【.com 独家特稿】说到企业网络安全的防护,外网安全技术已经很成熟了,比如一些防火墙、漏洞扫描、入侵检测都已经很完善。不少企业都强调了外网安全产品的部署而忽略了内网安全的威胁。很多时候,真正的威胁来自内部,好多的企业机密信息泄密都是由于内部的管理不善而造成的。随着人们对内网安全意识的加强,对于内网安全产品和服务的需求也就越来越强烈,但是在目前的安全产品却异常的混乱。这是由于内网安全所涉及的产品、技术和管理都具有相当的复杂性而造成的,那么我们应该如何去选择呢?下面我们就采访了某大型外企首席安全官李洋,希望在如下问题的解答中,能够对您有所帮助。
我们知道内网安全是一个非常复杂的问题,针对小、中、大型企业或是不同的行业都有各自不同的内网安全问题。那么,以目前来看,您所在企业的内网安全问题有哪些呢?
李洋: 内网安全问题主要来源于两方面,一个是从外到内的(交界、边界安全),另一方面是从内到外的。根据不同来源的安全问题,会有不同的防范措施。目前我们更关注于数据防泄漏的安全问题。
目前贵企业针对这些内网安全问题使用了哪些管理手段或者是解决方案?效果怎样?
李洋: 前面已经提到,根据不同来源的安全问题,会有不同的防范措施,我们也部署了一些内网安全产品,例如刚才提到的数据防泄漏的安全产品。但是,效果怎样,也就是对于安全防范的评估,目前还没有一个标准,只能是在发生一些安全事件的时候才能体现出产品的效果如何。
那么以现在的状况,您觉得还有哪些地方存在着不足,希望在(内网安全)哪一方面进行改进?
李洋:移动设备的安全问题。现在的移动智能手机,平板电脑这些移动设备都可以通过3G网络和无线网络的链接,但是针对这方面的控制还比较少。目前只是依赖移动设备的软件和运营商的一些安全控制,但是公司里面并没有这方面的产品,目前对于移动安全产品的部署还在讨论之中。
很多人说,内网安全不仅仅是监控网络方面的安全问题,更是管理人的问题。对此您有什么看法?
李洋: 人对工具使用。针对安全工具(产品)的使用,以及日常办公软件的使用,因为每个人的素质不同,对于这些工具的使用,安全防范意识是不同的。
针对不同的行业,会有不同的人员管理需求(制度,规定章程方面)。例如,金融行业,在金融行业的IT的治理,面对不同的部门,不同的阶层,制定不同的安全等级,达到一个安全目标。例如,普通员工的日常工作安全标准,运维人员的安全标准,管理人员的安全标准都是不同的。如果落实在章程中,会非常的细致,比如在职人员的安全管理,离职人员的安全管理等等。
以您的了解,目前市场上的一些内网安全产品所提供的技术管理体系是否能和企业的内网安全制度结合在一起?
李洋: 在一开始很难完全吻合,在后期需要定制一些具有针对性的安全模块,需要安全厂商的一些服务。
从这方面看来(前一问题),您觉得内网安全产品或是方案还应该具备哪些功能和要素呢?对于厂商所提供的安全服务,您有什么建议呢?
李洋: 对于一般的企业来说,如果具备上网行为管理,敏感信息管理,端点防护(控制病毒等的传播)和数据防泄漏,这四个方面就可以达到一个基本的内网安全的防护标准,然后再针对不同企业的特别需求进行安全模块的添加。
另外,我希望能够采用多个厂商的安全产品。
第一,是每个安全厂商的(产品)所专注的领域不同,在效果方面肯定也会不同。
第二,如果多个安全模块全部由一个厂商提供,尽管兼容性很好,但是这样在价格方面会比较高,这种打包式的产品具有垄断性和排它性。所以我希望我们所采用的安全产品是多元化的。
但是,这其中就会存在一个兼容的问题。如果我们使用的产品是各个不同厂商的产品,肯定会存在兼容性问题,这里我们就需要先从全局考虑,在选择产品的时候,可以要求厂商开放一些(产品)端口,看看他们是否能够提供这样的服务,其中他们的服务态度也是非常重要的。
总结
从上面的采访中,我们不难总结出以下几点:
1.基本的内网安全管理具备上网行为管理,敏感信息管理,端点防护(控制病毒等的传播)和数据防泄漏四个方面,根据不同的内网安全需求,在增加相应的产品模块。
2.在内网安全规章制度的制定中一定要细致,人员管理,设备管理等都应考虑到。
3.在选购内网安全产品的时候,我们应该注重产品的多元化和开放性以及厂商的服务以及态度等。
4.在对安全产品的投资中,我们需要考虑安全防护的前期和后期的一些需求,防止厂商的垄断行为。
【编辑推荐】
TVB食平DD节目用的是哪个品牌的破壁料理机?
惠尔宝Healthpool破壁料理机
如何实现企业无线局域网与有线网络一体化?
随着无线技术在企业中的推广,越来越多的网络管理员喜欢把无线网络当作有线网络的一个扩展,提高网络的覆盖率。 笔者也不例外。 不过在这么做的时候,就需要把无线网络跟有线网络进行集成。 但是毕竟无线网络技术是后来发展起来的一门通信技术,在跟有线网络集成的时候,会对现有的有线网络部署造成一定的冲击。 笔者这里就对有线网络与无线网络在集成过程中出现的常见冲突做一番分析,帮助网络管理员顺利实现有线网络与无线网络的一体化过进程。 一、对于虚拟局域网应用的冲突 虚拟局域网有助于企业提高网络安全、提高网络性能。 由于物理划分网络工作量大,灵活性差,故现在大部分企业都采用了虚拟局域网的形式来对网络进行逻辑划分。 虚拟局域网有很多实现方式,如基于IP地址、基于端口、基于协议等实现方式。 不过据笔者了解,基于端口的实现方式相对来说灵活性、实用性更高一点,是企业首选的虚拟局域网实现方式。 但是如果采用这种实现方式的话,则在部署企业无线网络时,需要注意,很可能会造成不必要的麻烦。 为什么这么说呢?笔者举一个例子大家也许就会明白。 如企业现在划分了多个局域网,财务部门与行政部门分属于不同的局域网。 在部署过程中,主要通过基于端口的方式实现。 网络管理员把虚拟局域网交换机中端口设置为三个局域网。 假设端口1到端口5虚拟局域网甲规行政等部门使用。 端口6到7为虚拟局域网乙归财务部门使用。 端口8到10为虚拟局域网丙归研发部门使用。 现在在会议室中部署了一个无线路由器,其是连接在虚拟局域网甲上的。 此时假设财务经理要在会议室开会,他把他的带有无线上网功能的笔记本拿到会议室,此时他通过会议室的无线路由器连接到的是虚拟局域网乙,即行政部门所在的虚拟局域网。 此时财务经理就无法访问自己财务部门的虚拟局域网。 也就是说,无线局域网的采用可能会对以前设置的虚拟局域网产生冲突。 遇到这种情况该如何处理呢?此时网络管理员可以添加无线路由器的方式来处理。 即在财务部门中也设置一个无线路由器,其连接到的是财务部门所在的虚拟局域网。 然后为各个无线路由器设置不同的密码。 如此的话,财务经理无论走到哪个办公室,都只能够通过自己办公室的无线路由器连接网络。 但是这有一个缺陷,即无线路由器信号强弱的变化。 我们都知道,一个办公室若隔音措施做的比较好的话,则其无线路由器的信号就不能够传递到外面。 而且无线路由器信号也随着距离的不同而有强弱。 故为不同的局域网分别设置不同的无线路由器只适用于开发型的办公室。 对于密闭型的办公室或者分布在不同楼宇的办公室不怎么适用。 另外就是变更现有虚拟局域网的实现方式。 如可以把基于端口的实现方式设置为基于IP地址或者MAC地址的实现方式。 如此的话,无论财务经理通过什么方式、无论在什么地方连接到企业网络,只要其IP地址或者MAC地址不变的话,则其所连接的虚拟局域网都不会改变。 那么财务经理就能够正常访问自己的网络。 如当财务经理来到会议室,虽然是通过会议室的无线路由器进行网络访问。 他在向虚拟局域网交换机递交连接请求时,交换机会根据财务经理电脑的IP地址或者MAC地址来判断他应该属于哪个局域网,然后帮他转接过去。 并不会因为位置不同,而更换连接的虚拟局域网。 不过这也会增加虚拟局域网的管理负担。 如财务经理的电脑坏了或者无线网卡坏了,则换过设备之后就需要调整局域网交换机的设置,更改MAC地址等等。 所以说,企业采用无线局域网之后会于虚拟局域网应用产生冲突。 鱼与熊掌难于兼得。 网络管理员在部署无线网络时,如果企业以前已经有虚拟局域网了,则就需要根据自己的管理习惯以及企业的网络规划,选择合适的解决冲突的方式。 二、对有线网络的安全性规划提出挑战 采用无线网络技术之后,也会对企业现有的网络安全规划提出挑战。 如企业现在正在通过虚拟局域网来提高网络的安全性。 为了保障研发部门资料的安全,特意为研发部门设置了一个虚拟局域网。 其他部门不能够访问研发部门的网络,而研发部门则可以访问企业网络的全部资源。 此时如果在研发部门部署一个无线网络,会造成哪些安全漏洞呢? 一是非法用户如果知道无线路由器连接的账号,则可以在无线路由器信号覆盖的范围之内,连入到研发部门所在的局域网,进行资料窃取或者其他的一些破坏活动。 无线信号没有物理线路的限制,为此只需要知道无线连接的用户名与密码(有些网络管理员甚至不会给无线路由器设置密码),就可以做到。 而如果不采用无线网络的话,则必须要把电脑拿到他们的办公区域、然后插上网线才行。 可见后者的安全性要高的多。 二是传输信号的安全。 在以太网技术中,如果对于传输的内容没有加密,则就可以通过侦听等手段获取传输的内容。 为此在无线技术中,如果对于无线信号没有采用加密处理的话,则其他无线用户就可以通过侦听的手段,获取这个用户传输的内容。 这无疑也是对企业现有网络安全设计的一个挑战。 那么该如何解决这些问题呢?笔者给各位网络管理员提下面几个建议。 1、对于安全性要求比较高的部门,最好不要部署无线路由器。 如对于研发部门,可能是企业重点保护的部门。 为了他们部门信息的安全,最好不要部署无线路由器。 因为便利与安全要做出选择的话,我们往往会选择安全。 毕竟若这些资料泄露的话,可能对企业会造成致命的打击。 2、要重新调整企业有线网络的安全规划,把无线网络也考虑进去。 如根据企业的安全性级别的不同,给无线网络传输也设置一定的加密级别。 让其无线信号也是经过加密后才传输。 另外,对于无线连接也最好设置密码,防止未经授权的用户通过无线路由器进行越权访问。 特别是那些企业中原先部署了虚拟局域网的网络管理员,特别需要注意这一点。 否则的话,很有可能被人家占了这个空子,连入到不允许访问的虚拟局域网中。 3、企业中可能会部署多个无线路由器。 在没有设置密码的情况下(或者用户知道无线连接访问密码),用户可以自主选择通过哪个路由器来进行访问。 而如果这些无线路由器又恰巧接入到不同的虚拟局域网的话,那么就会存在比较大的安全漏洞。 为此,不同的无线路由器连接不同的局域网,为了安全起见,除了为每个路由器设置连接密码外,最好还要采取其他一些措施。 如在无线路由器的安全策略中,设置只允许某些特定的IP地址或者MAC地址才能够允许无线连接。 这无疑可以巩固无线网络虚拟局域网的安全性。
问黄渤代言的方便面是大东三福吗?如题 谢谢了
近期代言的是今麦郎下属品牌大东三福!
发表评论