企業(yè)面臨“內(nèi)憂” 堵住內(nèi)網(wǎng)安全漏洞(2)

很明顯，雖然近八成企業(yè)都部署了殺毒軟件和防火墻，但這正好說明企業(yè)在網(wǎng)絡安全建設(shè)過程中，外網(wǎng)安全是優(yōu)先經(jīng)歷的階段，而接下來的重點則在內(nèi)網(wǎng)安全。

那么，內(nèi)網(wǎng)安全建設(shè)應該從何處下手呢，首先，我們可以從“企業(yè)網(wǎng)絡中發(fā)生安全事件的原因通常包括有哪些”這一問題的調(diào)查結(jié)果看，有48.7%的用戶選擇“網(wǎng)絡或軟件配置錯誤”，28.3%的用戶選擇“管理員弱口令”，62.8%的用戶選擇“系統(tǒng)漏洞”，74.3%的用戶選擇“員工安全意識淡薄、管理不到位”，15.0%的用戶選擇“DDoS攻擊”。

顯然，“員工安全意識淡薄、管理不到位”是企業(yè)發(fā)生網(wǎng)絡安全事件的最普遍原因，這與很多企業(yè)CIO的看法也是一致。

山西省大同市陽高縣畜牧服務中心飼料牧草管理站站長杭軍表示，影響內(nèi)網(wǎng)安全管理的因素很多，其中，用戶的認識水平、重視程度及使用習慣，尤其是普通用戶的安全意識和相關(guān)管理人員的管理水平，尤為重要。

同樣，在吉林吉恩鎳業(yè)股份有限公司信息中心主任周軍利看來，保障內(nèi)網(wǎng)安全，首先需要制訂科學完善的內(nèi)網(wǎng)安全管理制度，從要制度上規(guī)范員工上網(wǎng)行為，其次要加大制度的執(zhí)行和考核力度，讓員工自覺樹立信息安全意識，最后就是使用先進的內(nèi)網(wǎng)安全管理產(chǎn)品，從技術(shù)上保障內(nèi)網(wǎng)安全。

從“偏安全”到“偏管理”

從技術(shù)角度講，內(nèi)網(wǎng)安全包含的內(nèi)容其實很多，比如如何發(fā)現(xiàn)客戶端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁，如何防范移動存儲設(shè)備隨意介入內(nèi)網(wǎng)、如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián)，如何點對點控制異常客戶端的運行，如何防范內(nèi)部涉密信息泄露等。

換句話說，與防范外網(wǎng)安全主要集中于邊界部署不同，保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多，相應的產(chǎn)品部署也相對更加多樣。比如有的側(cè)重內(nèi)網(wǎng)終端防護，有的側(cè)重流量和上網(wǎng)行為控制，有的側(cè)重監(jiān)控審計，有的側(cè)重身份認證或信息加密等。

萬俊介紹，過去幾年，人們對于內(nèi)網(wǎng)安全的管理主要偏向于防止信息泄密，因此，嚴格控制電腦終端的外設(shè)及各類端口成為各大廠商產(chǎn)品方案的重點訴求。

然而，隨著網(wǎng)絡安全形勢的不斷演變，企業(yè)用戶開始不僅滿足于對電腦終端的監(jiān)控，而是希望從管理的角度對內(nèi)網(wǎng)安全進行防護。比如本文開頭所說的那家造船廠，通過內(nèi)網(wǎng)審計系統(tǒng)鎖定非法操作，再比如統(tǒng)計網(wǎng)絡流量、補丁分發(fā)以及系統(tǒng)軟硬件的升級管理等。

這在本次調(diào)查也有所反映。“在內(nèi)網(wǎng)安全管理方面，貴公司期望在哪個部分得到加強”，有51.3%的用戶選擇了“監(jiān)控審計”，26.5%的用戶選擇了“桌面管理”，14.2%的用戶選擇了“文檔加密”，8.0%的用戶選擇了“磁盤加密”。

事實上，為了滿足用戶需求，廠商的產(chǎn)品策略上也在隨之跟進。“當然，我們在產(chǎn)品策略上也從最初單純的監(jiān)控審計，到現(xiàn)在把監(jiān)控審計和管理相結(jié)合，走向偏重管理的方向。”萬俊表示，“畢竟，內(nèi)網(wǎng)安全的重心已經(jīng)從偏重安全轉(zhuǎn)移到偏重管理，內(nèi)網(wǎng)的概念已不僅集中在涉密這塊，許多非涉密企業(yè)、非涉密業(yè)務也開始從管理的角度落實內(nèi)網(wǎng)安全。”

在實踐應用中，偏重管理就是要求企業(yè)在運用內(nèi)網(wǎng)功能的時候，不是為了在事后進行補救，而是一方面可以做到預防危險的發(fā)生，另一方面把公司一些理念、文化都能在計算機內(nèi)網(wǎng)監(jiān)控中得到體現(xiàn)。比如鼎普科技最新研發(fā)的“獵隼”網(wǎng)絡信息監(jiān)測系統(tǒng)，這個系統(tǒng)通過對所有網(wǎng)絡的內(nèi)容進行解析，能夠及時阻止內(nèi)部的計算機通過互聯(lián)網(wǎng)發(fā)生的敏感信息泄露，快速定位追查源頭，防止違規(guī)事件發(fā)生。它還能對整個網(wǎng)絡及計算機用戶上網(wǎng)行為、網(wǎng)絡流量進行監(jiān)控，幫助網(wǎng)絡高效、穩(wěn)定、安全的運行，為信息化建設(shè)及管理提供有效的技術(shù)支撐。

打造立體防御體系

“未來一年，貴公司是否制定了進一步加強內(nèi)網(wǎng)安全管理的計劃”，結(jié)果顯示，41.6%的企業(yè)表示有，32.7%的用戶表示暫時沒有，25.7%的用戶表示不確定�？梢�，有四成多的用戶打算加強內(nèi)網(wǎng)安全部署。

不過，涉及內(nèi)網(wǎng)安全的因素非常多，產(chǎn)品形式也比較多樣，在哪些環(huán)節(jié)如何部署就顯得非常重要�？傮w而言，內(nèi)網(wǎng)安全集中關(guān)注的對象包括引起信息安全威脅的內(nèi)網(wǎng)用戶、應用環(huán)境、應用環(huán)境邊界和內(nèi)網(wǎng)通信安全，因此，如何在企業(yè)內(nèi)網(wǎng)構(gòu)建一個有機統(tǒng)一的安全控制系統(tǒng)，實現(xiàn)立體式實時監(jiān)管，才是實施內(nèi)網(wǎng)安全部署的關(guān)鍵所在。

在萬俊看來，保障內(nèi)網(wǎng)安全不能僅靠各種功用安全產(chǎn)品的堆疊，而需要由單純的安全產(chǎn)品部署上升到如何實現(xiàn)可信、可控的立體防護體系。比如通過四級可信認證機制，則可以讓系統(tǒng)既突出安全性，有注重管理性。

第一級認證：基于硬件級別的安全防護和訪問控制。在最底層實現(xiàn)對計算機終端進行物理安全加固，例如使用鼎普計算機安全防護卡從BIOS級實現(xiàn)登錄認證和全盤數(shù)據(jù)保護，一方面可以杜絕非法用戶從光盤啟動繞過軟件防護竊取數(shù)據(jù)，同時還可令用戶不能隨意安裝操作系統(tǒng)、卸載已安裝的軟件系統(tǒng)改變現(xiàn)有安全環(huán)境。

第二級認證：基于操作系統(tǒng)的身份認證和文件保護。采用基于USB-KEY的雙因素認證技術(shù)實現(xiàn)操作系統(tǒng)登錄的可信可控，即在計算機硬件啟動之后，可以限制用戶權(quán)限，如是否可以進一步登錄操作系統(tǒng)，以及可以進行何種權(quán)限的文件操作，文件如何安全存放以及安全刪除。

第三級認證：實現(xiàn)對程序安裝運行的授權(quán)控制。對應用程序進行黑白名單控制，只有經(jīng)過管理員簽名授權(quán)的程序才能在單機終端上運行使用，進一步規(guī)范終端用戶的軟件程序使用行為，可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。

第四級認證：實現(xiàn)可信計算機接入內(nèi)網(wǎng)的認證管理。網(wǎng)絡邊界的安全可控是內(nèi)網(wǎng)安全的基本問題，通過基于802.1X認證協(xié)議的可信終端認證子系統(tǒng)，實現(xiàn)網(wǎng)絡的安全接入——只有經(jīng)過授權(quán)許可的可信、可控、健康計算機才能接入到內(nèi)網(wǎng)，并對入終端的運行、健康狀態(tài)進行實時監(jiān)控，通過創(chuàng)新的技術(shù)理念打造出一個信得過、進得來、控得住的健康可信內(nèi)部網(wǎng)絡。如果不健康，防護系統(tǒng)會采取進一步措施，如報警、斷網(wǎng)等。

在建立以上四級可信認證機制的縱深防御體系基礎(chǔ)上，企業(yè)用戶還要實現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護、安全審計、實時監(jiān)控等防護要求，如此才能達到扎實有效的安全效果。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]