如何解決內(nèi)網(wǎng)的安全問題
以下是OMG小編為大家收集整理的文章,希望對大家有所幫助。
在真實的世界里,確實有很多因技術(shù)因素而造成的內(nèi)網(wǎng)安全困局,其中最重要的就是混雜平臺問題。即使在一些小企業(yè)當(dāng)中,也可能存在著超過一種以上的操作系統(tǒng)環(huán)境。比如那些需要Windows操作系統(tǒng)處理日常辦公業(yè)務(wù),同時又需要iMac進行設(shè)計工作的廣告公司。而一些組織雖然只使用一個廠商提供的操作系統(tǒng),由于計算機硬件配置參差不齊,很難保證使用相同版本的操作系統(tǒng)。
就我們所見的一個酒店客戶來說,Novell的服務(wù)器系統(tǒng)是經(jīng)常用來支撐酒店業(yè)務(wù)軟件運行的,而相匹配的終端甚至包括了遺留的DOS系統(tǒng)。通常文件服務(wù)和Web服務(wù)的控制要由windows 2003 Server或更高版本的服務(wù)器操作系統(tǒng)來完成,而辦公區(qū)域則混合著從windows 98到Windows XP等不同版本的桌面操作系統(tǒng)。
最直接的一點,由于混雜的操作系統(tǒng)種類,該酒店的管理員在處理防病毒、補丁更新、數(shù)據(jù)備份乃至各種內(nèi)部應(yīng)用服務(wù)的時候,都需要為這種情況付出大量的額外努力。
而在設(shè)備管理和跟蹤的過程中,也經(jīng)常會出現(xiàn)一些死角,導(dǎo)致偶有未被登錄在案的計算機節(jié)點在網(wǎng)絡(luò)中工作而卻茫然不知??梢哉f,投入到信息安全的成本有很大一部分都因為混雜平臺問題而被浪費掉了,這導(dǎo)致的最直接結(jié)果就是沒有更多的資源來真正提升內(nèi)網(wǎng)安全防護的質(zhì)量,從而形成了一個內(nèi)網(wǎng)安全泥潭。
在看到羅列與此的這些問題時,安全管理員一定會有似曾相識的感覺。這個列表中的問題都相當(dāng)常見而且流行,可以作為內(nèi)網(wǎng)安全的優(yōu)先關(guān)注點,也可以作為在選擇內(nèi)網(wǎng)安全工具和技術(shù)解決方案時的映射目標,最重要的是我們需要正確地認識使用哪些技術(shù)可以有效地處理這些問題。
目前,國內(nèi)也有很多CIO選擇TIPS安全防護平臺,對內(nèi)網(wǎng)進行有效管理。通過建立四級的防護體系:首先就是以硬件級防護為基礎(chǔ),建立可信可控的信息系統(tǒng);其次,建立四級可信認證機制的縱深防御體系;接著是實現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護、安全審計、實時監(jiān)控等一系列基本防護要求;最后,安全性、管理性并重,系統(tǒng)既突出安全性,更注重可管理性
系統(tǒng)安全補丁自動分發(fā)
很多管理員都知道微軟提供了應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)的產(chǎn)品補丁更新解決方案,但是卻不見得都部署和使用過這種方式的更新,畢竟接入互聯(lián)網(wǎng)下載安全更新實在是太方便了。然而,在現(xiàn)實的應(yīng)用環(huán)境中,并不是所有時候都可以簡單地讓所有終端計算機都不受控制地接入互聯(lián)網(wǎng)。
Windows服務(wù)器更新服務(wù)(WSUS)是相對常用的補丁更新工具,運行于服務(wù)器操作系統(tǒng)上,能夠向各種版本的、包含更新代理機制的桌面Windows操作系統(tǒng)傳遞和部署更新文件。而對于需要重啟控制、計劃安排、更新清單和更豐富管理界面的用戶來說,付費的系統(tǒng)管理服務(wù)器(SMS)將是一個不錯的選擇。
不過,在遇到混雜平臺環(huán)境時,微軟的產(chǎn)品就無法滿足需要了,企業(yè)可能需要求助于CA的Unicenter這樣的第三方商業(yè)產(chǎn)品來管理各種不同操作系統(tǒng)的補丁更新。對于Linux等非微軟操作系統(tǒng)來說,對面向企業(yè)應(yīng)用環(huán)境的更新分發(fā)工具的需要似乎還沒有那么迫切,不過隨著這些操作系統(tǒng)使用比例的提高,也是該重視起來的時候了。
加密電子文檔同時不影響正常使用
對于數(shù)據(jù)安全來說,根據(jù)數(shù)據(jù)所對應(yīng)的安全等級進行適當(dāng)?shù)募用鼙Wo是最基本的手段之一。就那些相對公開化的業(yè)務(wù)應(yīng)用來說,基于公鑰加密和證書認證等手段的體系是相對比較成熟和流行的,而PKI則是其中最典型的代表。一般常用的CA體系架構(gòu)相對簡便,也具有絕大多數(shù)用戶所需的功能。
從存儲數(shù)據(jù)的各個計算機節(jié)點來說,現(xiàn)在有大量免費的加密工具和數(shù)據(jù)擦除工具可用。不過其提供的保密級別往往較低,而且在操作系統(tǒng)層以及應(yīng)用層進行加密,往往會衍生出其他的安全問題。對于密級較高的電子文檔,應(yīng)該盡可能應(yīng)用BIOS防護卡等硬件設(shè)備,限制數(shù)據(jù)的存取,并通過芯片級加密保護硬盤上的數(shù)據(jù)。
另外,目前基于USB接口的存儲設(shè)備比如U盤、移動硬盤等,也可以通過智能判斷和權(quán)限控制功能,來對其中的數(shù)據(jù)進行更好的安全管理。在更加高端的領(lǐng)域,用戶可能需要對數(shù)據(jù)的流向采取非常嚴格的控制,甚至規(guī)定必須使用簽收刻錄光盤的方式來交換某些數(shù)據(jù)。對于這類問題國內(nèi)廠商已經(jīng)提出了不少有效的解決方案。
例如鼎普科技的數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)就相當(dāng)具有創(chuàng)新意義,這個系統(tǒng)利用了光纖單向傳輸?shù)奶匦裕谖锢韺颖WC數(shù)據(jù)的流向正確。在使用過程中,鼎普科技的設(shè)備一端連入存儲涉密數(shù)據(jù)的計算機終端,一端連入U盤等數(shù)據(jù)源,即可實現(xiàn)數(shù)據(jù)的安全存入,而不會出現(xiàn)涉密數(shù)據(jù)被非法泄漏的問題。從中可以看出,作為以文檔加密作為內(nèi)網(wǎng)安全起點的國內(nèi)用戶來說,也許確實只有國內(nèi)的廠商才真正了解國內(nèi)用戶的需求。
防止擴散的無線信號泄漏組織的有價值數(shù)據(jù)
以Wi-Fi為代表的無線局域網(wǎng)技術(shù)似乎已經(jīng)成為便利性與安全性相互制約的一個經(jīng)典示例了。盡管Wi-Fi本身的安全性一直相對脆弱,但是在內(nèi)部網(wǎng)絡(luò)中提供無線接入能力仍舊成為越來越多企業(yè)的選擇。對于Wi-Fi無線接入點的管理應(yīng)該具有相對較高的安全強度和級別,至少不能將其與其它普通的網(wǎng)絡(luò)節(jié)點等同視之。
應(yīng)用WPA加密無線數(shù)據(jù)通信是必要的,盡管只要攻擊者有足夠的耐心,還是可能從嗅探到的數(shù)據(jù)中破解密鑰,但是其難度相對于WEP等舊有加密方式來說無疑要困難得多。如果需要更高的安全級別,可以考慮在無線鏈路上增加令牌驗證和訪問控制等手段,以提供較強的安全控管能力。
對各種移動終端進行接入控制
對于筆記本電腦以及越來越多的智能手機終端,企業(yè)所能做的安全管理似乎總顯得有些力不從心。除了對無線局域網(wǎng)接入進行控制之外,這類終端可能引起的問題還有很多。藍牙作為極為通用和具有時尚意味的連接方式,安全性卻存在一些脆弱點。
為了更好地和其它藍牙設(shè)備進行連接,藍牙往往被設(shè)置成相對較低的安全認證等級,而事實上很多設(shè)備在出廠時默認就被設(shè)為最低的級別,比如大部分的手機產(chǎn)品都是如此。由于僅在鏈路層提供有限的安全控制,所以藍牙安全更多地依賴于上層協(xié)議甚至應(yīng)用層來進行安全管理。
想真正實現(xiàn)藍牙安全應(yīng)該強制性地在藍牙傳送數(shù)據(jù)時結(jié)合其它安全驗證措施。雖然這通常很難處理,但不應(yīng)該被忽視。對于手持設(shè)備來說,WAP站點訪問是提供業(yè)務(wù)處理和辦公信息獲取的通行方式之一。WTLS協(xié)議雖然出于性能考慮已經(jīng)做了一些簡化,但是仍是一種具有較高安全性的解決方案。
另外一個通行的原則是盡量將WAP網(wǎng)關(guān)置于防火墻保護之后,因為數(shù)據(jù)在到達WAP網(wǎng)關(guān)后往往會被解密而失去了WTLS的保護,在其流出WAP網(wǎng)關(guān)之后往往容易被俘獲。