信息安全保护体系中,只有发现更多被忽略的薄弱环节,才能营造出高可控、相对安全的工作环境。
2005年10月18日,群柏数码在京启动了“全局信息安全发现之旅”,旨在“一切以用户的数据安全为核心,为用户提供多层级,大、纵、深的全面数据保护之道”。“旅途”经过成都、上海和广州,参加“旅行”的有渠道伙伴、企业级用户以及Nokia企业解决方案事业部、CipherTrust、RSA、McAfee、Packeteer等众多厂商。
此次发现之旅,主要是帮助屡遭安全困绕的典型用户陈群柏克服困难,应对安全挑战。与此同时,让广大用户深入了解企业目前面临的安全威胁已经大大扩展,需要无处不在的信息安全保护。
到底怎样保护呢?请同陈群柏一起去旅行。
主人公简介
虚拟人物—陈群柏先生是一家大型企业集团的CIO,该集团经营的项目包括电子商务、汽车制造等。
倒霉的周一
在巴厘岛晒了3天,皮肤黝黑、鼻尖曝皮的陈群柏悠哉晃哉地走进办公室。像往常一样,边与同事打着哈哈,边打开电脑收邮件。与往常的周一不太一样,这次未收邮件802封。对着电脑,陈群柏先是圆目怒瞪,后是无奈地叹气。
慢慢删吧。
老板怒斥
1个小时后,电话铃声响起,是老板打来的,刺耳地尖叫足以让陈群柏汗颜:“怎么搞的?我雇你干什么用的?电子商务站点没法儿访问了,你怎么连个气都不出,那么多客户没办法下单!造成多大的损失啊?你承担得了吗?你想怎么样?啊???”
陈群柏没胆儿辩解,只一个劲儿地赔不是。
老板最后一句,他听得很清楚,“赶快把网站给我修好,不然的话,你就不要在这儿干了!”
陈群柏头大了。他纳闷,为什么配置了防火墙邮件报警,还是让老板先发现了问题?
这时,在收完800多封垃圾邮件之后,有封警报邮件出现了,陈群柏一头大汗。开始拍桌子,暴怒该死的垃圾邮件!
度过危机时刻
怎么办呢?陈群柏怎么度过这个危机呢?
一起旅行的Nokia公司代表给陈群柏出了一个主意:首先,选用更强大、更智能的防火墙;其次,部署一个邮件安全网关。
Nokia代表举例说,Nokia IP 1220就是一款适合陈群柏选用的防火墙。它运行于CheckPoint VPN-1 Pro的IP安全平台,提供先进冗余功能,还提供基于磁盘或闪存的存储配置,并能与混合(闪存和CD)本地存储一起配置。为需要千兆比特的外围设备安全解决方案的大型企业,或者需要确保几个10/100以太网内部网段或几个千兆以太网网段安全的机构,提供保护。这些平台非常适合那些既需要强大的企业性能,又需要管理高可靠性的公司。
据统计,87%的电脑病毒是通过邮件互相传染的,而病毒又能产生大量的垃圾邮件,在企业边界部署邮件安全网关成为企业必备的安全措施。
所谓邮件网关是指在邮件服务器之前、防火墙之后部署反恶意攻击、反垃圾邮件和邮件病毒过滤系统,以防止垃圾邮件和病毒冲击企业内部。应该说,在电子邮件还是互联网时代主要的通信工具的前提下,邮件网关产品就开始担负了重要的邮件安全保护任务。
邮件网关产品很多,代表性的产品有CipherTrust的IronMail、美讯智的Secure Message Gateway(简称SMG)、敏讯的EQManager邮件安全网关等。
IronMail在一个易于部署和管理的平台中集成了5个电子邮件安全的关键构件,包括垃圾邮件与欺诈防护、病毒与蠕虫防护、策略与内容符合性、电子邮件私密性以及安全电子邮件网关功能。
而SMG,可将反垃圾邮件和病毒防御以及信息过滤无缝的整合到一个解决方案中,作为保证电子邮件本身安全和电子邮件系统稳定的一道防线,杜绝来自Internet的病毒、垃圾邮件、非法内容邮件等进入企业内部邮件系统的可能性。据悉,SMG支持多种操作系统和邮件系统。
敏讯EQManager邮件安全网关是一套将反恶意攻击、反垃圾邮件、病毒过滤、以及敏感信息智能过滤等功能进行无缝整合的一体化的电子邮件安全防护解决方案。它采用“行为模式识别”核心反垃圾邮件技术和SMTP-IPS邮件智能防攻击技术,帮助陈群柏建立一套便于管理、不断升级的病毒和垃圾邮件监控防御体系。
听了Nokia代表和Ciphertrust代表的介绍,陈群柏似乎心里塌实了许多。他想,赶紧把眼前的急事儿给解决了,然后找老板要钱买设备。有了垃圾邮件这档子事儿,料老板也不会反对。
找到答案的周二
昨天的事儿算是告一段落。晚上,陈群柏趴在办公桌上仔细分析各种日志。老板走的时候,从远处往他这里看了看,心想:这小子还挺有责任心的。昨天早上是不是对他太严厉了?
攻击来自内部
陈群柏根本没留意,一门心思看日志。根据日志反映,昨天的网站崩溃事件,是刚刚离开公司的一位IT部门员工蓄意破坏的。陈群柏自言自语:“专家说得对,70%~80%的攻击来自内部。看来,内部安全很重要呀。现在得赶紧把漏洞堵住,否则下一次再发生类似的事儿,自己还不让老板折腾得吃不了兜着走?”
于是,陈群柏走神了,开始幻想:黑客入侵,偷走客户资料,老板正在接各方面打来的投诉电话,应对投资者和股民媒体的投诉,之后暴怒,把陈群柏解雇,陈群柏衣衫褴褛地走出办公室,同事们投来鄙夷的眼神……
双因素认证核实身份
一阵风吹进了办公间,把陈群柏从想象中拉回了现实。陈群柏痛苦地呻吟:“我该怎么办好啊?怎么维护电子商务网站的安全性,特别是保护重要的企业资产以及防范内部员工报复性侵犯呢?”
来自RSA代表这样告诉陈群柏:“你可以使用双因素认证来加强身份管理,它在很大程度上保障企业内部安全。首先是重要数据资产必须保护,其次强化访问控制,比如没有令牌,离职员工就不可能再接触到任何的公司内部资源。”
RSA代表以自己的SecurID身份认证系统为例,告诉陈群柏怎样防范内部恶意攻击。
本来,网络世界让通信、交易及访问请求变得越发复杂,用户永远难以确定在网络的另一端到底是何许人。SecurID能够为用户排忧解难,它让用户在访问机密信息之前先进行身份验证,只有验证成功,方可进行访问。
从技术角度来看,SecurID由三部分组成:身份认证设备(又称令牌,就像身份证)、管理服务器(像验钞机)以及代理软件(像渡船)。
SecurID令牌让用户证明自己的身份合法后可获得受保护资源的访问权。令牌先产生一个随机但专用于某个用户的的“种子值”,该令牌每1分钟更新一次,其数字只有对于指定用户和特定时刻才有效。当然,还要综合用户的PIN码和密码。鉴于令牌的这个动态性质,用户的电子身份很难被模仿、效用或破坏。
SecurID服务器在收到请示时,使用与用户认证设备一样的算法和种子值来验证正确的令牌码。如果用户输入正确,用户被允许访问,否则将提醒用户再次输入。如果三次输入均告错误,则该用户被吊销使用权。
SecurID代理软件在终端用户和需要受到保护的网络中间发挥作用。当一个用户想要访问某个资源时,SecurID代理软件将请示发送到SecurID服务器,认证通过后才放行。
听罢,陈群柏乐了,原来,双因素认证能给电子商务网站上双保险。他感叹可找到真经了。
漏洞评估与IPS防患于未然
且慢,McAfee代表见陈群柏过于得意,忙前来劝阻,“老兄,刚才的办法能保证访问者身份的合法性,但杜绝不了网络系统自身所带漏洞引出的安全危机呀。告诉你吧,要真正摆脱目前不安全状况,还需对企业内的数据资产做一次系统的评估,并且找出系统的漏洞。之后,用IPS做蜜罐,抓住黑客。”
每个企业都面对着纷至沓来的有关安全威胁和漏洞的信息,而仅仅是数据量就使企业几乎无法确定哪些安全威胁至关重要,哪些安全威胁无关紧要。尽管每一项资产、漏洞和威胁都需要陈群柏关注,但其重要性并非完全相同。成功的漏洞管理通常始于确定最重要的资产、识别这些资产中存在的漏洞、对于入侵威胁做出响应以及采取补救措施。如果缺乏基于优先级的风险管理系统,企业将无法摆脱安全之虞。
McAfee代表说,McAfee Foundstone Enterprise是一个基于优先级的漏洞管理解决方案,它具有资产发现、编目和优先级设置、威胁智能评估和关联、补救措施跟踪与报告等功能,保护网络基础架构,确保业务的持续性。
然而,相当一部分攻击是在发现漏洞之前发起的,对于这些攻击,McAfee代表建议陈群柏考虑能在攻击造成破坏之前对攻击进行检测和拦截的入侵防御(intrusion Protection System,IPS)解决方案。
以McAfee的IPS方案IntruShield为例,它提供了高级防护功能,可抵御已知攻击、未知攻击和加密攻击(即将恶意攻击加密,一些检测手段难以检测出这种经过加密的攻击);它还能够在攻击发作之前检测出攻击,并阻拦住攻击,并对网络核心、边缘乃至分支机构提供保护,具有很强的升级和扩展能力。
“IPS真是个好东西!”看着自已七零八落的网络,陈群柏随口说了一句,“从安全上看,网络该升级了。”
上下求索的周三
这两天,觉睡得极其不实在,都是网络安全闹的。
陈群柏想着,今天好像没什么事,正琢磨着眯瞪个小觉儿,麻烦事儿又来了。
新麻烦出现了
陈群柏所处集团下属的汽车厂生产着广受欢迎的经济型轿车,为了进一步提高效益,老板决定导入JIT系统(Just In Time),通过JIT系统,将把其汽车所有主要零配件供应商的网络相互连接起来。
但是,零配件厂商所处地域跨度较大,需要使用WAN链路连接,系统经过初步调试,数据的同步性成为一个大问题。因为经常发生链路堵塞,影响了业务的连续性。
这不,老板的秘书“传讯”陈群柏来了。陈群柏走进老板办公室,强打精神听他总结完上述问题,之后绞尽脑汁思考着解决办法。这是应用系统的问题,一向习惯搞网络的陈群柏感到有点儿棘手。老板见他没个主意,就把他打发走,让他明天提个方案。
陈群柏诚惶诚恐地退出老板办公室,赶紧搬来山一样高的资料查呀查,想啊想,怎么才能优化应用程序呢?
带宽管理显身手
上午就这么过去了,吃饭的时候,陈群柏满脑子都是“?”。
功夫不负有心人,下午在浏览资料时,突然,“带宽管理和优化”映入眼帘,他意识到他找到答案了。
当前,陈群柏面临的应用越来越多,桌面计算能力也越来越强。而对它们的监视性、控制性却很弱,可预测性则更低。对这些负面影响束手无策的后果是:网络中断、应用性能下降,进而降低生产力,带来经济损失。通常,大家对这一后果的正常反应是增加带宽,希望为重要应用喘息的空间。这样做解决不了实际的性能问题,倒使问题永存不变。
真正解决应用性能与网络资源满足业务需求的办法是流量管理,它可以优化带宽的使用,提高网络应用的性能,有效发挥管理的作用。
所以,为了解决数据同步问题,陈群柏需要使用带宽管理和优化工具。但使用前,他先要明确:在企业网络中,到底是因为上了JIT系统还是因为其他原因产生了流量瓶颈问题?之后,再寻找适当的解决方案(比如Packetshaper的应用流量管理系统)。
陈群柏查了一下,Packetshaper的应用流量管理系统能够帮助他了解网络应用流量、流量负载、带宽利用率以及不断变化的网络需求;然后适当分配网络资源,支持JIT系统的运转,严格控制非业务流量占用带宽;同时,它利用压缩和优化技术,在尽量短的时间内传送尽量多的信息,而在管理方面,它又能从一个集中的高度,让陈群柏很方便地监视和控制应用的性能。
“得,就是它了。” 陈群柏唠咕一句。想着,今晚可以睡个安稳觉,心里放松了许多。
3天的坎坷经历,让陈群柏发现许多保护网络的安全解决方案,大开了眼界。与陈群柏共同游历的读者,是否也找到一些答案呢?