在经历了外网安全建设后,企业普遍面临“内忧”胜于“外患”的局面,换言之,企业不仅需要坚固的边界安全,更需要稳定的内网安全。
最近,国内某大型造船厂发生了一起有惊无险的网络安全事件。由于该造船厂的计算机系统内储存有大量的重要设计数据,某一天,系统突然报警,显示某个电脑终端正在非法拷贝这些重要文件数据,而网管人员通过内网审计系统的跟踪,立刻锁定了拷贝文件的电脑和登陆系统的用户名,从而在重要文件还没被外传之前,及时制止了该非法行为,避免了无谓的经济损失。
事实上,类似的内网安全事件在很多企业都有发生,但由于内网安全的完善程度不同,并非每个企业都能避免损失发生。有调查显示,超过85%的安全威胁来自企业内部,其中16%来自企业内部未经授权的非法访问,40%来自电子文件的泄露,由此可见,内网安全问题已是企业网络安全建设的重头戏。
为了确保网络安全,防火墙、杀毒软件、IPS等产品早已成为企业用户的普遍部署,但是,这些主要针对外网的安全防护在面对内网安全威胁时,往往形同虚设,因为“内忧”胜于“外患”,企业不仅需要坚固的边界安全,更需要稳定的内网安全。
那么,目前企业CIO们对于内网安全的认识是否到位,他们在内网安全部署方面处于何种程度,还存在哪些有待完善之处,内网安全在产品技术上又存在哪些发展趋势。
过半企业重视内网安全
网络安全威胁层出不穷,网络安全问题无处不在,但是,事情总有轻重缓急之分,哪个领域的安全问题是企业用户当前首需解决的呢?调查反馈显示,“内网安全”以54.9%的比例占据第一位置,其次,25.7%的用户选择外网安全,10.6%的用户选择了终端安全,8.8%的用户选择了Web安全。
显然,企业网络安全建设行进之今,过半用户已经将“内网安全”设定为首需解决的问题。同时,这也表明用户对于内网安全重要性的认识已经达到相当程度。
北京互联通网络科技有限公司产品项目部顾问黄毅就明确表示,内网的安全管理,很多时候比外网安全管理更加重要,因为企业的机密信息泄漏、业务系统被如侵等,往往就是透过内部的非授权访问和木马泛滥导致的,所以,保障内网安全势在必行。
作为内网安全建设领域的专家,北京鼎普科技股份有限公司战略市场部经理万俊告诉记者,一直以来,企业安全防御的理念更多局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面,主要的安全设施大多集中于机房、网络入口处。应该说,在这些安全设备的严密监控下,来自网络外部的安全威胁得到显着缓解。然而,随着企业信息化的不断深入,来自网络内部的安全威胁开始逐步凸显出来,网络的内部安全问题大于外部问题渐渐成为业界共识。
对此,我们可以从企业用户当前对于安全细节问题的关注度得到印证。在“哪些安全细节问题是贵公司当前比较重视的”这一问题中,83.2%的用户选择了病毒查杀,69.0%的用户选择了数据库安全,46.9%的用户选择了网络设备安全,31.9%的用户选择了补丁升级管理,31.0%的用户选择了网站运维安全,27.4%的用户选择了身份认证,22.1%的用户选择了信息加密。可以看出,不论是常见的病毒查杀,还是身份认证或信息加密,用户对此都持有相当的关注。
“提高意识 管理到位”是首要
为什么需要管理内网安全,我们从企业员工的日常小事即可明白。如今,很多员工在上班闲暇时,偶尔聊聊QQ或MSN,要不上开心网玩“偷菜”或观看在线电影,要不干脆打开BT电驴等下载软件下载大容量文件。这些在大小企业中普遍存在的现象不仅影响了员工的工作效率,而且还会占用企业网络流量,从而影响其他正常业务的开展。
事实当然不仅如此,根据本次调查反馈,70.8%的企业存在“员工随便登陆MSN、QQ、BT等内容”,37.2%的企业存在“经常有人改动IP地址从而造成冲突”,62.8%的企业存在“经常出现某台电脑没有打补丁或补丁不全”,31.0%的企业存在“经常受到非法入侵”,48.7%的企业存在“不能完全限制内网的设备与重要信息的保管”。
可以看出,近七成左右的企业存在“员工随便登陆MSN、QQ、BT等内容”和“经常出现某台电脑没有打补丁或补丁不全”的现象,另外三项困扰也有近五成企业有所遭遇。
另外,根据调查反馈,目前企业网络主要遭遇的安全威胁中,76.1%的用户选择木马病毒,14.2%的用户选择蠕虫,8.8%的用户选择电子邮件攻击,0.9%的用户选择网络钓鱼/欺骗。可见,木马泛滥的确到了人人喊打的地步。
需要指出的是,木马病毒除了可以跟随Web应用从外网进入内网之外,还有一个重要的传播渠道,即通过移动U盘直接在内网终 端 上 蔓 延开来。对此,在诸多安全厂商的内网安全产品中,都或多或少存在防止移动终端传播病毒的功能。比如鼎普科技的安全U盘系统,它是通过智能判断和权限访问控制技术,使数据信息在U盘上实现存取控制,同时也具备对U盘进行身份认证、敏感信息外带时防止非授权访问和病毒窃取等功能。目前,金融、电信等行业用户大多应用了类似系统以杜绝终端隐患。
抛开行业特殊性,抛开单一内网安全产品或功能,目前企业用户针对网络安全的部署现状如何呢。根据调查反馈,96.5%的用户选择了杀毒软件,78.8%的用户选择了防火墙,24.8%的用户选择了科学(安全传输),20.4%的用户选择了身份认证系统,27.4%的用户选择了内网安全管理,8.8%的用户选择了IDS/IPS。
很明显,虽然近八成企业都部署了杀毒软件和防火墙,但这正好说明企业在网络安全建设过程中,外网安全是优先经历的阶段,而接下来的重点则在内网安全。
那么,内网安全建设应该从何处下手呢,首先,我们可以从“企业网络中发生安全事件的原因通常包括有哪些”这一问题的调查结果看,有48.7%的用户选择“网络或软件配置错误”,28.3%的用户选择“管理员弱口令”,62.8%的用户选择“系统漏洞”,74.3%的用户选择“员工安全意识淡薄、管理不到位”,15.0%的用户选择“DDoS攻击”。
显然,“员工安全意识淡薄、管理不到位”是企业发生网络安全事件的最普遍原因,这与很多企业CIO的看法也是一致。
山西省大同市阳高县畜牧服务中心饲料牧草管理站站长杭军表示,影响内网安全管理的因素很多,其中,用户的认识水平、重视程度及使用习惯,尤其是普通用户的安全意识和相关管理人员的管理水平,尤为重要。
同样,在吉林吉恩镍业股份有限公司信息中心主任周军利看来,保障内网安全,首先需要制订科学完善的内网安全管理制度,从要制度上规范员工上网行为,其次要加大制度的执行和考核力度,让员工自觉树立信息安全意识,最后就是使用先进的内网安全管理产品,从技术上保障内网安全。
从“偏安全”到“偏管理”
从技术角度讲,内网安全包含的内容其实很多,比如如何发现客户端设备的系统漏洞并自动分发补丁,如何防范移动存储设备随意介入内网、如何防范内网设备非法外联,如何点对点控制异常客户端的运行,如何防范内部涉密信息泄露等。
换句话说,与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,相应的产品部署也相对更加多样。比如有的侧重内网终端防护,有的侧重流量和上网行为控制,有的侧重监控审计,有的侧重身份认证或信息加密等。
万俊介绍,过去几年,人们对于内网安全的管理主要偏向于防止信息泄密,因此,严格控制电脑终端的外设及各类端口成为各大厂商产品方案的重点诉求。
然而,随着网络安全形势的不断演变,企业用户开始不仅满足于对电脑终端的监控,而是希望从管理的角度对内网安全进行防护。比如本文开头所说的那家造船厂,通过内网审计系统锁定非法操作,再比如统计网络流量、补丁分发以及系统软硬件的升级管理等。
这在本次调查也有所反映。“在内网安全管理方面,贵公司期望在哪个部分得到加强”,有51.3%的用户选择了“监控审计”,26.5%的用户选择了“桌面管理”,14.2%的用户选择了“文档加密”,8.0%的用户选择了“磁盘加密”。
事实上,为了满足用户需求,厂商的产品策略上也在随之跟进。“当然,我们在产品策略上也从最初单纯的监控审计,到现在把监控审计和管理相结合,走向偏重管理的方向。”万俊表示,“毕竟,内网安全的重心已经从偏重安全转移到偏重管理,内网的概念已不仅集中在涉密这块,许多非涉密企业、非涉密业务也开始从管理的角度落实内网安全。”
在实践应用中,偏重管理就是要求企业在运用内网功能的时候,不是为了在事后进行补救,而是一方面可以做到预防危险的发生,另一方面把公司一些理念、文化都能在计算机内网监控中得到体现。比如鼎普科技最新研发的“猎隼”网络信息监测系统,这个系统通过对所有网络的内容进行解析,能够及时阻止内部的计算机通过互联网发生的敏感信息泄露,快速定位追查源头,防止违规事件发生。它还能对整个网络及计算机用户上网行为、网络流量进行监控,帮助网络高效、稳定、安全的运行,为信息化建设及管理提供有效的技术支撑。
打造立体防御体系
“未来一年,贵公司是否制定了进一步加强内网安全管理的计划”,结果显示,41.6%的企业表示有,32.7%的用户表示暂时没有,25.7%的用户表示不确定。可见,有四成多的用户打算加强内网安全部署。
不过,涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个有机统一的安全控制系统,实现立体式实时监管,才是实施内网安全部署的关键所在。
在万俊看来,保障内网安全不能仅靠各种功用安全产品的堆叠,而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制,则可以让系统既突出安全性,有注重管理性。
第一级认证:基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固,例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。
第二级认证:基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控,即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。
第三级认证:实现对程序安装运行的授权控制。对应用程序进行黑白名单控制,只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。
第四级认证:实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实现网络的安全接入——只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对入终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断网等。
在建立以上四级可信认证机制的纵深防御体系基础上,企业用户还要实现身份鉴别、介质管理、数据保护、安全审计、实时监控等防护要求,如此才能达到扎实有效的安全效果。
【编辑推荐】
SD-WAN网络控制器有几种部署方式?
一、设备外置模式
在这三种模式中,最下方的外置模式是将 SD-WAN 终端直接放置在企业用户边缘侧外,将边缘侧已有的公网 IP 和拨号能力直接移植到 SD-WAN 终端上。 企业根据需求,将原有的内网流量转发到 SD-WAN 终端上,通过 SD-WAN 终端打通各个节点的互联。 这种模式的优势在于运营商的设备和企业设备实现明确的权责分配。 运营商网络不进入企业内网中,保证企业的安全。 当出现问题时,双方可以根据需求进行互相排查,提升效率。
二、设备旁挂模式
中间是 SD-WAN 旁挂模式,这种模式一般针对于不希望将自己的公网 IP 进行设备配置变更的企业,他们更多的希望将 SD-WAN 设备旁挂在自己的设备集群中,自己统一进行管理。
在这个管理模式中,SD-WAN 直接对应用户自己的路由器、交换机和防火墙,用户根据需求,将需要的流量转发到 SD-WAN 设备上,SD-WAN 设备将转发流量发送到云端或者其他节点实现业务打通。
这种模式的优势在于不需要调整外网公有 IP,劣势在于一旦企业外部网络中断,运营商无法第一时间查看设备的情况,因为它被关在了外面。
三、设备内置模式
此外,最上面的是内置模式,SD-WAN 设备采用串接或者接入企业办公网实现部署。 这个部署的模式优势在于可以实现快速部署,一个设备可以很简单的直接接入用户终端上,很多用户愿意使用这个模式。 相对来说,它的劣势比较明显,当设备出现问题时,比如企业内部网络出现问题时,运营商无法通过终端配合企业进行设备的快速定位。
安徽移动家庭手机业务的资费标准?
月租15元,16号以后入网收7.5元。包含彩铃(默认铃声很难听,可以在关闭或者换铃声)、来电显示、无线音乐高级会员(好象是下载铃声便宜一些),本地主叫都0.2元(不分网内或网间),亲情号码一个(其本地通话费为0.1元)。在合肥接听所有电话免费。漫游主叫 0.6元,被叫0.4元。送短信是网内400,梦网100(比如你直接用普通方式回复飞信就是梦网信息)。PS:默认的彩铃实在太难听了,可以自行修改,但是那是要另外花钱的。 也可以把彩铃停掉,停掉彩铃的方法为:登录,在“彩铃管理”->个人信息维护->用户暂停处停用彩铃,回到原始的嘟嘟音。 需要注意的是,停用之后每月3元的彩铃费照收……
以及最基本的那些功能,就不赘言了。 如果之前是D401,D402,还愿意要那其实没有多大意义的“本地前30分钟通话时长”(包含接听电话的),可以继续保留。 其它诸如Y401,Y404,Y300,Y501等,建议升级,没有任何损失的。 这个动感地带名为“学生套餐”,理论上是83后的才可以升级。 (实际上并不一定要是学生,我发送YYTC3到就直接升级了)
附:以前的动感地带D402:
月基本费:9元,赠送前30分钟本地通话时长,赠送400条网内点对点短信或梦网上行短信;捆绑来电提醒3元/月;来电显示费3元/月;本地网内:主叫 0.2元/分钟,被叫免费;本地网间:主叫0.3元/分钟,被叫0.10元/分钟;免费设置1个亲情号码,与亲情号码间本地主叫0.10元/分钟,本地被叫免费。
对比不难看出,新的动感地带与D402相比,本地网间的主叫和被叫都便宜了一些,但不再送30分钟本地通话。 短信方面,D402是送400的短信或梦网上行,而新的是送400短信+100梦网上行。 在附送的服务方面,取消了来电提醒,增加了彩铃。
在短信和附送的服务方面各有千秋,很难说哪个好(如果你要使用大量的梦网上行短信,那可能会不同),对于通话费用,对于网间通话较多的人来说,显然是新的更划算。 D402中附送的30分钟,如果接电话和打电话的时间相等的话,实际上只送了15分钟的呼叫,价值3元,而剩下的部分,本地网间主被叫都贵0.1,只要网间通话超过了30分钟,就是新的动感地带划算。
如何彻底的解决内网安全
1、安装正版的杀毒软件、防火墙,保证每天更新;及时发现病毒以免造成更大的危害;2、关闭软驱、USB等外设接口;防止通过磁盘、软盘传播病毒或木马;防止重要数据被盗;3、定期修补系统漏洞,更新系统;防止黑客通过漏洞攻击;4、结合不同需要,制定相关制度,防患于未然。 做到以上4点,内网的安全基本就可以保障了。 但是,不能停留在这里。 另外,内网安全,并不代表网络就安全了,关键还是要建立防火墙,把病毒和攻击隔绝于外面。
发表评论