內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道
本文簡(jiǎn)要分析了企業(yè)內(nèi)部網(wǎng)絡(luò)所面臨的主要分析,闡述了安全管理人員針對(duì)不同威脅的主要技術(shù)應(yīng)對(duì)措施。進(jìn)一步介紹了業(yè)界各種技術(shù)措施的現(xiàn)狀,并提出了未來(lái)可能的發(fā)展趨勢(shì)。
內(nèi)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的提出
網(wǎng)絡(luò)安全對(duì)于絕大多數(shù)人而言指的都是互聯(lián)網(wǎng)安全(Internet Security),但是對(duì)于組織的安全主管而言卻不盡然。他們的使命是負(fù)責(zé)保護(hù)企業(yè)的數(shù)字資產(chǎn)-信息和基礎(chǔ)架構(gòu),對(duì)于這些保護(hù)對(duì)象而言,其外部都可能是風(fēng)險(xiǎn)源,而這里的外部風(fēng)險(xiǎn)源則既有可能是互聯(lián)網(wǎng)Internet,也有可能是內(nèi)部網(wǎng)絡(luò)Intranet。內(nèi)部網(wǎng)絡(luò)并不等于可信網(wǎng)絡(luò)。對(duì)于組織而言,來(lái)自內(nèi)部的威脅有可能遠(yuǎn)大于外部的威脅。這使得有必要對(duì)于內(nèi)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行針對(duì)性的分析,并找出解決之道。
內(nèi)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
分析的視角
網(wǎng)絡(luò)安全是一個(gè)非常復(fù)雜而龐大的研究對(duì)象,不同的研究視角可能會(huì)"看到"不一樣的安全風(fēng)險(xiǎn)。例如針對(duì)單個(gè)數(shù)字資產(chǎn),最常見(jiàn)的視角是關(guān)注其完整性、機(jī)密性和可用性。對(duì)于組織的安全架構(gòu),可以從物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層、用戶層這樣的視角進(jìn)行分析。本文出于簡(jiǎn)化的目的,將內(nèi)部網(wǎng)絡(luò)的安全按其參與者進(jìn)行分析,包括網(wǎng)絡(luò)、通信方和信息。本文分析的模型是位于不同網(wǎng)絡(luò)的通信方,在其信息交換的過(guò)程中所面臨的安全風(fēng)險(xiǎn)。
按照這一模型,需要關(guān)注的風(fēng)險(xiǎn)主要有:
◆網(wǎng)絡(luò)
假設(shè)組織對(duì)于其內(nèi)部網(wǎng)絡(luò)進(jìn)行了良好的規(guī)劃和管理,則來(lái)自不同的網(wǎng)絡(luò)意味著處于不同的內(nèi)部部門和/或不同的安全等級(jí)。這里主要的風(fēng)險(xiǎn)有:不同的部門可能不應(yīng)跨網(wǎng)絡(luò)訪問(wèn)資源;不同安全等級(jí)網(wǎng)絡(luò) 的通信可能包含潛在的攻擊。
◆通信方
在參與通信的雙方中,需要保護(hù)的是服務(wù)器一方的安全。由于服務(wù)器往往采取了必要的安全保障措施,客戶端那一方的安全性則成為木桶理論中可能的短板。
◆信息交換
通信的目的是交換信息,對(duì)于通信方之外的安全管理員而言,主要關(guān)注交換的內(nèi)容和通信的方式中可能存在的安全風(fēng)險(xiǎn)。主要的風(fēng)險(xiǎn)有:不符合企業(yè)安全策略的通信內(nèi)容(主要指文件);不符合企業(yè)安全策略的通信方式(不應(yīng)通信或帶寬擠占)。#p#
其他的風(fēng)險(xiǎn)
當(dāng)然,真實(shí)世界遠(yuǎn)比理論復(fù)雜。本文的視角選取并不能覆蓋組織中內(nèi)部網(wǎng)絡(luò)的所有風(fēng)險(xiǎn)。其他可能存在的風(fēng)險(xiǎn)有:
◆機(jī)密性
對(duì)于某些組織而言,在內(nèi)部網(wǎng)絡(luò)中仍然要保證高度的機(jī)密性要求。這可能意味著對(duì)于數(shù)據(jù)的整個(gè)生命周期過(guò)程中,都需要考慮各階段安全風(fēng)險(xiǎn)和防護(hù)手段。這部分內(nèi)容一般不列入網(wǎng)絡(luò)安全的范疇,本文并未展開討論。
◆完整性
對(duì)于組織的某些特定信息資產(chǎn),保障其完整性至關(guān)重要。對(duì)于該信息資產(chǎn)的存儲(chǔ)、修改都需要考慮可能的安全風(fēng)險(xiǎn),并通過(guò)技術(shù)手段進(jìn)行保障。這部分內(nèi)容往往通過(guò)安全設(shè)計(jì)和數(shù)據(jù)備份實(shí)現(xiàn),不是傳統(tǒng)的網(wǎng)絡(luò)安全范疇。本文并未展開討論。
◆可用性
網(wǎng)絡(luò)安全主要考慮的是帶寬擠占帶來(lái)的可用性風(fēng)險(xiǎn),本文并未對(duì)信息資產(chǎn)的可用性進(jìn)行全面討論。
◆風(fēng)險(xiǎn)的定義
各組織對(duì)于風(fēng)險(xiǎn)的接受程度并不相同,這也導(dǎo)致了本文討論的風(fēng)險(xiǎn)可能對(duì)于部分組織并不完整。
內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道
按照前文的分析結(jié)果,內(nèi)網(wǎng)網(wǎng)絡(luò)的安全主要關(guān)注的對(duì)象應(yīng)該是網(wǎng)絡(luò)、通信方和信息交換相關(guān)的安全風(fēng)險(xiǎn)。對(duì)于這三個(gè)對(duì)象,安全管理員可以采取相應(yīng)的技術(shù)緩解風(fēng)險(xiǎn)。
網(wǎng)絡(luò)
合理劃分網(wǎng)絡(luò)
對(duì)于組織而言,傳統(tǒng)的網(wǎng)絡(luò)劃分往往是由網(wǎng)絡(luò)管理部進(jìn)行的。組織的安全管理員需要網(wǎng)絡(luò)劃分進(jìn)行審閱。網(wǎng)絡(luò)劃分的依據(jù)除了根據(jù)地理位置、部門之外,也應(yīng)考慮其包含信息資產(chǎn)安全等級(jí),安全管理員關(guān)注網(wǎng)絡(luò)劃分的目的在于更容易實(shí)現(xiàn)按安全等級(jí)進(jìn)行保護(hù)。應(yīng)盡可能避免安全等級(jí)相差較大的信息資產(chǎn)劃分在同一網(wǎng)絡(luò)中。
設(shè)置邊界檢查點(diǎn)
對(duì)于來(lái)自不同的網(wǎng)絡(luò)的通信應(yīng)在其邊界處設(shè)置檢查點(diǎn),過(guò)濾其中可能的安全威脅,包括未授權(quán)的網(wǎng)絡(luò)訪問(wèn)和潛在的攻擊。
技術(shù)實(shí)現(xiàn)
防火墻(Firewall)
防火墻是最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù),也是相對(duì)簡(jiǎn)單的一種。防火墻作為網(wǎng)絡(luò)邊界檢查點(diǎn)的主要作用是實(shí)現(xiàn)訪問(wèn)控制。#p#
防火墻作為一種安全技術(shù),主要優(yōu)勢(shì)包括:
◆性能:目前的防火墻已經(jīng)有100G的產(chǎn)品。
◆工作在網(wǎng)絡(luò)層:可實(shí)現(xiàn)網(wǎng)絡(luò)地址翻譯甚至路由等功能。
◆配置容易:防火墻配置較為容易。
但是在實(shí)踐中,防火墻并非是內(nèi)網(wǎng)邊界檢查點(diǎn)最常用的設(shè)備,這主要是因?yàn)橐韵略颍?/p>
◆內(nèi)網(wǎng)往往并沒(méi)有極高的網(wǎng)絡(luò)吞吐量性能要求
◆防火墻對(duì)于通過(guò)ACL規(guī)則之后的數(shù)據(jù)包檢查并不擅長(zhǎng),對(duì)于復(fù)雜的攻擊無(wú)法防御
◆添加工作在網(wǎng)絡(luò)層的防火墻需要更改內(nèi)部網(wǎng)絡(luò)拓?fù)?/p>
◆防火墻沒(méi)有失效打開(Fail Open)功能。設(shè)備失效會(huì)影響網(wǎng)絡(luò)可用性。
當(dāng)然,近年來(lái)防火墻技術(shù)也在發(fā)展。最主要的方向是解決其對(duì)于數(shù)據(jù)包的檢查功能,使防火墻能夠理解應(yīng)用層的通信,成為基于應(yīng)用的防火墻(Application Firewall),國(guó)際上主要的應(yīng)用防火墻廠商包括McAfee公司(收購(gòu)Secure Computing獲得技術(shù))和PAN,還有一些專注于Web應(yīng)用的公司,如Imperva和國(guó)內(nèi)的綠盟等。這些應(yīng)用防火墻很大程度上改善了應(yīng)用層防護(hù)能力,設(shè)置通過(guò)協(xié)議代理技術(shù)做到了非常精細(xì)的顆粒度,當(dāng)然也存在著配置復(fù)雜,對(duì)管理員要求高,性能較低等需要進(jìn)一步克服的技術(shù)障礙。
入侵防護(hù)系統(tǒng)(Intrusion Prevention System)
入侵防護(hù)系統(tǒng) 作為入侵檢測(cè)系統(tǒng)的升級(jí)技術(shù),在近年廣泛用于組織內(nèi)部網(wǎng)絡(luò)的邊界防護(hù)。主要技術(shù)優(yōu)勢(shì)包括:
◆強(qiáng)大的數(shù)據(jù)包深入檢查(Deep Packet Inspection)功能,可以檢測(cè)各種應(yīng)用層協(xié)議中夾帶的攻擊(不局限于Web等)
◆配置容易,用戶可基于默認(rèn)的策略進(jìn)行設(shè)置。自動(dòng)阻斷攻擊。
◆透明接入網(wǎng)絡(luò),無(wú)需更改網(wǎng)絡(luò)拓?fù)?/p>
◆帶有失效打開功能。如果設(shè)備失效會(huì)自動(dòng)旁路,不致影響網(wǎng)絡(luò)的可用性
入侵防護(hù)系統(tǒng)也存在一些局限,主要包括:
◆全面部署成本較高。一般而言,同樣吞吐性能的防火墻和入侵防護(hù)系統(tǒng)相比,后者購(gòu)置成本遠(yuǎn)高于前者。
◆對(duì)入侵防護(hù)系統(tǒng)的評(píng)價(jià)較為復(fù)雜,對(duì)于普通用戶難以評(píng)估不同入侵防護(hù)系統(tǒng)的防護(hù)能力。
這些局限導(dǎo)致了目前入侵防護(hù)系統(tǒng)作為最被安全技術(shù)趨勢(shì)研究機(jī)構(gòu)看好的內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品,并未得到與其名聲相匹配的普及程度。
通信方
即便是來(lái)自可信網(wǎng)絡(luò),如果參與通信的一方自身的系統(tǒng)安全無(wú)法保障,也將會(huì)影響對(duì)端的安全。因此應(yīng)對(duì)于通信方的安全狀況需進(jìn)行必要的檢查,使其滿足組織預(yù)定義的安全基準(zhǔn),才許可其參與通信。
技術(shù)實(shí)現(xiàn)
網(wǎng)絡(luò)準(zhǔn)入控制(Network Access Control)
網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可以實(shí)現(xiàn)確保接入網(wǎng)絡(luò)的客戶端安全狀況符合要求。通過(guò)在桌面機(jī)上安裝客戶端軟件,組織可以避免未達(dá)安全要求的客戶端接入內(nèi)部網(wǎng)絡(luò),造成潛在的安全風(fēng)險(xiǎn)。這一技術(shù)的主要優(yōu)點(diǎn)包括:
◆可基于客戶端的身份控制準(zhǔn)入
◆可基于客戶端的安全狀況控制準(zhǔn)入
◆方便實(shí)現(xiàn)公司的安全策略。#p#
網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)也存在一些實(shí)現(xiàn)的難點(diǎn),主要包括:
◆對(duì)于網(wǎng)絡(luò)環(huán)境復(fù)雜的組織,技術(shù)方案設(shè)計(jì)較難
◆客戶端軟件會(huì)一定程度上影響客戶端性能
◆對(duì)于規(guī)模較大的組織,部署工作是一個(gè)挑戰(zhàn)
雖然網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有著這些實(shí)現(xiàn)困難,但是目前還沒(méi)有其他更好的技術(shù)實(shí)現(xiàn)對(duì)于客戶端的安全控制。尤其是對(duì)于大規(guī)模的組織而言,通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)來(lái)保障網(wǎng)絡(luò)安全,仍是一種極為常見(jiàn)的選擇 。
信息的流動(dòng)
組織的網(wǎng)絡(luò)安全管理人員需要關(guān)注通信方之間的信息流動(dòng)。包括應(yīng)用層的相關(guān)信息(哪些文件,哪些協(xié)議)和網(wǎng)絡(luò)層的相關(guān)信息(流量模型,異常流量),并根據(jù)這些信息結(jié)合組織的安全策略,判斷網(wǎng)絡(luò)中信息流動(dòng)的正常與否。
信息
網(wǎng)絡(luò)安全管理人員可能關(guān)注的信息包括:
◆當(dāng)前傳輸次數(shù)最多的文件
◆當(dāng)前主要訪問(wèn)的URL地址
◆最忙碌的服務(wù)器
◆各種協(xié)議所占網(wǎng)絡(luò)通信的百分比
◆異常流量信息
◆拒絕服務(wù)攻擊信息
◆蠕蟲爆發(fā)信息
技術(shù)實(shí)現(xiàn)
網(wǎng)絡(luò)行為分析(Network Behavior Analysis)
網(wǎng)絡(luò)行為分析是一種基于"流(flow)"的分析技術(shù),通過(guò)對(duì)于Net flow 信息的采集,可以呈現(xiàn)出組織網(wǎng)絡(luò)中的各種流量信息。網(wǎng)絡(luò)行為分析技術(shù)的主要優(yōu)點(diǎn)有:
◆通過(guò)對(duì)流信息的理解和整理,可以顯示網(wǎng)絡(luò)的流量異常
◆通過(guò)建立網(wǎng)絡(luò)訪問(wèn)模型,可以顯示網(wǎng)絡(luò)濫用
◆顯示網(wǎng)絡(luò)協(xié)議百分比等信息,幫助分析網(wǎng)絡(luò)帶寬使用情況
◆可顯示文件、URL等應(yīng)用層信息
◆離線部署
網(wǎng)絡(luò)行為分析技術(shù)多用于規(guī)模較大的組織,它可為網(wǎng)絡(luò)管理員和安全管理員提供有積極價(jià)值的流量信息。它的主要限制在于需要網(wǎng)絡(luò)設(shè)備(路由器和交換機(jī)等)支持流信息的導(dǎo)出,并非所有的網(wǎng)絡(luò)設(shè)備都支持這一功能。#p#
內(nèi)網(wǎng)網(wǎng)絡(luò)安全的管理挑戰(zhàn)
對(duì)于組織而言,確定安全風(fēng)險(xiǎn)和部署安全產(chǎn)品之后,最艱巨的挑戰(zhàn)來(lái)自如何管理這些安全產(chǎn)品。攻擊或違反策略的行為往往會(huì)被多個(gè)不同的安全產(chǎn)品監(jiān)測(cè)到,這就需要安全產(chǎn)品之間的整合;同樣的,出于管理的需要,安全產(chǎn)品也應(yīng)與組織的IT基礎(chǔ)架構(gòu)和流程融合。
整合
內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品
本文介紹的用于內(nèi)網(wǎng)網(wǎng)絡(luò)安全的產(chǎn)品之間都將需要協(xié)同工作。
防火墻和網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)這兩種產(chǎn)品都承擔(dān)著網(wǎng)間檢查點(diǎn)的重任,未來(lái)的趨勢(shì)必然是整合為單一的產(chǎn)品。最重要的功能將是檢測(cè)和阻斷攻擊,以及應(yīng)用層協(xié)議的細(xì)顆粒控制。
網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)入侵防護(hù)兩者相似而并不相同,前者看到的是Net flow,后者檢查的是數(shù)據(jù)包 。前者用于宏觀分析,后者用于微觀分析。前者為離線設(shè)備,后者為在線設(shè)備。前者目的在于分析,后者的作用是防護(hù)。但是兩者卻又相得益彰,互為補(bǔ)充。以邁克菲為代表的廠商已經(jīng)著手整合這兩種產(chǎn)品,通過(guò)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供Net flow v9信息給網(wǎng)絡(luò)行為分析。使得兩者之間可以共享網(wǎng)絡(luò)安全信息。
網(wǎng)絡(luò)準(zhǔn)入控制和網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的整合也非常必要。某種意義上,前者保障的是安全的系統(tǒng)準(zhǔn)入,后者保障的是安全的數(shù)據(jù)包準(zhǔn)入,二者的結(jié)合方可保證在系統(tǒng)層面和網(wǎng)絡(luò)層面的安全。對(duì)于較小規(guī)模的組織,可以選擇二合一的產(chǎn)品 。對(duì)于較大規(guī)模的組織,選擇單獨(dú)的產(chǎn)品,最好可通過(guò)統(tǒng)一管理平臺(tái)查看相關(guān)信息。
融合
和管理軟件協(xié)作
網(wǎng)絡(luò)安全產(chǎn)品作為一種網(wǎng)絡(luò)設(shè)備,需要與網(wǎng)管軟件協(xié)同工作。向網(wǎng)管軟件報(bào)告自身的重要系統(tǒng)事件,如系統(tǒng)錯(cuò)誤、資源耗盡告警等等。兩者的協(xié)作多通過(guò)標(biāo)準(zhǔn)的SNMP協(xié)議實(shí)現(xiàn),網(wǎng)絡(luò)安全產(chǎn)品應(yīng)設(shè)計(jì)為提供必要的系統(tǒng)狀態(tài)信息用于通知網(wǎng)管軟件其狀態(tài)。
有的組織也需要網(wǎng)絡(luò)安全產(chǎn)品和流程軟件協(xié)同工作,在安全產(chǎn)品的管理平臺(tái)上可定義工單和對(duì)象,并可配置事件觸發(fā)工單指派給某一對(duì)象,實(shí)現(xiàn)工單管理的全過(guò)程。
信息融合
對(duì)于組織而言,各種安全產(chǎn)品會(huì)產(chǎn)生大量的安全日志,組織的真實(shí)安全狀況就存在這些日志中。目前常見(jiàn)的方式是通過(guò)安全事件管理系統(tǒng)集中各不同安全產(chǎn)品的日志,采用數(shù)據(jù)挖掘技術(shù)分析這些事件的相關(guān)性,從中找出應(yīng)關(guān)心的安全事件。日志集中相對(duì)而言容易實(shí)現(xiàn),而日志的相關(guān)性分析仍沒(méi)有突破性的技術(shù) 。
近年來(lái),很多安全廠商在產(chǎn)品中集成了更為強(qiáng)大的分析系統(tǒng),通過(guò)已建立的遍布全球的各式各樣的傳感器和多年的信息安全知識(shí)積累。可為用戶提供更為準(zhǔn)確更具參考意義的安全事件信息。防毒軟件的云安全技術(shù)是這種趨勢(shì)的成功示例,邁克菲公司更進(jìn)一步在其網(wǎng)絡(luò)安全產(chǎn)品中集成了全球智能威脅感知系統(tǒng),可反映攻擊源的地理位置,安全聲譽(yù)信息等,使得安全管理員能夠更容易判定和處理安全事件。
總結(jié)
內(nèi)網(wǎng)網(wǎng)絡(luò)安全需要管理者對(duì)其網(wǎng)絡(luò)進(jìn)行全面準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估,并根據(jù)評(píng)估結(jié)果選擇合適的安全產(chǎn)品以降低風(fēng)險(xiǎn)。在選擇產(chǎn)品時(shí),除主要功能外,也需要注意該產(chǎn)品與其它產(chǎn)品的整合能力以及信息融合能力。
【編輯推薦】
