企業(yè)不僅要堅(jiān)固的邊界安全更需要穩(wěn)定的內(nèi)網(wǎng)安全

作者：spn 2009-12-03 11:06:43

在經(jīng)歷了外網(wǎng)安全建設(shè)后，企業(yè)普遍面臨“內(nèi)憂”勝于“外患”的局面，換言之，企業(yè)不僅需要堅(jiān)固的邊界安全，更需要穩(wěn)定的內(nèi)網(wǎng)安全。

最近，國內(nèi)某大型造船廠發(fā)生了一起有驚無險(xiǎn)的網(wǎng)絡(luò)安全事件。由于該造船廠的計(jì)算機(jī)系統(tǒng)內(nèi)儲(chǔ)存有大量的重要設(shè)計(jì)數(shù)據(jù)，某一天，系統(tǒng)突然報(bào)警，顯示某個(gè)電腦終端正在非法拷貝這些重要文件數(shù)據(jù)，而網(wǎng)管人員通過內(nèi)網(wǎng)審計(jì)系統(tǒng)的跟蹤，立刻鎖定了拷貝文件的電腦和登陸系統(tǒng)的用戶名，從而在重要文件還沒被外傳之前，及時(shí)制止了該非法行為，避免了無謂的經(jīng)濟(jì)損失。

事實(shí)上，類似的內(nèi)網(wǎng)安全事件在很多企業(yè)都有發(fā)生，但由于內(nèi)網(wǎng)安全的完善程度不同，并非每個(gè)企業(yè)都能避免損失發(fā)生。有調(diào)查顯示，超過85%的安全威脅來自企業(yè)內(nèi)部，其中16%來自企業(yè)內(nèi)部未經(jīng)授權(quán)的非法訪問，40%來自電子文件的泄露，由此可見，內(nèi)網(wǎng)安全問題已是企業(yè)網(wǎng)絡(luò)安全建設(shè)的重頭戲。

為了確保網(wǎng)絡(luò)安全，防火墻、殺毒軟件、IPS等產(chǎn)品早已成為企業(yè)用戶的普遍部署，但是，這些主要針對(duì)外網(wǎng)的安全防護(hù)在面對(duì)內(nèi)網(wǎng)安全威脅時(shí)，往往形同虛設(shè)，因?yàn)椤皟?nèi)憂”勝于“外患”，企業(yè)不僅需要堅(jiān)固的邊界安全，更需要穩(wěn)定的內(nèi)網(wǎng)安全。

那么，目前企業(yè)CIO們對(duì)于內(nèi)網(wǎng)安全的認(rèn)識(shí)是否到位，他們?cè)趦?nèi)網(wǎng)安全部署方面處于何種程度，還存在哪些有待完善之處，內(nèi)網(wǎng)安全在產(chǎn)品技術(shù)上又存在哪些發(fā)展趨勢(shì)。

過半企業(yè)重視內(nèi)網(wǎng)安全

網(wǎng)絡(luò)安全威脅層出不窮，網(wǎng)絡(luò)安全問題無處不在，但是，事情總有輕重緩急之分，哪個(gè)領(lǐng)域的安全問題是企業(yè)用戶當(dāng)前首需解決的呢？調(diào)查反饋顯示，“內(nèi)網(wǎng)安全”以54.9%的比例占據(jù)第一位置，其次，25.7%的用戶選擇外網(wǎng)安全，10.6%的用戶選擇了終端安全，8.8%的用戶選擇了Web安全。

顯然，企業(yè)網(wǎng)絡(luò)安全建設(shè)行進(jìn)之今，過半用戶已經(jīng)將“內(nèi)網(wǎng)安全”設(shè)定為首需解決的問題。同時(shí)，這也表明用戶對(duì)于內(nèi)網(wǎng)安全重要性的認(rèn)識(shí)已經(jīng)達(dá)到相當(dāng)程度。

北京互聯(lián)通網(wǎng)絡(luò)科技有限公司產(chǎn)品項(xiàng)目部顧問黃毅就明確表示，內(nèi)網(wǎng)的安全管理，很多時(shí)候比外網(wǎng)安全管理更加重要，因?yàn)槠髽I(yè)的機(jī)密信息泄漏、業(yè)務(wù)系統(tǒng)被如侵等，往往就是透過內(nèi)部的非授權(quán)訪問和木馬泛濫導(dǎo)致的，所以，保障內(nèi)網(wǎng)安全勢(shì)在必行。

作為內(nèi)網(wǎng)安全建設(shè)領(lǐng)域的專家，北京鼎普科技股份有限公司戰(zhàn)略市場(chǎng)部經(jīng)理萬俊告訴記者，一直以來，企業(yè)安全防御的理念更多局限在常規(guī)的網(wǎng)管級(jí)別（防火墻等）、網(wǎng)絡(luò)邊界（漏洞掃描、安全審計(jì)、防病毒、IDS）等方面，主要的安全設(shè)施大多集中于機(jī)房、網(wǎng)絡(luò)入口處。應(yīng)該說，在這些安全設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅得到顯著緩解。然而，隨著企業(yè)信息化的不斷深入，來自網(wǎng)絡(luò)內(nèi)部的安全威脅開始逐步凸顯出來，網(wǎng)絡(luò)的內(nèi)部安全問題大于外部問題漸漸成為業(yè)界共識(shí)。

對(duì)此，我們可以從企業(yè)用戶當(dāng)前對(duì)于安全細(xì)節(jié)問題的關(guān)注度得到印證。在“哪些安全細(xì)節(jié)問題是貴公司當(dāng)前比較重視的”這一問題中，83.2%的用戶選擇了病毒查殺，69.0%的用戶選擇了數(shù)據(jù)庫安全，46.9%的用戶選擇了網(wǎng)絡(luò)設(shè)備安全，31.9%的用戶選擇了補(bǔ)丁升級(jí)管理，31.0%的用戶選擇了網(wǎng)站運(yùn)維安全，27.4%的用戶選擇了身份認(rèn)證，22.1%的用戶選擇了信息加密。可以看出，不論是常見的病毒查殺，還是身份認(rèn)證或信息加密，用戶對(duì)此都持有相當(dāng)?shù)年P(guān)注。

“提高意識(shí)管理到位”是首要

為什么需要管理內(nèi)網(wǎng)安全，我們從企業(yè)員工的日常小事即可明白。如今，很多員工在上班閑暇時(shí)，偶爾聊聊QQ或MSN，要不上開心網(wǎng)玩“偷菜”或觀看在線電影，要不干脆打開BT電驢等下載軟件下載大容量文件。這些在大小企業(yè)中普遍存在的現(xiàn)象不僅影響了員工的工作效率，而且還會(huì)占用企業(yè)網(wǎng)絡(luò)流量，從而影響其他正常業(yè)務(wù)的開展。

事實(shí)當(dāng)然不僅如此，根據(jù)本次調(diào)查反饋，70.8%的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”，37.2%的企業(yè)存在“經(jīng)常有人改動(dòng)IP地址從而造成沖突”，62.8%的企業(yè)存在“經(jīng)常出現(xiàn)某臺(tái)電腦沒有打補(bǔ)丁或補(bǔ)丁不全”，31.0%的企業(yè)存在“經(jīng)常受到非法入侵”，48.7%的企業(yè)存在“不能完全限制內(nèi)網(wǎng)的設(shè)備與重要信息的保管”。

可以看出，近七成左右的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”和“經(jīng)常出現(xiàn)某臺(tái)電腦沒有打補(bǔ)丁或補(bǔ)丁不全”的現(xiàn)象，另外三項(xiàng)困擾也有近五成企業(yè)有所遭遇。

另外，根據(jù)調(diào)查反饋，目前企業(yè)網(wǎng)絡(luò)主要遭遇的安全威脅中，76.1%的用戶選擇木馬病毒，14.2%的用戶選擇蠕蟲，8.8%的用戶選擇電子郵件攻擊，0.9%的用戶選擇網(wǎng)絡(luò)釣魚/欺騙。可見，木馬泛濫的確到了人人喊打的地步。

需要指出的是，木馬病毒除了可以跟隨Web應(yīng)用從外網(wǎng)進(jìn)入內(nèi)網(wǎng)之外，還有一個(gè)重要的傳播渠道，即通過移動(dòng)U盤直接在內(nèi)網(wǎng)終端上蔓延開來。對(duì)此，在諸多安全廠商的內(nèi)網(wǎng)安全產(chǎn)品中，都或多或少存在防止移動(dòng)終端傳播病毒的功能。比如鼎普科技的安全U盤系統(tǒng)，它是通過智能判斷和權(quán)限訪問控制技術(shù)，使數(shù)據(jù)信息在U盤上實(shí)現(xiàn)存取控制，同時(shí)也具備對(duì)U盤進(jìn)行身份認(rèn)證、敏感信息外帶時(shí)防止非授權(quán)訪問和病毒竊取等功能。目前，金融、電信等行業(yè)用戶大多應(yīng)用了類似系統(tǒng)以杜絕終端隱患。

拋開行業(yè)特殊性，拋開單一內(nèi)網(wǎng)安全產(chǎn)品或功能，目前企業(yè)用戶針對(duì)網(wǎng)絡(luò)安全的部署現(xiàn)狀如何呢。根據(jù)調(diào)查反饋，96.5%的用戶選擇了殺毒軟件，78.8%的用戶選擇了防火墻，24.8%的用戶選擇了VPN（安全傳輸），20.4%的用戶選擇了身份認(rèn)證系統(tǒng)，27.4%的用戶選擇了內(nèi)網(wǎng)安全管理，8.8%的用戶選擇了IDS/IPS。

#p#

很明顯，雖然近八成企業(yè)都部署了殺毒軟件和防火墻，但這正好說明企業(yè)在網(wǎng)絡(luò)安全建設(shè)過程中，外網(wǎng)安全是優(yōu)先經(jīng)歷的階段，而接下來的重點(diǎn)則在內(nèi)網(wǎng)安全。

那么，內(nèi)網(wǎng)安全建設(shè)應(yīng)該從何處下手呢，首先，我們可以從“企業(yè)網(wǎng)絡(luò)中發(fā)生安全事件的原因通常包括有哪些”這一問題的調(diào)查結(jié)果看，有48.7%的用戶選擇“網(wǎng)絡(luò)或軟件配置錯(cuò)誤”，28.3%的用戶選擇“管理員弱口令”，62.8%的用戶選擇“系統(tǒng)漏洞”，74.3%的用戶選擇“員工安全意識(shí)淡薄、管理不到位”，15.0%的用戶選擇“DDoS攻擊”。

顯然，“員工安全意識(shí)淡薄、管理不到位”是企業(yè)發(fā)生網(wǎng)絡(luò)安全事件的最普遍原因，這與很多企業(yè)CIO的看法也是一致。

山西省大同市陽高縣畜牧服務(wù)中心飼料牧草管理站站長(zhǎng)杭軍表示，影響內(nèi)網(wǎng)安全管理的因素很多，其中，用戶的認(rèn)識(shí)水平、重視程度及使用習(xí)慣，尤其是普通用戶的安全意識(shí)和相關(guān)管理人員的管理水平，尤為重要。

同樣，在吉林吉恩鎳業(yè)股份有限公司信息中心主任周軍利看來，保障內(nèi)網(wǎng)安全，首先需要制訂科學(xué)完善的內(nèi)網(wǎng)安全管理制度，從要制度上規(guī)范員工上網(wǎng)行為，其次要加大制度的執(zhí)行和考核力度，讓員工自覺樹立信息安全意識(shí)，最后就是使用先進(jìn)的內(nèi)網(wǎng)安全管理產(chǎn)品，從技術(shù)上保障內(nèi)網(wǎng)安全。

從“偏安全”到“偏管理”

從技術(shù)角度講，內(nèi)網(wǎng)安全包含的內(nèi)容其實(shí)很多，比如如何發(fā)現(xiàn)客戶端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁，如何防范移動(dòng)存儲(chǔ)設(shè)備隨意介入內(nèi)網(wǎng)、如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián)，如何點(diǎn)對(duì)點(diǎn)控制異常客戶端的運(yùn)行，如何防范內(nèi)部涉密信息泄露等。

換句話說，與防范外網(wǎng)安全主要集中于邊界部署不同，保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多，相應(yīng)的產(chǎn)品部署也相對(duì)更加多樣。比如有的側(cè)重內(nèi)網(wǎng)終端防護(hù)，有的側(cè)重流量和上網(wǎng)行為控制，有的側(cè)重監(jiān)控審計(jì)，有的側(cè)重身份認(rèn)證或信息加密等。

萬俊介紹，過去幾年，人們對(duì)于內(nèi)網(wǎng)安全的管理主要偏向于防止信息泄密，因此，嚴(yán)格控制電腦終端的外設(shè)及各類端口成為各大廠商產(chǎn)品方案的重點(diǎn)訴求。

然而，隨著網(wǎng)絡(luò)安全形勢(shì)的不斷演變，企業(yè)用戶開始不僅滿足于對(duì)電腦終端的監(jiān)控，而是希望從管理的角度對(duì)內(nèi)網(wǎng)安全進(jìn)行防護(hù)。比如本文開頭所說的那家造船廠，通過內(nèi)網(wǎng)審計(jì)系統(tǒng)鎖定非法操作，再比如統(tǒng)計(jì)網(wǎng)絡(luò)流量、補(bǔ)丁分發(fā)以及系統(tǒng)軟硬件的升級(jí)管理等。

這在本次調(diào)查也有所反映。“在內(nèi)網(wǎng)安全管理方面，貴公司期望在哪個(gè)部分得到加強(qiáng)”，有51.3%的用戶選擇了“監(jiān)控審計(jì)”，26.5%的用戶選擇了“桌面管理”，14.2%的用戶選擇了“文檔加密”，8.0%的用戶選擇了“磁盤加密”。

事實(shí)上，為了滿足用戶需求，廠商的產(chǎn)品策略上也在隨之跟進(jìn)。“當(dāng)然，我們?cè)诋a(chǎn)品策略上也從最初單純的監(jiān)控審計(jì)，到現(xiàn)在把監(jiān)控審計(jì)和管理相結(jié)合，走向偏重管理的方向。”萬俊表示，“畢竟，內(nèi)網(wǎng)安全的重心已經(jīng)從偏重安全轉(zhuǎn)移到偏重管理，內(nèi)網(wǎng)的概念已不僅集中在涉密這塊，許多非涉密企業(yè)、非涉密業(yè)務(wù)也開始從管理的角度落實(shí)內(nèi)網(wǎng)安全。”

在實(shí)踐應(yīng)用中，偏重管理就是要求企業(yè)在運(yùn)用內(nèi)網(wǎng)功能的時(shí)候，不是為了在事后進(jìn)行補(bǔ)救，而是一方面可以做到預(yù)防危險(xiǎn)的發(fā)生，另一方面把公司一些理念、文化都能在計(jì)算機(jī)內(nèi)網(wǎng)監(jiān)控中得到體現(xiàn)。比如鼎普科技最新研發(fā)的“獵隼”網(wǎng)絡(luò)信息監(jiān)測(cè)系統(tǒng)，這個(gè)系統(tǒng)通過對(duì)所有網(wǎng)絡(luò)的內(nèi)容進(jìn)行解析，能夠及時(shí)阻止內(nèi)部的計(jì)算機(jī)通過互聯(lián)網(wǎng)發(fā)生的敏感信息泄露，快速定位追查源頭，防止違規(guī)事件發(fā)生。它還能對(duì)整個(gè)網(wǎng)絡(luò)及計(jì)算機(jī)用戶上網(wǎng)行為、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，幫助網(wǎng)絡(luò)高效、穩(wěn)定、安全的運(yùn)行，為信息化建設(shè)及管理提供有效的技術(shù)支撐。

打造立體防御體系

“未來一年，貴公司是否制定了進(jìn)一步加強(qiáng)內(nèi)網(wǎng)安全管理的計(jì)劃”，結(jié)果顯示，41.6%的企業(yè)表示有，32.7%的用戶表示暫時(shí)沒有，25.7%的用戶表示不確定。可見，有四成多的用戶打算加強(qiáng)內(nèi)網(wǎng)安全部署。

不過，涉及內(nèi)網(wǎng)安全的因素非常多，產(chǎn)品形式也比較多樣，在哪些環(huán)節(jié)如何部署就顯得非常重要。總體而言，內(nèi)網(wǎng)安全集中關(guān)注的對(duì)象包括引起信息安全威脅的內(nèi)網(wǎng)用戶、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全，因此，如何在企業(yè)內(nèi)網(wǎng)構(gòu)建一個(gè)有機(jī)統(tǒng)一的安全控制系統(tǒng)，實(shí)現(xiàn)立體式實(shí)時(shí)監(jiān)管，才是實(shí)施內(nèi)網(wǎng)安全部署的關(guān)鍵所在。

在萬俊看來，保障內(nèi)網(wǎng)安全不能僅靠各種功用安全產(chǎn)品的堆疊，而需要由單純的安全產(chǎn)品部署上升到如何實(shí)現(xiàn)可信、可控的立體防護(hù)體系。比如通過四級(jí)可信認(rèn)證機(jī)制，則可以讓系統(tǒng)既突出安全性，有注重管理性。

第一級(jí)認(rèn)證：基于硬件級(jí)別的安全防護(hù)和訪問控制。在最底層實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端進(jìn)行物理安全加固，例如使用鼎普計(jì)算機(jī)安全防護(hù)卡從BIOS級(jí)實(shí)現(xiàn)登錄認(rèn)證和全盤數(shù)據(jù)保護(hù)，一方面可以杜絕非法用戶從光盤啟動(dòng)繞過軟件防護(hù)竊取數(shù)據(jù)，同時(shí)還可令用戶不能隨意安裝操作系統(tǒng)、卸載已安裝的軟件系統(tǒng)改變現(xiàn)有安全環(huán)境。

第二級(jí)認(rèn)證：基于操作系統(tǒng)的身份認(rèn)證和文件保護(hù)。采用基于USB-KEY的雙因素認(rèn)證技術(shù)實(shí)現(xiàn)操作系統(tǒng)登錄的可信可控，即在計(jì)算機(jī)硬件啟動(dòng)之后，可以限制用戶權(quán)限，如是否可以進(jìn)一步登錄操作系統(tǒng)，以及可以進(jìn)行何種權(quán)限的文件操作，文件如何安全存放以及安全刪除。

第三級(jí)認(rèn)證：實(shí)現(xiàn)對(duì)程序安裝運(yùn)行的授權(quán)控制。對(duì)應(yīng)用程序進(jìn)行黑白名單控制，只有經(jīng)過管理員簽名授權(quán)的程序才能在單機(jī)終端上運(yùn)行使用，進(jìn)一步規(guī)范終端用戶的軟件程序使用行為，可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。

第四級(jí)認(rèn)證：實(shí)現(xiàn)可信計(jì)算機(jī)接入內(nèi)網(wǎng)的認(rèn)證管理。網(wǎng)絡(luò)邊界的安全可控是內(nèi)網(wǎng)安全的基本問題，通過基于802.1X認(rèn)證協(xié)議的可信終端認(rèn)證子系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入——只有經(jīng)過授權(quán)許可的可信、可控、健康計(jì)算機(jī)才能接入到內(nèi)網(wǎng)，并對(duì)入終端的運(yùn)行、健康狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，通過創(chuàng)新的技術(shù)理念打造出一個(gè)信得過、進(jìn)得來、控得住的健康可信內(nèi)部網(wǎng)絡(luò)。如果不健康，防護(hù)系統(tǒng)會(huì)采取進(jìn)一步措施，如報(bào)警、斷網(wǎng)等。

在建立以上四級(jí)可信認(rèn)證機(jī)制的縱深防御體系基礎(chǔ)上，企業(yè)用戶還要實(shí)現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護(hù)、安全審計(jì)、實(shí)時(shí)監(jiān)控等防護(hù)要求，如此才能達(dá)到扎實(shí)有效的安全效果。

【編輯推薦】