如何解決內網的安全問題

  以下是OMG小編為大家收集整理的文章,希望對大家有所幫助。

  在真實的世界裡,確實有很多因技術因素而造成的內網安全困局,其中最重要的就是混雜平臺問題。即使在一些小企業當中,也可能存在著超過一種以上的作業系統環境。比如那些需要Windows作業系統處理日常辦公業務,同時又需要iMac進行設計工作的廣告公司。而一些組織雖然只使用一個廠商提供的作業系統,由於計算機硬體配置參差不齊,很難保證使用相同版本的作業系統。

  就我們所見的一個酒店客戶來說,Novell的伺服器系統是經常用來支撐酒店業務軟體執行的,而相匹配的終端甚至包括了遺留的DOS系統。通常檔案服務和Web服務的控制要由windows 2003 Server或更高版本的伺服器作業系統來完成,而辦公區域則混合著從windows 98到Windows XP等不同版本的桌面作業系統。

  最直接的一點,由於混雜的作業系統種類,該酒店的管理員在處理防病毒、補丁更新、資料備份乃至各種內部應用服務的時候,都需要為這種情況付出大量的額外努力。

  而在裝置管理和跟蹤的過程中,也經常會出現一些死角,導致偶有未被登入在案的計算機節點在網路中工作而卻茫然不知。可以說,投入到資訊保安的成本有很大一部分都因為混雜平臺問題而被浪費掉了,這導致的最直接結果就是沒有更多的資源來真正提升內網安全防護的質量,從而形成了一個內網安全泥潭。

  在看到羅列與此的這些問題時,安全管理員一定會有似曾相識的感覺。這個列表中的問題都相當常見而且流行,可以作為內網安全的優先關注點,也可以作為在選擇內網安全工具和技術解決方案時的對映目標,最重要的是我們需要正確地認識使用哪些技術可以有效地處理這些問題。

  目前,國內也有很多CIO選擇TIPS安全防護平臺,對內網進行有效管理。通過建立四級的防護體系:首先就是以硬體級防護為基礎,建立可信可控的資訊系統;其次,建立四級可信認證機制的縱深防禦體系;接著是實現身份鑑別、介質管理、資料保護、安全審計、實時監控等一系列基本防護要求;最後,安全性、管理性並重,系統既突出安全性,更注重可管理性

  系統安全補丁自動分發

  很多管理員都知道微軟提供了應用於企業內部網路的產品補丁更新解決方案,但是卻不見得都部署和使用過這種方式的更新,畢竟接入網際網路下載安全更新實在是太方便了。然而,在現實的應用環境中,並不是所有時候都可以簡單地讓所有終端計算機都不受控制地接入網際網路。

  Windows伺服器更新服務***WSUS***是相對常用的補丁更新工具,運行於伺服器作業系統上,能夠向各種版本的、包含更新代理機制的桌面Windows作業系統傳遞和部署更新檔案。而對於需要重啟控制、計劃安排、更新清單和更豐富管理介面的使用者來說,付費的系統管理伺服器***SMS***將是一個不錯的選擇。

  不過,在遇到混雜平臺環境時,微軟的產品就無法滿足需要了,企業可能需要求助於CA的Unicenter這樣的第三方商業產品來管理各種不同作業系統的補丁更新。對於Linux等非微軟作業系統來說,對面向企業應用環境的更新分發工具的需要似乎還沒有那麼迫切,不過隨著這些作業系統使用比例的提高,也是該重視起來的時候了。

  加密電子文件同時不影響正常使用

  對於資料安全來說,根據資料所對應的安全等級進行適當的加密保護是最基本的手段之一。就那些相對公開化的業務應用來說,基於公鑰加密和證書認證等手段的體系是相對比較成熟和流行的,而PKI則是其中最典型的代表。一般常用的CA體系架構相對簡便,也具有絕大多數使用者所需的功能。

  從儲存資料的各個計算機節點來說,現在有大量免費的加密工具和資料擦除工具可用。不過其提供的保密級別往往較低,而且在作業系統層以及應用層進行加密,往往會衍生出其他的安全問題。對於密級較高的電子文件,應該儘可能應用BIOS防護卡等硬體裝置,限制資料的存取,並通過晶片級加密保護硬碟上的資料。

  另外,目前基於USB介面的儲存裝置比如U盤、行動硬碟等,也可以通過智慧判斷和許可權控制功能,來對其中的資料進行更好的安全管理。在更加高階的領域,使用者可能需要對資料的流向採取非常嚴格的控制,甚至規定必須使用簽收燒錄光碟的方式來交換某些資料。對於這類問題國內廠商已經提出了不少有效的解決方案。

  例如鼎普科技的資料單向匯入管理系統就相當具有創新意義,這個系統利用了光纖單向傳輸的特性,在物理層保證資料的流向正確。在使用過程中,鼎普科技的裝置一端連入儲存涉密資料的計算機終端,一端連入U盤等資料來源,即可實現資料的安全存入,而不會出現涉密資料被非法洩漏的問題。從中可以看出,作為以文件加密作為內網安全起點的國內使用者來說,也許確實只有國內的廠商才真正瞭解國內使用者的需求。

  防止擴散的無線訊號洩漏組織的有價值資料

  以Wi-Fi為代表的無線區域網技術似乎已經成為便利性與安全性相互制約的一個經典示例了。儘管Wi-Fi本身的安全性一直相對脆弱,但是在內部網路中提供無線接入能力仍舊成為越來越多企業的選擇。對於Wi-Fi無線接入點的管理應該具有相對較高的安全強度和級別,至少不能將其與其它普通的網路節點等同視之。

  應用WPA加密無線資料通訊是必要的,儘管只要攻擊者有足夠的耐心,還是可能從嗅探到的資料中破解金鑰,但是其難度相對於WEP等舊有加密方式來說無疑要困難得多。如果需要更高的安全級別,可以考慮在無線鏈路上增加令牌驗證和訪問控制等手段,以提供較強的安全控管能力。

  對各種移動終端進行接入控制

  對於膝上型電腦以及越來越多的智慧手機終端,企業所能做的安全管理似乎總顯得有些力不從心。除了對無線區域網接入進行控制之外,這類終端可能引起的問題還有很多。藍芽作為極為通用和具有時尚意味的連線方式,安全性卻存在一些脆弱點。

  為了更好地和其它藍芽裝置進行連線,藍芽往往被設定成相對較低的安全認證等級,而事實上很多裝置在出廠時預設就被設為最低的級別,比如大部分的手機產品都是如此。由於僅在鏈路層提供有限的安全控制,所以藍芽安全更多地依賴於上層協議甚至應用層來進行安全管理。

  想真正實現藍芽安全應該強制性地在藍芽傳送資料時結合其它安全驗證措施。雖然這通常很難處理,但不應該被忽視。對於手持裝置來說,WAP站點訪問是提供業務處理和辦公資訊獲取的通行方式之一。WTLS協議雖然出於效能考慮已經做了一些簡化,但是仍是一種具有較高安全性的解決方案。

  另外一個通行的原則是儘量將WAP閘道器置於防火牆保護之後,因為資料在到達WAP閘道器後往往會被解密而失去了WTLS的保護,在其流出WAP閘道器之後往往容易被俘獲。