內(nèi)網(wǎng)安全技術(shù)淺析

張哲宇 林逸祥

[摘要]對當前內(nèi)網(wǎng)安全技術(shù)進行闡述,并介紹應對內(nèi)網(wǎng)安全的幾個策略,主要有網(wǎng)絡準入控制及防水墻技術(shù)。通過大量的調(diào)研和資料收集工作,全面地闡述內(nèi)網(wǎng)安全技術(shù)的背景及其含義,針對當前內(nèi)網(wǎng)安全技術(shù)的主要問題分析其相關(guān)處理方法,綜述內(nèi)網(wǎng)安全相關(guān)技術(shù)及其策略,并通過對內(nèi)網(wǎng)安全的相關(guān)分析,探討內(nèi)網(wǎng)安全技術(shù)的未來方向及其未來可能發(fā)展的趨勢和技術(shù)。

[關(guān)鍵詞]內(nèi)網(wǎng)安全技術(shù)策略網(wǎng)絡準入控制防水墻

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1120071-02

一、內(nèi)網(wǎng)安全技術(shù)的提出

近年來,內(nèi)網(wǎng)安全事件頻頻發(fā)生。這些內(nèi)網(wǎng)安全事件對政府、企業(yè)造成的損失和影響是十分巨大的。為了防止企業(yè)或組織內(nèi)部重要或敏感數(shù)據(jù)的丟失,很多用戶購買了昂貴的網(wǎng)絡防護設備,甚至安裝了多套防病毒軟件,但是關(guān)鍵信息泄露問題還是沒有得到很好的解決。造成以上問題的主要原因是,以往人們只重視外網(wǎng)對內(nèi)網(wǎng)的威脅,而忽視了內(nèi)部網(wǎng)絡的自身的問題。相比之下,內(nèi)部人員更容易通過網(wǎng)絡或移動存儲設備把敏感的信息泄露出去,人為原因造成的損失往往是不可估計,對企業(yè)或組織的破壞是十分巨大的。針對這一不可忽視的問題,國內(nèi)外廠商紛紛提出了自己的內(nèi)網(wǎng)安全標準,內(nèi)網(wǎng)信息安全越來越多受到關(guān)注。

二、內(nèi)網(wǎng)安全威脅

(一)嚴重的信息外泄

隨著先進的網(wǎng)絡及應用技術(shù)的發(fā)展,數(shù)據(jù)和設備的共享性得到了很大的提高。這給企業(yè)的管理和工作帶來效率的同時,也產(chǎn)生了嚴重的信息外泄問題。而據(jù)統(tǒng)計,大部份機密、敏感數(shù)據(jù)都是被內(nèi)部員工通過合法或非法手段,在企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的桌面終端計算機上通過各種傳輸、復制途徑泄露出去的。

(二)病毒、蠕蟲的入侵

目前,對病毒、蠕蟲的入侵防范仍停留在網(wǎng)絡邊緣階段。大部分企業(yè)開始在網(wǎng)絡邊緣部署放病毒軟件,防火墻,防病毒網(wǎng)關(guān),IDS等安全設備,但是這幾種設備均是基于對已知攻擊手段的防范,無法有效防范未知攻擊手段。其實病毒、蠕蟲的入侵威脅主要來自于內(nèi)部網(wǎng)絡用戶的各種危險應用。

三、內(nèi)網(wǎng)安全防范措施

(一)安全意識是根源

長期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識薄弱,無意中觸發(fā)了黑客設下的機關(guān)、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁造成的。針對這種情況,首要解決的問題是提高網(wǎng)絡使用人員的安全意識,定期進行相關(guān)的網(wǎng)絡安全知識的培訓,全面提高網(wǎng)絡使用人員的安全意識,是提高內(nèi)網(wǎng)安全性的有效手段。

(二)策略是關(guān)鍵

內(nèi)部安全策略是一種指導方法,通常都以一種規(guī)范、制度、流程等體現(xiàn)出來,用以指導我們快速、合理、全面的建設內(nèi)部安全系統(tǒng),同時我們所規(guī)劃和實現(xiàn)的內(nèi)部安全策略本身又是可擴展的,隨著時間的不斷推移和內(nèi)部安全需求的進一步變化,可以根據(jù)調(diào)整單位的內(nèi)部安全策略來更好的指導內(nèi)部安全系統(tǒng)的建設。

(三)技術(shù)是保障

技術(shù)是管理的一個輔助工具。一個工具怎么用,能不能用好,最終的落腳點還是要看管理。不同的企業(yè)用同樣的產(chǎn)品,產(chǎn)生的結(jié)果是不一樣的。當然,有了有效的管理策略,沒有技術(shù)的保障實施,一切也都是紙上談兵?？傊?只有擁有一批高素質(zhì)的網(wǎng)絡使用人員,優(yōu)秀的管理,再加上技術(shù)的輔助,才能保證內(nèi)網(wǎng)的安全。

四、內(nèi)網(wǎng)安全相關(guān)技術(shù)

(一)網(wǎng)絡準入控制技術(shù)介紹

1.網(wǎng)絡準入控制定義

思科網(wǎng)絡準入控制(Network Access control,NAC)是一項由思科發(fā)起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害,最早于2003年11月提出。借助NAC,客戶可以只允許合法的、值得信任的端點設備(例如PC、服務器、PDA)接入網(wǎng)絡,而不允許其它設備接入。幾個行業(yè)分析機構(gòu)對網(wǎng)絡接入控制(NAC)技術(shù)進行了思考,每家都使用了不同的術(shù)語集和差異很小的網(wǎng)絡準入控制定義。例如,Forrester使用“網(wǎng)絡隔離(Network Quarantine)”,而Meta用“端點訪問控制(Endpoint Access Control)”。

2.網(wǎng)絡準入控制的設計理念

撇開復雜的商業(yè)利益爭奪,各廠商推出的網(wǎng)絡準入控制技術(shù)雖然稱呼各有差異,但核心設計理念是基本相同的,具體來講,就是在網(wǎng)絡節(jié)點接入安全網(wǎng)絡時,需要對待接入的系統(tǒng)安全狀況以及操作該節(jié)點系統(tǒng)用戶的身份進行充分的評估、認證,以確定該系統(tǒng)是否符合網(wǎng)絡的內(nèi)部安全策略,來決定該網(wǎng)絡節(jié)點系統(tǒng)是否接入到安全網(wǎng)絡中,還是拒絕接入或安全升級后接入。顯然,網(wǎng)絡準入的機制不僅實現(xiàn)了安全網(wǎng)絡“主動”的動態(tài)擴展,而且能夠有效降低不可信終端系統(tǒng)接入網(wǎng)絡所帶來的潛在安全風險。

3.網(wǎng)絡準入控制技術(shù)的特點

(1)可評估使用所有訪問方法,包括LAN、無線、遠程訪問和WAN的所有終端,來進行全面控制;(2)終端可視性和控制確?？晒芾淼摹⒉豢晒芾淼?、訪客和惡意設備均符合企業(yè)安全策略;(3)終端控制的全程支持可自動執(zhí)行終端的評估、驗證、授權(quán)和修補流程;(4)將集中策略管理、智能網(wǎng)絡設備及網(wǎng)絡服務與多家著名防病毒、安全和管理供應商提供的解決方案結(jié)合在一起,以提供精確的準入控制管理;(5)基于標準的、靈活的API允許多個第三方參與整體解決方案,從而支持豐富的合作伙伴和技術(shù)生態(tài)系統(tǒng)。

4.網(wǎng)絡準入控制技術(shù)所控制和解決的問題

(1)控制哪些人能接入LAN并限制他們能夠訪問的資源;(2)限制不值得信賴或者未知的用戶,例如承包商、技術(shù)人員、遠程用戶或者離線員工等;(3)限制能夠訪問重要財務記錄或者客戶記錄的人員;(4)根據(jù)職責、時間、地點以及應用程序來控制對數(shù)據(jù)的訪問;(5)將用戶分級以符合規(guī)定要求;(6)保護系統(tǒng)免受已知或者未知惡意軟件的攻擊;(7)簡化事件反應;(8)保護關(guān)鍵應用服務(如VoIP)。

(二)防水墻技術(shù)

1.防水墻定義?！胺浪畨Α?WaterWall)是相對于“防火墻”(FireWall)的一個概念,它是用來加強信息系統(tǒng)內(nèi)部安全的重要工具,主要為防止內(nèi)部信息向外擴散。具體說來,防水墻技術(shù)是一個以內(nèi)網(wǎng)安全理論為基礎,以數(shù)據(jù)安全為核心,利用密碼學技術(shù)、PKI技術(shù)、操作系統(tǒng)核心技術(shù)、訪問控制技術(shù)、審計跟蹤技術(shù)等技術(shù)手段,對涉密信息、重要業(yè)務數(shù)據(jù)和技術(shù)專利等敏感信息的存儲、傳播和處理過程實施安全限制保護,最大限度地防止敏感信息外泄的內(nèi)網(wǎng)數(shù)據(jù)保護技術(shù)。

2.防水墻系統(tǒng)設計理念。防水墻系統(tǒng)的設計理念是保護用戶敏感信息不被非法外傳、防止泄密事件發(fā)生,從而保證內(nèi)部安全。它主要從以下五個方面來保障內(nèi)網(wǎng)安全:

(1)失泄密防護;(2)文件安全服務;(3)運行狀況的檢測;(4)系統(tǒng)資源管理;(5)擴展身份認證。

在五個方面的大前提下,開發(fā)系統(tǒng)成為當代防水墻系統(tǒng)技術(shù)研究開發(fā)的主流設計理念。

(三)防水墻技術(shù)分析

防水墻作為加強信息系統(tǒng)內(nèi)部安全的重要工具,它處于內(nèi)部網(wǎng)絡中,是一個內(nèi)網(wǎng)監(jiān)控系統(tǒng),其著重點是用技術(shù)手段強化內(nèi)部信息的安全管理,利用密碼、訪問控制和審計跟蹤等技術(shù)手段對公司信息實施安全保護,使之不被非法或違規(guī)的窺探、外傳、破壞、拷貝、刪除,從本質(zhì)上阻止了機密信息泄漏事件的發(fā)生。

(四)防水墻系統(tǒng)的特點

1.管理桌面計算機系統(tǒng)的規(guī)模大、效率高、策略周全,將單位全部的個人桌面系統(tǒng)納人管理范疇,解決了桌面系統(tǒng)的安全問題。

2.針對網(wǎng)絡通信、外設接日等可能成為失泄密途徑,以周全的內(nèi)部系統(tǒng)信息泄露保護體系,結(jié)合網(wǎng)絡內(nèi)部現(xiàn)有的其它安全系統(tǒng),可構(gòu)成強大、完備的內(nèi)部系統(tǒng)信息泄露保護體系。

3.處理計算機的硬件配置和軟件安裝的系統(tǒng)資源,動態(tài)獲取、更新和審計。杜絕了未經(jīng)批準就安裝和運行任何一款硬件設備和軟件系統(tǒng)。

4.對全部個人計算機系統(tǒng)集中在防水墻的管理之下,集中管理安全策略、系統(tǒng)配置、安全事件和安全事故。

(五)防水墻系統(tǒng)在網(wǎng)絡中的位置

管理員通過管理工作站來管理防水墻服務器,定制與實施相關(guān)的安全策略,防水墻服務器通過位于各部門的客戶端工作站點來實現(xiàn)對整個內(nèi)部網(wǎng)絡的“用戶身份”、“數(shù)據(jù)安全”、“設備安全”和“綜合安全審計”等方面的綜合管理和安全監(jiān)控。

(六)防水墻控制和解決的問題

1.身份驗證機制;2.訪問控制體系;3.“非法外聯(lián)”控制;4.設備密級標識;5.動存儲介質(zhì)的有效管理;6.安全審計;7.非法主機控制。

五、內(nèi)網(wǎng)安全技術(shù)發(fā)展方向

(一)內(nèi)網(wǎng)安全重心繼續(xù)向終端計算機轉(zhuǎn)移

傳統(tǒng)的內(nèi)網(wǎng)安全主要是注重服務器區(qū)域的安全管理,而隨著終端機數(shù)量的增多,安全隱患也就越來越大,任何一臺出現(xiàn)安全隱患,對整個內(nèi)網(wǎng)都可能會產(chǎn)生巨大的沖擊和破壞。因此,內(nèi)網(wǎng)安全管理開始從服務器區(qū)域轉(zhuǎn)向了終端計算機。

(二)終端安全產(chǎn)品向功能高度集成發(fā)展

隨著技術(shù)的發(fā)展,企業(yè)用戶逐漸認識到,內(nèi)網(wǎng)的安全管理是一個有機的整體,不是靠幾種安全產(chǎn)品的簡單堆砌就能解決的,采用高度功能集成的安全產(chǎn)品可能是一個更好的選擇。所以,未來的安全產(chǎn)品將朝著高度功能集成的方向發(fā)展。

(三)終端安全加固與運行維護并重

終端計算機作為內(nèi)網(wǎng)的一部分,而且是員工日常工作的工具,當然要保證其安全性。不過,企業(yè)用戶逐漸認識到,終端計算機的使用最終目的是為了降低成本、提高效率。因此內(nèi)網(wǎng)既要有較高的安全性,也要能夠易于維護。應該通過技術(shù)手段提高終端計算機的維護管理水平。所以,在內(nèi)網(wǎng)安全管理方面的技術(shù)發(fā)展是提高內(nèi)網(wǎng)安全管理的有效途徑。

六、結(jié)論

隨著社會的信息化以及網(wǎng)絡的飛速發(fā)展,企業(yè)的內(nèi)網(wǎng)規(guī)模和復雜度迅速提升,企業(yè)、國家對內(nèi)網(wǎng)安全的需求不斷增長,內(nèi)網(wǎng)安全管理的技術(shù)和策略尤為重要。根據(jù)公安部發(fā)表08年《全國信息網(wǎng)絡安全狀況調(diào)查報告》調(diào)查顯示,攻擊或病毒傳播源來自內(nèi)部人員的比例同比增加了21%;涉及外部人員的同比減少了18%,說明聯(lián)網(wǎng)單位對外部網(wǎng)絡攻擊防范的意識有所增強,但單位內(nèi)部的網(wǎng)絡安全管理工作還不到位。網(wǎng)絡(系統(tǒng))管理員通過技術(shù)監(jiān)測主動發(fā)現(xiàn)網(wǎng)絡安全事件的占66.28%,同比增加了13%,說明網(wǎng)絡(系統(tǒng))管理員安全技術(shù)水平有所提高;而通過安全產(chǎn)品發(fā)現(xiàn)的比例同比減少了8%,原因是目前計算機病毒、木馬等繞過安全產(chǎn)品的發(fā)現(xiàn)、查殺甚至破壞安全產(chǎn)品的能力增強了。所以,安全技術(shù)的提升固然重要,管理人員的素質(zhì)的提升和安全管理的策略更為重要。安全技術(shù)和安全管理不可分割,它們必須同步推進。因為即便有了好的安全設備和系統(tǒng),如果沒有好的安全管理方法并貫徹實施,那么安全也是空談。

參考文獻:

[1]丁誼,內(nèi)網(wǎng)安全初探[J].科技信息,2004.2.

[2]介斐,企業(yè)內(nèi)網(wǎng)安全防護解決方案[J].石油化工建設,2007.4

[3]賽迪網(wǎng),內(nèi)網(wǎng)安全技術(shù)分析與標準探討.

[4]應對企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的常見策略.

[5]淺談內(nèi)網(wǎng)安全的新寵兒——防水墻,ISSN:1009-3044.0.2006-14-051.