內(nèi)網(wǎng)安全技術(shù)淺析

張哲宇 林逸祥

[摘要]對(duì)當(dāng)前內(nèi)網(wǎng)安全技術(shù)進(jìn)行闡述,并介紹應(yīng)對(duì)內(nèi)網(wǎng)安全的幾個(gè)策略,主要有網(wǎng)絡(luò)準(zhǔn)入控制及防水墻技術(shù)。通過(guò)大量的調(diào)研和資料收集工作,全面地闡述內(nèi)網(wǎng)安全技術(shù)的背景及其含義,針對(duì)當(dāng)前內(nèi)網(wǎng)安全技術(shù)的主要問(wèn)題分析其相關(guān)處理方法,綜述內(nèi)網(wǎng)安全相關(guān)技術(shù)及其策略,并通過(guò)對(duì)內(nèi)網(wǎng)安全的相關(guān)分析,探討內(nèi)網(wǎng)安全技術(shù)的未來(lái)方向及其未來(lái)可能發(fā)展的趨勢(shì)和技術(shù)。

[關(guān)鍵詞]內(nèi)網(wǎng)安全技術(shù)策略網(wǎng)絡(luò)準(zhǔn)入控制防水墻

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1120071-02

一、內(nèi)網(wǎng)安全技術(shù)的提出

近年來(lái),內(nèi)網(wǎng)安全事件頻頻發(fā)生。這些內(nèi)網(wǎng)安全事件對(duì)政府、企業(yè)造成的損失和影響是十分巨大的。為了防止企業(yè)或組織內(nèi)部重要或敏感數(shù)據(jù)的丟失,很多用戶購(gòu)買了昂貴的網(wǎng)絡(luò)防護(hù)設(shè)備,甚至安裝了多套防病毒軟件,但是關(guān)鍵信息泄露問(wèn)題還是沒(méi)有得到很好的解決。造成以上問(wèn)題的主要原因是,以往人們只重視外網(wǎng)對(duì)內(nèi)網(wǎng)的威脅,而忽視了內(nèi)部網(wǎng)絡(luò)的自身的問(wèn)題。相比之下,內(nèi)部人員更容易通過(guò)網(wǎng)絡(luò)或移動(dòng)存儲(chǔ)設(shè)備把敏感的信息泄露出去,人為原因造成的損失往往是不可估計(jì),對(duì)企業(yè)或組織的破壞是十分巨大的。針對(duì)這一不可忽視的問(wèn)題,國(guó)內(nèi)外廠商紛紛提出了自己的內(nèi)網(wǎng)安全標(biāo)準(zhǔn),內(nèi)網(wǎng)信息安全越來(lái)越多受到關(guān)注。

二、內(nèi)網(wǎng)安全威脅

(一)嚴(yán)重的信息外泄

隨著先進(jìn)的網(wǎng)絡(luò)及應(yīng)用技術(shù)的發(fā)展,數(shù)據(jù)和設(shè)備的共享性得到了很大的提高。這給企業(yè)的管理和工作帶來(lái)效率的同時(shí),也產(chǎn)生了嚴(yán)重的信息外泄問(wèn)題。而據(jù)統(tǒng)計(jì),大部份機(jī)密、敏感數(shù)據(jù)都是被內(nèi)部員工通過(guò)合法或非法手段,在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的桌面終端計(jì)算機(jī)上通過(guò)各種傳輸、復(fù)制途徑泄露出去的。

(二)病毒、蠕蟲的入侵

目前,對(duì)病毒、蠕蟲的入侵防范仍停留在網(wǎng)絡(luò)邊緣階段。大部分企業(yè)開始在網(wǎng)絡(luò)邊緣部署放病毒軟件,防火墻,防病毒網(wǎng)關(guān),IDS等安全設(shè)備,但是這幾種設(shè)備均是基于對(duì)已知攻擊手段的防范,無(wú)法有效防范未知攻擊手段。其實(shí)病毒、蠕蟲的入侵威脅主要來(lái)自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險(xiǎn)應(yīng)用。

三、內(nèi)網(wǎng)安全防范措施

(一)安全意識(shí)是根源

長(zhǎng)期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識(shí)薄弱,無(wú)意中觸發(fā)了黑客設(shè)下的機(jī)關(guān)、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁(yè)造成的。針對(duì)這種情況,首要解決的問(wèn)題是提高網(wǎng)絡(luò)使用人員的安全意識(shí),定期進(jìn)行相關(guān)的網(wǎng)絡(luò)安全知識(shí)的培訓(xùn),全面提高網(wǎng)絡(luò)使用人員的安全意識(shí),是提高內(nèi)網(wǎng)安全性的有效手段。

(二)策略是關(guān)鍵

內(nèi)部安全策略是一種指導(dǎo)方法,通常都以一種規(guī)范、制度、流程等體現(xiàn)出來(lái),用以指導(dǎo)我們快速、合理、全面的建設(shè)內(nèi)部安全系統(tǒng),同時(shí)我們所規(guī)劃和實(shí)現(xiàn)的內(nèi)部安全策略本身又是可擴(kuò)展的,隨著時(shí)間的不斷推移和內(nèi)部安全需求的進(jìn)一步變化,可以根據(jù)調(diào)整單位的內(nèi)部安全策略來(lái)更好的指導(dǎo)內(nèi)部安全系統(tǒng)的建設(shè)。

(三)技術(shù)是保障

技術(shù)是管理的一個(gè)輔助工具。一個(gè)工具怎么用,能不能用好,最終的落腳點(diǎn)還是要看管理。不同的企業(yè)用同樣的產(chǎn)品,產(chǎn)生的結(jié)果是不一樣的。當(dāng)然,有了有效的管理策略,沒(méi)有技術(shù)的保障實(shí)施,一切也都是紙上談兵。總之,只有擁有一批高素質(zhì)的網(wǎng)絡(luò)使用人員,優(yōu)秀的管理,再加上技術(shù)的輔助,才能保證內(nèi)網(wǎng)的安全。

四、內(nèi)網(wǎng)安全相關(guān)技術(shù)

(一)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)介紹

1.網(wǎng)絡(luò)準(zhǔn)入控制定義

思科網(wǎng)絡(luò)準(zhǔn)入控制(Network Access control,NAC)是一項(xiàng)由思科發(fā)起、多家廠商參加的計(jì)劃,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)安全造成危害,最早于2003年11月提出。借助NAC,客戶可以只允許合法的、值得信任的端點(diǎn)設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò),而不允許其它設(shè)備接入。幾個(gè)行業(yè)分析機(jī)構(gòu)對(duì)網(wǎng)絡(luò)接入控制(NAC)技術(shù)進(jìn)行了思考,每家都使用了不同的術(shù)語(yǔ)集和差異很小的網(wǎng)絡(luò)準(zhǔn)入控制定義。例如,Forrester使用“網(wǎng)絡(luò)隔離(Network Quarantine)”,而Meta用“端點(diǎn)訪問(wèn)控制(Endpoint Access Control)”。

2.網(wǎng)絡(luò)準(zhǔn)入控制的設(shè)計(jì)理念

撇開復(fù)雜的商業(yè)利益爭(zhēng)奪,各廠商推出的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)雖然稱呼各有差異,但核心設(shè)計(jì)理念是基本相同的,具體來(lái)講,就是在網(wǎng)絡(luò)節(jié)點(diǎn)接入安全網(wǎng)絡(luò)時(shí),需要對(duì)待接入的系統(tǒng)安全狀況以及操作該節(jié)點(diǎn)系統(tǒng)用戶的身份進(jìn)行充分的評(píng)估、認(rèn)證,以確定該系統(tǒng)是否符合網(wǎng)絡(luò)的內(nèi)部安全策略,來(lái)決定該網(wǎng)絡(luò)節(jié)點(diǎn)系統(tǒng)是否接入到安全網(wǎng)絡(luò)中,還是拒絕接入或安全升級(jí)后接入。顯然,網(wǎng)絡(luò)準(zhǔn)入的機(jī)制不僅實(shí)現(xiàn)了安全網(wǎng)絡(luò)“主動(dòng)”的動(dòng)態(tài)擴(kuò)展,而且能夠有效降低不可信終端系統(tǒng)接入網(wǎng)絡(luò)所帶來(lái)的潛在安全風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的特點(diǎn)

(1)可評(píng)估使用所有訪問(wèn)方法,包括LAN、無(wú)線、遠(yuǎn)程訪問(wèn)和WAN的所有終端,來(lái)進(jìn)行全面控制;(2)終端可視性和控制確保可管理的、不可管理的、訪客和惡意設(shè)備均符合企業(yè)安全策略;(3)終端控制的全程支持可自動(dòng)執(zhí)行終端的評(píng)估、驗(yàn)證、授權(quán)和修補(bǔ)流程;(4)將集中策略管理、智能網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)服務(wù)與多家著名防病毒、安全和管理供應(yīng)商提供的解決方案結(jié)合在一起,以提供精確的準(zhǔn)入控制管理;(5)基于標(biāo)準(zhǔn)的、靈活的API允許多個(gè)第三方參與整體解決方案,從而支持豐富的合作伙伴和技術(shù)生態(tài)系統(tǒng)。

4.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)所控制和解決的問(wèn)題

(1)控制哪些人能接入LAN并限制他們能夠訪問(wèn)的資源;(2)限制不值得信賴或者未知的用戶,例如承包商、技術(shù)人員、遠(yuǎn)程用戶或者離線員工等;(3)限制能夠訪問(wèn)重要財(cái)務(wù)記錄或者客戶記錄的人員;(4)根據(jù)職責(zé)、時(shí)間、地點(diǎn)以及應(yīng)用程序來(lái)控制對(duì)數(shù)據(jù)的訪問(wèn);(5)將用戶分級(jí)以符合規(guī)定要求;(6)保護(hù)系統(tǒng)免受已知或者未知惡意軟件的攻擊;(7)簡(jiǎn)化事件反應(yīng);(8)保護(hù)關(guān)鍵應(yīng)用服務(wù)(如VoIP)。

(二)防水墻技術(shù)

1.防水墻定義。“防水墻”(WaterWall)是相對(duì)于“防火墻”(FireWall)的一個(gè)概念,它是用來(lái)加強(qiáng)信息系統(tǒng)內(nèi)部安全的重要工具,主要為防止內(nèi)部信息向外擴(kuò)散。具體說(shuō)來(lái),防水墻技術(shù)是一個(gè)以內(nèi)網(wǎng)安全理論為基礎(chǔ),以數(shù)據(jù)安全為核心,利用密碼學(xué)技術(shù)、PKI技術(shù)、操作系統(tǒng)核心技術(shù)、訪問(wèn)控制技術(shù)、審計(jì)跟蹤技術(shù)等技術(shù)手段,對(duì)涉密信息、重要業(yè)務(wù)數(shù)據(jù)和技術(shù)專利等敏感信息的存儲(chǔ)、傳播和處理過(guò)程實(shí)施安全限制保護(hù),最大限度地防止敏感信息外泄的內(nèi)網(wǎng)數(shù)據(jù)保護(hù)技術(shù)。

2.防水墻系統(tǒng)設(shè)計(jì)理念。防水墻系統(tǒng)的設(shè)計(jì)理念是保護(hù)用戶敏感信息不被非法外傳、防止泄密事件發(fā)生,從而保證內(nèi)部安全。它主要從以下五個(gè)方面來(lái)保障內(nèi)網(wǎng)安全:

(1)失泄密防護(hù);(2)文件安全服務(wù);(3)運(yùn)行狀況的檢測(cè);(4)系統(tǒng)資源管理;(5)擴(kuò)展身份認(rèn)證。

在五個(gè)方面的大前提下,開發(fā)系統(tǒng)成為當(dāng)代防水墻系統(tǒng)技術(shù)研究開發(fā)的主流設(shè)計(jì)理念。

(三)防水墻技術(shù)分析

防水墻作為加強(qiáng)信息系統(tǒng)內(nèi)部安全的重要工具,它處于內(nèi)部網(wǎng)絡(luò)中,是一個(gè)內(nèi)網(wǎng)監(jiān)控系統(tǒng),其著重點(diǎn)是用技術(shù)手段強(qiáng)化內(nèi)部信息的安全管理,利用密碼、訪問(wèn)控制和審計(jì)跟蹤等技術(shù)手段對(duì)公司信息實(shí)施安全保護(hù),使之不被非法或違規(guī)的窺探、外傳、破壞、拷貝、刪除,從本質(zhì)上阻止了機(jī)密信息泄漏事件的發(fā)生。

(四)防水墻系統(tǒng)的特點(diǎn)

1.管理桌面計(jì)算機(jī)系統(tǒng)的規(guī)模大、效率高、策略周全,將單位全部的個(gè)人桌面系統(tǒng)納人管理范疇,解決了桌面系統(tǒng)的安全問(wèn)題。

2.針對(duì)網(wǎng)絡(luò)通信、外設(shè)接日等可能成為失泄密途徑,以周全的內(nèi)部系統(tǒng)信息泄露保護(hù)體系,結(jié)合網(wǎng)絡(luò)內(nèi)部現(xiàn)有的其它安全系統(tǒng),可構(gòu)成強(qiáng)大、完備的內(nèi)部系統(tǒng)信息泄露保護(hù)體系。

3.處理計(jì)算機(jī)的硬件配置和軟件安裝的系統(tǒng)資源,動(dòng)態(tài)獲取、更新和審計(jì)。杜絕了未經(jīng)批準(zhǔn)就安裝和運(yùn)行任何一款硬件設(shè)備和軟件系統(tǒng)。

4.對(duì)全部個(gè)人計(jì)算機(jī)系統(tǒng)集中在防水墻的管理之下,集中管理安全策略、系統(tǒng)配置、安全事件和安全事故。

(五)防水墻系統(tǒng)在網(wǎng)絡(luò)中的位置

管理員通過(guò)管理工作站來(lái)管理防水墻服務(wù)器,定制與實(shí)施相關(guān)的安全策略,防水墻服務(wù)器通過(guò)位于各部門的客戶端工作站點(diǎn)來(lái)實(shí)現(xiàn)對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的“用戶身份”、“數(shù)據(jù)安全”、“設(shè)備安全”和“綜合安全審計(jì)”等方面的綜合管理和安全監(jiān)控。

(六)防水墻控制和解決的問(wèn)題

1.身份驗(yàn)證機(jī)制;2.訪問(wèn)控制體系;3.“非法外聯(lián)”控制;4.設(shè)備密級(jí)標(biāo)識(shí);5.動(dòng)存儲(chǔ)介質(zhì)的有效管理;6.安全審計(jì);7.非法主機(jī)控制。

五、內(nèi)網(wǎng)安全技術(shù)發(fā)展方向

(一)內(nèi)網(wǎng)安全重心繼續(xù)向終端計(jì)算機(jī)轉(zhuǎn)移

傳統(tǒng)的內(nèi)網(wǎng)安全主要是注重服務(wù)器區(qū)域的安全管理,而隨著終端機(jī)數(shù)量的增多,安全隱患也就越來(lái)越大,任何一臺(tái)出現(xiàn)安全隱患,對(duì)整個(gè)內(nèi)網(wǎng)都可能會(huì)產(chǎn)生巨大的沖擊和破壞。因此,內(nèi)網(wǎng)安全管理開始從服務(wù)器區(qū)域轉(zhuǎn)向了終端計(jì)算機(jī)。

(二)終端安全產(chǎn)品向功能高度集成發(fā)展

隨著技術(shù)的發(fā)展,企業(yè)用戶逐漸認(rèn)識(shí)到,內(nèi)網(wǎng)的安全管理是一個(gè)有機(jī)的整體,不是靠幾種安全產(chǎn)品的簡(jiǎn)單堆砌就能解決的,采用高度功能集成的安全產(chǎn)品可能是一個(gè)更好的選擇。所以,未來(lái)的安全產(chǎn)品將朝著高度功能集成的方向發(fā)展。

(三)終端安全加固與運(yùn)行維護(hù)并重

終端計(jì)算機(jī)作為內(nèi)網(wǎng)的一部分,而且是員工日常工作的工具,當(dāng)然要保證其安全性。不過(guò),企業(yè)用戶逐漸認(rèn)識(shí)到,終端計(jì)算機(jī)的使用最終目的是為了降低成本、提高效率。因此內(nèi)網(wǎng)既要有較高的安全性,也要能夠易于維護(hù)。應(yīng)該通過(guò)技術(shù)手段提高終端計(jì)算機(jī)的維護(hù)管理水平。所以,在內(nèi)網(wǎng)安全管理方面的技術(shù)發(fā)展是提高內(nèi)網(wǎng)安全管理的有效途徑。

六、結(jié)論

隨著社會(huì)的信息化以及網(wǎng)絡(luò)的飛速發(fā)展,企業(yè)的內(nèi)網(wǎng)規(guī)模和復(fù)雜度迅速提升,企業(yè)、國(guó)家對(duì)內(nèi)網(wǎng)安全的需求不斷增長(zhǎng),內(nèi)網(wǎng)安全管理的技術(shù)和策略尤為重要。根據(jù)公安部發(fā)表08年《全國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》調(diào)查顯示,攻擊或病毒傳播源來(lái)自內(nèi)部人員的比例同比增加了21%;涉及外部人員的同比減少了18%,說(shuō)明聯(lián)網(wǎng)單位對(duì)外部網(wǎng)絡(luò)攻擊防范的意識(shí)有所增強(qiáng),但單位內(nèi)部的網(wǎng)絡(luò)安全管理工作還不到位。網(wǎng)絡(luò)(系統(tǒng))管理員通過(guò)技術(shù)監(jiān)測(cè)主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的占66.28%,同比增加了13%,說(shuō)明網(wǎng)絡(luò)(系統(tǒng))管理員安全技術(shù)水平有所提高;而通過(guò)安全產(chǎn)品發(fā)現(xiàn)的比例同比減少了8%,原因是目前計(jì)算機(jī)病毒、木馬等繞過(guò)安全產(chǎn)品的發(fā)現(xiàn)、查殺甚至破壞安全產(chǎn)品的能力增強(qiáng)了。所以,安全技術(shù)的提升固然重要,管理人員的素質(zhì)的提升和安全管理的策略更為重要。安全技術(shù)和安全管理不可分割,它們必須同步推進(jìn)。因?yàn)榧幢阌辛撕玫陌踩O(shè)備和系統(tǒng),如果沒(méi)有好的安全管理方法并貫徹實(shí)施,那么安全也是空談。

參考文獻(xiàn):

[1]丁誼,內(nèi)網(wǎng)安全初探[J].科技信息,2004.2.

[2]介斐,企業(yè)內(nèi)網(wǎng)安全防護(hù)解決方案[J].石油化工建設(shè),2007.4

[3]賽迪網(wǎng),內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討.

[4]應(yīng)對(duì)企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的常見策略.

[5]淺談內(nèi)網(wǎng)安全的新寵兒——防水墻,ISSN:1009-3044.0.2006-14-051.