內網安全技術淺析

張哲宇 林逸祥

[摘要]對當前內網安全技術進行闡述,并介紹應對內網安全的幾個策略,主要有網絡準入控制及防水墻技術。通過大量的調研和資料收集工作,全面地闡述內網安全技術的背景及其含義,針對當前內網安全技術的主要問題分析其相關處理方法,綜述內網安全相關技術及其策略,并通過對內網安全的相關分析,探討內網安全技術的未來方向及其未來可能發展的趨勢和技術。

[關鍵詞]內網安全技術策略網絡準入控制防水墻

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1120071-02

一、內網安全技術的提出

近年來,內網安全事件頻頻發生。這些內網安全事件對政府、企業造成的損失和影響是十分巨大的。為了防止企業或組織內部重要或敏感數據的丟失,很多用戶購買了昂貴的網絡防護設備,甚至安裝了多套防病毒軟件,但是關鍵信息泄露問題還是沒有得到很好的解決。造成以上問題的主要原因是,以往人們只重視外網對內網的威脅,而忽視了內部網絡的自身的問題。相比之下,內部人員更容易通過網絡或移動存儲設備把敏感的信息泄露出去,人為原因造成的損失往往是不可估計,對企業或組織的破壞是十分巨大的。針對這一不可忽視的問題,國內外廠商紛紛提出了自己的內網安全標準,內網信息安全越來越多受到關注。

二、內網安全威脅

(一)嚴重的信息外泄

隨著先進的網絡及應用技術的發展,數據和設備的共享性得到了很大的提高。這給企業的管理和工作帶來效率的同時,也產生了嚴重的信息外泄問題。而據統計,大部份機密、敏感數據都是被內部員工通過合法或非法手段,在企業內部網絡系統的桌面終端計算機上通過各種傳輸、復制途徑泄露出去的。

(二)病毒、蠕蟲的入侵

目前,對病毒、蠕蟲的入侵防范仍停留在網絡邊緣階段。大部分企業開始在網絡邊緣部署放病毒軟件,防火墻,防病毒網關,IDS等安全設備,但是這幾種設備均是基于對已知攻擊手段的防范,無法有效防范未知攻擊手段。其實病毒、蠕蟲的入侵威脅主要來自于內部網絡用戶的各種危險應用。

三、內網安全防范措施

(一)安全意識是根源

長期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識薄弱,無意中觸發了黑客設下的機關、打開了帶有惡意攻擊企圖的郵件或網頁造成的。針對這種情況,首要解決的問題是提高網絡使用人員的安全意識,定期進行相關的網絡安全知識的培訓,全面提高網絡使用人員的安全意識,是提高內網安全性的有效手段。

(二)策略是關鍵

內部安全策略是一種指導方法,通常都以一種規范、制度、流程等體現出來,用以指導我們快速、合理、全面的建設內部安全系統,同時我們所規劃和實現的內部安全策略本身又是可擴展的,隨著時間的不斷推移和內部安全需求的進一步變化,可以根據調整單位的內部安全策略來更好的指導內部安全系統的建設。

(三)技術是保障

技術是管理的一個輔助工具。一個工具怎么用,能不能用好,最終的落腳點還是要看管理。不同的企業用同樣的產品,產生的結果是不一樣的。當然,有了有效的管理策略,沒有技術的保障實施,一切也都是紙上談兵。總之,只有擁有一批高素質的網絡使用人員,優秀的管理,再加上技術的輔助,才能保證內網的安全。

四、內網安全相關技術

(一)網絡準入控制技術介紹

1.網絡準入控制定義

思科網絡準入控制(Network Access control,NAC)是一項由思科發起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害,最早于2003年11月提出。借助NAC,客戶可以只允許合法的、值得信任的端點設備(例如PC、服務器、PDA)接入網絡,而不允許其它設備接入。幾個行業分析機構對網絡接入控制(NAC)技術進行了思考,每家都使用了不同的術語集和差異很小的網絡準入控制定義。例如,Forrester使用“網絡隔離(Network Quarantine)”,而Meta用“端點訪問控制(Endpoint Access Control)”。

2.網絡準入控制的設計理念

撇開復雜的商業利益爭奪,各廠商推出的網絡準入控制技術雖然稱呼各有差異,但核心設計理念是基本相同的,具體來講,就是在網絡節點接入安全網絡時,需要對待接入的系統安全狀況以及操作該節點系統用戶的身份進行充分的評估、認證,以確定該系統是否符合網絡的內部安全策略,來決定該網絡節點系統是否接入到安全網絡中,還是拒絕接入或安全升級后接入。顯然,網絡準入的機制不僅實現了安全網絡“主動”的動態擴展,而且能夠有效降低不可信終端系統接入網絡所帶來的潛在安全風險。

3.網絡準入控制技術的特點

(1)可評估使用所有訪問方法,包括LAN、無線、遠程訪問和WAN的所有終端,來進行全面控制;(2)終端可視性和控制確保可管理的、不可管理的、訪客和惡意設備均符合企業安全策略;(3)終端控制的全程支持可自動執行終端的評估、驗證、授權和修補流程;(4)將集中策略管理、智能網絡設備及網絡服務與多家著名防病毒、安全和管理供應商提供的解決方案結合在一起,以提供精確的準入控制管理;(5)基于標準的、靈活的API允許多個第三方參與整體解決方案,從而支持豐富的合作伙伴和技術生態系統。

4.網絡準入控制技術所控制和解決的問題

(1)控制哪些人能接入LAN并限制他們能夠訪問的資源;(2)限制不值得信賴或者未知的用戶,例如承包商、技術人員、遠程用戶或者離線員工等;(3)限制能夠訪問重要財務記錄或者客戶記錄的人員;(4)根據職責、時間、地點以及應用程序來控制對數據的訪問;(5)將用戶分級以符合規定要求;(6)保護系統免受已知或者未知惡意軟件的攻擊;(7)簡化事件反應;(8)保護關鍵應用服務(如VoIP)。

(二)防水墻技術

1.防水墻定義。“防水墻”(WaterWall)是相對于“防火墻”(FireWall)的一個概念,它是用來加強信息系統內部安全的重要工具,主要為防止內部信息向外擴散。具體說來,防水墻技術是一個以內網安全理論為基礎,以數據安全為核心,利用密碼學技術、PKI技術、操作系統核心技術、訪問控制技術、審計跟蹤技術等技術手段,對涉密信息、重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程實施安全限制保護,最大限度地防止敏感信息外泄的內網數據保護技術。

2.防水墻系統設計理念。防水墻系統的設計理念是保護用戶敏感信息不被非法外傳、防止泄密事件發生,從而保證內部安全。它主要從以下五個方面來保障內網安全:

(1)失泄密防護;(2)文件安全服務;(3)運行狀況的檢測;(4)系統資源管理;(5)擴展身份認證。

在五個方面的大前提下,開發系統成為當代防水墻系統技術研究開發的主流設計理念。

(三)防水墻技術分析

防水墻作為加強信息系統內部安全的重要工具,它處于內部網絡中,是一個內網監控系統,其著重點是用技術手段強化內部信息的安全管理,利用密碼、訪問控制和審計跟蹤等技術手段對公司信息實施安全保護,使之不被非法或違規的窺探、外傳、破壞、拷貝、刪除,從本質上阻止了機密信息泄漏事件的發生。

(四)防水墻系統的特點

1.管理桌面計算機系統的規模大、效率高、策略周全,將單位全部的個人桌面系統納人管理范疇,解決了桌面系統的安全問題。

2.針對網絡通信、外設接日等可能成為失泄密途徑,以周全的內部系統信息泄露保護體系,結合網絡內部現有的其它安全系統,可構成強大、完備的內部系統信息泄露保護體系。

3.處理計算機的硬件配置和軟件安裝的系統資源,動態獲取、更新和審計。杜絕了未經批準就安裝和運行任何一款硬件設備和軟件系統。

4.對全部個人計算機系統集中在防水墻的管理之下,集中管理安全策略、系統配置、安全事件和安全事故。

(五)防水墻系統在網絡中的位置

管理員通過管理工作站來管理防水墻服務器,定制與實施相關的安全策略,防水墻服務器通過位于各部門的客戶端工作站點來實現對整個內部網絡的“用戶身份”、“數據安全”、“設備安全”和“綜合安全審計”等方面的綜合管理和安全監控。

(六)防水墻控制和解決的問題

1.身份驗證機制;2.訪問控制體系;3.“非法外聯”控制;4.設備密級標識;5.動存儲介質的有效管理;6.安全審計;7.非法主機控制。

五、內網安全技術發展方向

(一)內網安全重心繼續向終端計算機轉移

傳統的內網安全主要是注重服務器區域的安全管理,而隨著終端機數量的增多,安全隱患也就越來越大,任何一臺出現安全隱患,對整個內網都可能會產生巨大的沖擊和破壞。因此,內網安全管理開始從服務器區域轉向了終端計算機。

(二)終端安全產品向功能高度集成發展

隨著技術的發展,企業用戶逐漸認識到,內網的安全管理是一個有機的整體,不是靠幾種安全產品的簡單堆砌就能解決的,采用高度功能集成的安全產品可能是一個更好的選擇。所以,未來的安全產品將朝著高度功能集成的方向發展。

(三)終端安全加固與運行維護并重

終端計算機作為內網的一部分,而且是員工日常工作的工具,當然要保證其安全性。不過,企業用戶逐漸認識到,終端計算機的使用最終目的是為了降低成本、提高效率。因此內網既要有較高的安全性,也要能夠易于維護。應該通過技術手段提高終端計算機的維護管理水平。所以,在內網安全管理方面的技術發展是提高內網安全管理的有效途徑。

六、結論

隨著社會的信息化以及網絡的飛速發展,企業的內網規模和復雜度迅速提升,企業、國家對內網安全的需求不斷增長,內網安全管理的技術和策略尤為重要。根據公安部發表08年《全國信息網絡安全狀況調查報告》調查顯示,攻擊或病毒傳播源來自內部人員的比例同比增加了21%;涉及外部人員的同比減少了18%,說明聯網單位對外部網絡攻擊防范的意識有所增強,但單位內部的網絡安全管理工作還不到位。網絡(系統)管理員通過技術監測主動發現網絡安全事件的占66.28%,同比增加了13%,說明網絡(系統)管理員安全技術水平有所提高;而通過安全產品發現的比例同比減少了8%,原因是目前計算機病毒、木馬等繞過安全產品的發現、查殺甚至破壞安全產品的能力增強了。所以,安全技術的提升固然重要,管理人員的素質的提升和安全管理的策略更為重要。安全技術和安全管理不可分割,它們必須同步推進。因為即便有了好的安全設備和系統,如果沒有好的安全管理方法并貫徹實施,那么安全也是空談。

參考文獻:

[1]丁誼,內網安全初探[J].科技信息,2004.2.

[2]介斐,企業內網安全防護解決方案[J].石油化工建設,2007.4

[3]賽迪網,內網安全技術分析與標準探討.

[4]應對企業內網安全挑戰的常見策略.

[5]淺談內網安全的新寵兒——防水墻,ISSN:1009-3044.0.2006-14-051.