三箭齊發 治愈網絡安全頑疾
責編:admin |2014-06-20 15:50:03在信息網絡安全的建設中,除了要有完善的管理制度外,還要有強大的安全技術的支持。鑒于目前的網絡安全狀況,企業應重點做好三個方面的工作。
第一箭:對網絡行為要實施信息網絡安全實時動態監管,實時阻止非法訪問行為。
在信息網絡安全工作中,監管處于核心位置,除了要管好自家的“門”外,更要對進入“門”內的各種訪問行為進行實時監管。成立專門的計算機安全應急響應小組。該小組一方面跟蹤研究業界最新的安全動態,并實施最新的信息網絡安全防御技術等;另一方面綜合應用DNS(域名服務器)收集、防火墻、IPS(入侵防御系統)、用戶行為建模等工具,7×24小時不間斷地對公司網絡中的各種“例外行為”進行監管。
國內企業的大部分信息網絡安全事件是由于計算機病毒或木馬導致信息和數據失泄密,因此很強調“門衛”的作用。但僅僅重視“門衛”的預防而忽視對內網行為的實時監管,結果會讓非法訪問者一旦突破“門衛”進入企業內網,非法訪問者可以做任何事情而沒有人過問。對企業網中的一切訪問行為進行實時動態的監控,能實現更全面的信息網絡安全監管,只要有不合規的行為就可能在最短的時間內被發現并被阻止。
第二箭:注重信息網絡安全系統的自學習能力,加強系統防御、發現和修復的能力建設。
隨著IT技術的飛速發展,企業網絡面臨越來越多的攻擊風險。新技術的不斷應用,導致攻擊的手段和方式也越來越隱蔽、越來越不易被發現。因此,企業需要有效利用信息網絡安全工具和手段,加強“防御-發現-修復”過程的自學習和自修復能力。即通過綜合開展有針對性監控,有效利用數據丟失預防(DLP)、DDOS(分布式拒絕服務攻擊)緩解、惡意軟件/代碼高級檢測、DNS域名系統記錄和分析、數據包捕獲/檢測(DPI)、遠程調查分析等工具,對各種行為數據進行分析處理,對網絡中的各種行為習慣進行自學習,在出現異常情況時采用全自動和人工干預的方式,“即時”控制異常行為。
這相對于發現漏洞、等待修復的傳統方式,在時間上有了數量級的提高。同時,企業要不定期地通過實施實際的攻擊來檢驗網絡的自學習和自修復能力,不斷優化完善防御、發現和修復系統的自學習能力,并將相關優化建議直接應用到防御、發現和修復系統,提高防御、發現和修復系統的能力,形成良性循環。
第三箭:有效應用“身份”安全的邊界支持信息系統應用。
IT新技術的快速發展和應用,對傳統的安全域隔離提出了挑戰。一方面,云計算讓“安全域”的邊界越來越模糊。另一方面,BYOD(攜帶自己的設備辦公)的移動應用讓終端的管理越來越難。
云計算和傳統方式相比具有很多優勢。但它的方便性和易用性也導致了企業網絡中不同的安全域逐步模糊了邊界,尤其是企業采用了“公有云”服務后,“安全域”已經無法界定清楚。而WIFI、3G、4G技術的發展,使員工越來越愿意使用PAD、智能手機等智能終端隨時隨地處理辦公業務,眾多終端通過不同的方式接入企業網絡,終端的管控越來越難,而且智能終端的便攜性也同樣面臨容易丟失等問題。
因此,在當前的云計算和移動互聯網環境下,“身份”是安全域的一個新邊界,也是企業信息網絡安全進行精細度控制的基準點。國內外基于“身份”的安全體系已經比較成熟,目前國內外基于“身份”的安全體系已經從CA(證書認證)發展到了4A(賬號、認證、授權、審計),國內各大銀行網銀系統的U盾就是典型的基于“身份”的4A應用,核心思想就是通過數字證書確保使用者身份的唯一性。但是,不論CA還是4A,一般都要求使用存儲了數字證書的“U盾”作為身份的唯一標識。
先進的“身份”的驗證、識別與訪問控制技術,是一種通過對“人員+設備+地點+想要什么”來綜合判斷信息系統使用者“身份”的一種新的控制算法。在這種控制算法中,重點是對使用者訪問行為的智能感知和控制,即通過后臺的身份服務引擎(ISE),幫助企業從網絡、用戶和設備收集實時信息,按照不同的情景實施不同的訪問控制策略。通過這種綜合性的“身份”驗證、識別與訪問控制技術,能夠很精細地控制員工的訪問行為,在最大限度地為員工提供便捷信息服務的同時,又最大限度地確保企業信息的安全。