扫一扫
关注微信公众号

企业信息安全的五项修炼
2009-08-17   

  当熊猫烧香病毒在所有电脑上肆虐,当艳照门事件让众多影星身陷事业危机,当网络爆发微软视频0day漏洞,这一切的都会让人们感受到信息安全的重要性,而信息一旦失去了安全,则后果是多么可怕!

  信息安全的产生是从第一个病毒开始的,经过二十年的发展和进化,已经形成了一个庞大的体系,在这个体系下,还将随着安全事件的发生,产生新的体系,这些体系的产生,一方面见证了信息安全发展的历程,更重要的,它是企业信息安全的一道道越筑越高的有效防线。

  在历经了反病毒、企业反病毒、网关安全、ASOC软硬件产品联动体系之后,为什么安全事件仍然大面积爆发,极地银河公司技术负责人告诉记者:"如今需要一个新的体系来保障我们广大企业的信息安全,它就是内网安全体系。"

  第一项修炼:反病毒体系

  从第一个网络蠕虫莫里斯开始,从第一个PC病毒大脑开始,病毒的每一次爆发都搅动着整个社会,以感染开始,以巨额的经济损失结束,从CIH、冲击波、slammer蠕虫、红色代码到最近的熊猫烧香无一例外。随之而来的是能够杀除这些病毒的反病毒软件产品。瑞星、金山、江民、卡巴、趋势、赛门铁克,由于病毒,滋生了一个又一个反病毒企业。

  最初文件型病毒的泛滥,产生了以文件扫描为主的反病毒产品,以特征码匹配病毒的方法便成了整个反病毒界的标准方法一直沿用至今。内存型病毒出现时,会监控系统中断,一旦它们进入内存,就会监控系统中发生的一切,包括反病毒软件的行为,为了对付这种情况,反病毒产品出现了监控系统。如今监控系统又成为反病毒产品的一个标准组件

  随着病毒的发展,病毒产生的速度越来越快,呈逐年上升的趋势,在这种态势下,传统的捕获、分析、入库、升级这样的流程已经很难适应大量产生的新病毒。于是出现了基于病毒行为的未知病毒扫描技术。象金山与卡巴斯基的启发式查毒,瑞星的虚拟机技术。在他们的产品里,会有一整套分析未知病毒的规则,利用该规则,能够在没有特征码的情况下,对病毒进行识别。现在,几乎所有的反病毒产品都内置了未知病毒扫描技术。我们今天看到的反病毒产品,就是这样不断地解决病毒问题的产物。

  第二项修炼:企业反病毒体系

  以上说的是反病毒体系,是基于单机系统的,对于企业网络情况没有进行考虑,在这种情况下,企业想对自己的网络进行病毒防护,只能采用网管买来一套杀毒软件,逐台进行安装,再逐台杀毒的过后方式。这种办法对于微型企业还可以适用,但是当人数超过50人,这种逐台安装并杀毒的方式就成了一件困难的任务,当企业人数超过1000人时,就会能为一件不可能完成的任务。

  为了解决这一问题,诞生了网络版杀毒软件,网络版杀毒软件与单机版的病毒查杀能力是一样的,区别在于网络版对是以整个网络为查杀对象,用一套软件,将整个网络连接起来,只要局域网内部可以连通,网络管理员就能够通过一台电脑为网络中所有的电脑统一安装杀毒软件,还能进行统一监控、统一升级、统一病毒查杀。网络管理员可以足不出户就能对网络所有的电脑进行统一的杀毒管理。网络版杀毒软件,极大地提高了企业反病毒效率。

  第三项修炼:网关安全体系

  然而,企业反病毒只能解决网络内部的反病毒行为,对从外网直接向内网的病毒攻击行为与黑客行为无能为力。当病毒大面积爆发时,就会产生网络阻塞,最终使整个网络崩溃。当一个病毒大规模爆发时,如果网络出口处没有相应的防护,那么就相当于将病毒与攻击直接放进内网,这样就会消耗掉整个网络带宽资源。当病毒进入内网后,网络版杀毒软件开始监控并清除病毒,这样会消耗到大量的电脑资源,只要网络入口处的病毒不消失,这种带宽资源与电脑资源将会一直处于消耗殆尽的状态。当年求职信病毒爆发时,大多企业都经历了这样的僵局。

  为了解决这一问题,出现了网关安全产品,从而产生了网关安全体系。在整个体系里,有防止外网对内网攻击的防火墙,有防止外网对内网病毒传播的防毒墙。有IDS、IPS、UTM等。这类产品有一个共同的特点,就是都是基于LINUX开源系统的硬件平台,只要连接到网络就可以工作。他们负责监控网络出入口的流量,一旦发现有异常,便可以直接将流量断掉,从而不会将安全问题从外网带到内网中来,保障了内网的效率。

  第四项修炼:ASOC产品联动体系

  随着信息安全的发展,信息安全软硬件产品越来越多,由于每一种产品都只能解决一类安全问题,一个企业往往购买了多种安全产品,但是这些产品各自为政,虽然能够解决某一类问题,但是互相之间由于没有沟通,就会出现当复合的安全事件出现时,各个设备各自为政,会大量浪费资源,达不到好的防护效果。在这种情况下产生了ASOC的体系。

  ASOC可以是一个产品,也可以是一个架构,它最重要的目的是通过统一的接口将所有不同类型的设备联系起来,一个设备的检测结果可以作为另一台设备的输入,从而为另一台设备的处置提供依据。最常见的有两种情况。一是旁路设备与直路设备的联动。旁路设备有发现安全事件的能力,但是没有阻断的能力,象IDS这样设备,如果它发现一个内网的入侵是由外网的攻击引起的,那么就可以通过ASOC联动体系发送消息给防火墙设备自动进行阻断。

  第二种情况是网关设备与客户端软件的联动。当网关设备发现一个内网的攻击时,它本身没有办法处置,但可以通过ASOC联动体系给客户端软件传递一个指令,命令客户端软件进行处置。象东软、天融信就在积极研发ASOC的产品和标准。

  第五项修炼:内网安全体系

  一个不争的事实是,我们的企业有了以上四种修炼体系,安全事件依然逐年呈上升趋势,企业信息安面临着更大的考验。出现这一问题的原因在于我们以前的安全体系都是从技术的角度来看企业的安全,没有从企业自身的安全需求出发,造成了这样的现状。

  事实上,如果要想保障企业的安全,还需要进行最重要的第五项修炼,它就是内网安全体系。这是一个真正意义上的以企业为出发点的安全体系,是企业安全的未来。在这个领域研究多年的极地银河公司(www.jidigalxy.com)已经领跑多年,形成了一个很完善的体系。

  目前对于个人用户而言,只要上网安装杀毒软件打开监控以及软件防火墙,就可以基本保证信息的安全和系统的稳定,当系统出现无法解决的问题时,还可以通过重装系统或GHOST备份软件来恢复系统。这样的应用对于企业信息安全的保障而言就显得力不从心了。第一,有许多在个人电脑上不是问题的问题,一旦进入企业,就成了一个非常大的问题。规模能够成倍地放大问题,因此网络规模越庞大,出现的问题就越多。

  企业产生的文档、源代码文件、所有的设备连接在一起,就形成了各种各样的资源,如果对这样的资源进行管理,就成了一个很大的问题,这需要资产管理系统和桌面管理系统的介入。

  另外,目前大部分网络蠕虫病毒爆发,都是基于漏洞,由于网络中每个人的习惯及计算机应用水平高低不一,补丁管理意识有强有弱,只要网络的一个节点出现问题,它就可能被病毒攻陷,从而给整个网络带来灾难性的后果。这里就需要有一种能够对整个网络补丁进行分发和管理的系统来维护。那么,在补丁管理之前,我们还需要对整个网络定期进行漏洞扫描,做到未雨绸缪,对于出现的安全隐患要及时根除。

  通过以上的技术,基本上就能把内网当做一个整体来管理,但是似乎还缺少一些东西。对了,就是对移动介质管理。移动介质是企业最不可控的非安全因素,是企业安全的一个缺口,我们无法控制员工的移动介质里是正常文件,还是一个可执行的U盘木马病毒,因此还需要一个移动介质管理系统。

  由于内网安全管理是一个全新的体系,目前只有少数厂商在积极探索。领航内网安全管理多年的极地银河,他们深得内网安全管理三昧,积极推动企业的第五项修炼,研发并推出全球首款终端与内网安全管理系统,该系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。极地银河终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行联动,共同提供全网信息安全解决方案

  极地银河终端与内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集信息,并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户端模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。控制台采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有客户端模块的计算机,管理各类审计系统,制定安全策略。经过这一套完整系统,三端配合,发挥全面整体防御功能,完全将企业内网的安全通道封死,使企业网络更加安全。

  信息安全是一个博大精深的体系,它需要信息安全厂商以毕生的精力来研究,而积极推动企业的第五项修炼-内网管理,则是每个信息安全厂商的义务,也是企业安全的未来。

热词搜索:

上一篇:服务水平管理(SLM)之评审报告
下一篇:管理献计:七大计策应对网络管理各项难题

分享到: 收藏