新闻动态   News
最新资讯   New
2022/9/8
启明星辰XDR:针对免杀C2
2022/9/1
“网络+安全”高效融合 天融
2022/8/25
启明星辰挖矿病毒防护与处置方
2022/8/18
安全又合规!天融信构筑应用与
2022/8/11
2022-08 微软漏洞通告
搜索   Search
你的位置:首页 > 新闻动态 > 行业资讯

浅析内网安全认识上的误区

2013-07-23 08:42:45      点击:

一、内网安全问题分析

(一)安全观念上的误区

1.认为网络安全就是防黑客和防病毒

      一直以来,常规的安全防御理念往往基于外网安全理论,局限于网关级别、网络边界等方面的防御,重要的安全设施集中于网络入口处,在防火墙、漏洞扫描、防病毒、入侵检测等防御系统的严密监视下,来自网络外部的安全威胁大大减小。然而,这仅仅解决了信息安全的一个方面,对于内部用户攻击和威胁事件则显得无能为力,一个能进入办公室打开电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。近期最典型的例子莫过于2010年维基解密在互联网上公布了391832份美军伊拉克机密文件,创造了历史上最大规模的泄密事件,据调查,“维基解密”风波的各类机密文件均源自美军内联网。来自网络内部的安全威胁突显,而内网管理过程中的疏漏更是增加了安全问题的严重程度。

2.认为终端管理不重要

      终端安全是内网安全的重中之重,它构成了内网90%以上的组成。IDC的安全统计数据显示“来自内部终端的安全威胁占整个安全威胁的70%以上”;中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出“终端隐患已成为最大的安全威胁之一”。终端是内网安全事件的产生源、攻击的发起点,有效的终端管理是内网安全的重要保障。

3.认为终端管理效果不明显

      使用准入控制技术就能很好地解决客户端部署的问题,而且必须首先考虑准入控制。准入控制是在终端访问网络的必经之处设置检查点,检查发起网络访问的终端是否安装了客户端软件,能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。可以说,准人控制是终端管理的确定性手段,只有打好了这个基础,终端管理产品才能保证部署率,才能消除终端管理的盲点,才能真正为单位的内网合规管理提供可靠的技术支撑。

(二)管理上的误区

1.认为安全管理就是购买技术和设备

      严峻的现实告诉我们,仅仅依靠技术和产品保障信息安全的愿望往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的,安全是买不来的。仅仅从工具和操作层面去解决信息安全问题是当前最大的问题之一。

2.认为管理就是建立制度

      有一个被广泛关注的案例:曾经负责为移动公司安装设备的一名工程师,离职数年后仍然可以通过网络访问移动公司充值中心,毫无技术含量的盗取了价值380万元的充值卡密码,使1.2亿元巨资的网络安全投入形同虚设。移动公司这样一个拥有最先进的安全技术措施的企业,但就是因为管理的问题而变得不堪一击。此案暴露了电信运营商在管理上的多重漏洞:对设备及服务提供商的管理、对密码的管理、对过期账号的处理、日常检查机制等方面都存在缺陷。

      信息安全管理不仅仅需要建立制度,更关键的是制定出符合内网要求的安全管理方案,并在此基础上根据时间的推移,结合不同时期的要求和形势变化作出动态的更改,并且持续的进行评估和调整,以适应不断变化的网络应用环境,从而可以不断加强网络安全。

二、内网安全管理对策

(一)构建完整的内网安全管理体系

      实际工作中,不论哪一个内网安全问题,都是可以归类到标准的安全产品或解决方案中去的,不同的是某个安全问题只需要一个产品和解决方案,而另一个问题可能需要多个产品或解决方案的结合。围绕内网安全,各主流厂商理念上各有亮点,技术表现上千差万别,但其安全产品都仅仅解决了内网安全的部分问题。要真正构建一个可管理、可信任和可控制的内网安全体系,一定要拥有整体的内网安全理念,应该统一规划,综合各种技术的优势,构建一个完整的信息安全保护体系。

      根据上述对内网安全问题的分析,一个完善的内网安全体系实现的技术措施,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监控审计(安全审计)为辅助的完整管理体系。如果只是不同产品的简单堆砌,就难以建立和实现有效的内网安全体系。

(二)建立、健全内网安全管理机制

      从技术角度去寻求安全问题解决方案只是解决了问题的一半,更重要的是通过内部健全的内网安全管理制度及措施来保障内网安全。同时还需要建立制度的持续改进机制、建立体系科学完整的安全管理。内网安全建设中,安全制度的良好实施和执行能从很大程度上保证网络的安全,同时为网络的管理和长期监控提供有理可依的指导性理论,这就要求建立覆盖物理、网络、主机系统、数据、应用和管理等层面的各项安全管理制度,例如,建立完善的机房管理制度、完善的网络使用制度、责任到人的设备管理制度、安全教育培训制度、网络安全应急预案和定期网络评估制度等。

      信息安全管理是一个动态的过程,需要建立持续改进的机制,因此还要定期评估有关管理制度文档和重要操作规程,分析信息系统管理制度在内容覆盖上的不全面性和不完善l生,从而做到能够“发现问题解决问题,发现新问题解决新问题”,达成善治的信息安全治理境界。

三、结束语

      内网安全概念的提出和发展虽然经历了很多年,但是目前尚没有形成统一的认识,其根源很大程度上在于对内网安全认识上仍然存在很大的误区。为了更好地解决内网的安全问题,需要有从观念、管理和技术等方面全面分析安全风险及实施对策,以更为开阔的思路看待内网的安全问题,保障一个稳定、安全的内网环境,这也是是网络安全管理工作的长期任务。