局域網(wǎng)面臨安全問題有哪些
局域網(wǎng)面臨安全問題有哪些
提起網(wǎng)絡(luò)安全,人們自然就會想到病毒破壞和黑客攻擊,其實不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處,在這些設(shè)備的嚴密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反,來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。
對于國內(nèi)的網(wǎng)絡(luò)管理者而言,現(xiàn)有的網(wǎng)絡(luò)安全防護手段大多強調(diào)對來自外部的主動攻擊進行預(yù)防,檢測以及處理,而授予內(nèi)部主機更多的信任。但是,統(tǒng)計數(shù)字表明,相當多的安全事件是由內(nèi)網(wǎng)用戶有意或無意的操作造成的。為保護內(nèi)網(wǎng)的安全,一些單位將內(nèi)網(wǎng)與外網(wǎng)物理隔離,或者將內(nèi)部通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng),并在網(wǎng)關(guān)處架設(shè)防火墻,IPS,IDS等安全監(jiān)控設(shè)備。盡管如上述所示的各類安全措施都得到了實現(xiàn),眾多管理者們卻仍然頭疼于泄密事件或其它各類內(nèi)網(wǎng)安全事件的頻繁發(fā)生,這就充分說明了內(nèi)網(wǎng)安全維護的復(fù)雜性[1] 。
總體上看,內(nèi)網(wǎng)主機大多以LAN的方式進行接入,這些主機間以物理互連,邏輯隔離的方式共存,但為實現(xiàn)主機間的資料共享及數(shù)據(jù)通信需求,又不得不讓其之間建立各種互信關(guān)系,因此某臺主機的有意或無意的誤操作都會對整網(wǎng)主機的安全性造成威脅,這些威脅點主要分為以下幾類:
內(nèi)網(wǎng)邏輯邊界不完整
無線技術(shù)的迅猛發(fā)展讓隨時隨地接入internet這一想法成為現(xiàn)實,在驚嘆先進的無線技術(shù)為我們的生活帶來便利的同時,也對我們的網(wǎng)絡(luò)管理人員提出了更多的要求。在內(nèi)外網(wǎng)隔離的環(huán)境中,如何確保內(nèi)網(wǎng)邊界的完整性,杜絕不明終端穿越網(wǎng)絡(luò)邊界接入是眾多管理者面臨的一大難題。事實上,國內(nèi)定義的網(wǎng)絡(luò)邊界防護由于《等保》的詮釋往往被理解為網(wǎng)絡(luò)出口保護,而在現(xiàn)實情況中的邊界早已超越了"出口"這一狹隘的概念,而真正擴展到全網(wǎng),其中的關(guān)鍵就是內(nèi)網(wǎng)的邊界--網(wǎng)絡(luò)的入口。換言之,邊界防護更應(yīng)該是所有網(wǎng)絡(luò)邊界的防護--并側(cè)重于內(nèi)網(wǎng)入口的防護。
缺乏有效身份認證機制
對內(nèi)部主機使用者缺乏特定的身份識別機制,只需一根網(wǎng)線或者在局域網(wǎng)AP信號覆蓋的范圍之內(nèi),即可連入內(nèi)部網(wǎng)絡(luò)獲取機密文件資料。內(nèi)網(wǎng)猶如一座空門大宅,任何人都可以隨意進入。往往管理者都比較注重終端訪問服務(wù)器時的身份驗證,一時之間,CA、電子口令卡、radius等均大行其道,在這種環(huán)境下,被扔在墻角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭,而終端之間的聯(lián)系恰巧就是--網(wǎng)絡(luò)。
缺乏訪問權(quán)限控制機制
許多單位的網(wǎng)絡(luò)大體上可以分為兩大區(qū)域:其一是辦公或生產(chǎn)區(qū)域,其二是服務(wù)資源共享區(qū)域,上述兩大邏輯網(wǎng)絡(luò)物理上共存,并且尚未做明確的邏輯上的隔離,辦公區(qū)域的人員往往可隨意對服務(wù)器區(qū)域的資源進行訪問。另外需要的注意的是,來賓用戶在默認情況下,只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限,相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通,內(nèi)網(wǎng)機密文件資源此時將赤裸暴露于外部。
內(nèi)網(wǎng)主機漏洞
現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品,而微軟系列產(chǎn)品恰巧像蜜糖一樣不斷吸引著蜂擁而至的黑客做為嶄露頭角的試金石,調(diào)查顯示80%以上的攻擊和病毒都是針對windows系統(tǒng)而產(chǎn)生的,這也就引發(fā)了微軟一月一次的補丁更新計劃,包括IE補丁、office辦公軟件、以及操作系統(tǒng)等全系列產(chǎn)品都被納入這個安全保護之中。但空有微軟單方發(fā)布的補救文件,也必定只是剃頭挑子一頭熱,如果由于用戶處的設(shè)置不當導(dǎo)致補丁無法及時更新的話,一旦被黑客所利用,將會作為進一步攻擊內(nèi)網(wǎng)其他主機的跳板,引發(fā)更大的內(nèi)網(wǎng)安全事故,如曾經(jīng)爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式,這也是為什么政府機構(gòu)的信息安全檢查都極其重視操作系統(tǒng)補丁更新的原因。
對于管理者而言,內(nèi)網(wǎng)安全的管理與外網(wǎng)相比存在一定的難度,究其主要原因就在于,內(nèi)網(wǎng)的管理面比較大,終端數(shù)較多,終端使用者的IT技能水平層次不齊,而這在領(lǐng)導(dǎo)看來往往會歸結(jié)到管理的層面,因此實施起來壓力大,抵觸情緒多,并且會形成各種各樣的違規(guī)對策,單槍匹馬的"管理"往往身體懸在半空,心也懸在半空。技術(shù)人員往往亟需技術(shù)手段的輔助來形成一個立體化的安全模型,也需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。
這些常見的客戶端安全威脅隨時隨地都可能影響著用戶網(wǎng)絡(luò)的正常運行。在這些問題中,操作系統(tǒng)漏洞管理問題越來越凸現(xiàn),消除漏洞的根本辦法就是安裝軟件補丁,每一次大規(guī)模蠕蟲病毒的爆發(fā),都提醒人們要居安思危,打好補丁,做好防范工作——補丁越來越成為安全管理的一個重要環(huán)節(jié)。黑客技術(shù)的不斷變化和發(fā)展,留給管理員的時間將會越來越少,在最短的時間內(nèi)安裝補丁將會極大地保護網(wǎng)絡(luò)和其所承載的機密,同時也可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶,繁雜的手工補丁安裝已經(jīng)遠遠不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理,必須依靠新的技術(shù)手段來實現(xiàn)對操作系統(tǒng)的補丁自動修補。
國內(nèi)知名安全軟件廠商北信源公司通過對國內(nèi)和國外近幾年來計算機客戶端管理技術(shù)和發(fā)展趨勢的研究,將政府和企業(yè)內(nèi)部網(wǎng)絡(luò)客戶端安全管理概括的從客戶端狀態(tài)、行為、事件三個方面來進行防御,研制出北信源內(nèi)網(wǎng)安全及補丁分發(fā)管理系統(tǒng)軟件。