理;系统同时需要在外网部署一台补丁下载服务器(部署于外网,和互联网相连),用来更新补丁信息(此服务器也可用来下载病毒库升级文件)。
具体的部署和管理构架如下:
天珣内网安全风险管理与审计系统可以实现的功能主要有:
· 客户端分组管理功能:可按客户端各种软、硬件特征、IP范围、注册信息等进行进行分组管理。
· 策略管理功能:可根据时间段和时间点定制策略使用或禁止使用的触发条件,按照条件搜索的设备进行策略分组分发管理。
· 日志功能:记录系统登陆、操作及客户端违规日志,可进行模糊查询,并支持按管理员自定义字段进行报表导出。
· 全网统一升级:管理中心升级后,全网客户端程序既自动升级。
· 转发代理功能:为在软件分发(或补丁分发)的过程,尽量减少消耗网络资源,保证客户端可从其他客户端下载分发软件。
· IP漂移功能:管理中心IP地址的可无缝切换。
· 支持双机热备:管理中心支持双机高可用方案,配合双机软件可实现管理中心的双机热备。
· 终端代理扫描功能:各个VLAN中的注册客户端可触发扫描功能发现网络中的设备信息,并上报到服务器,减小了网络复杂性带来的部署难度,并可发现安装个人防火墙的非法接入设备。
· 多级部署:管理中心可多级部署,由上级管理中心统一配置管理策略,由下级管理中心将违规报警信息的级联上报。
对于金融、政府等重要行业来说,信息安全保障系统建设,不仅需要严格的“制度防内”包括建立严密的计算机管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障信息系统的安全正常运行;更需要成熟完善的“技术防内”,通过技术手段上加强安全措施,防止内部不合规行为,防止内网的信息泄密,使正常业务与应用不受影响。“内忧”胜于“外患”,企业不仅需要铸造如同长城一般的边关防御体系,同样需要着重管理,打造安全和谐的内部环境。