终端如何成为内网安全的“软肋”
来源:IT168 更新时间:2012-08-12

 信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而,自网络诞生的那一天起,它就存在着一个重大隐患——安全问题,人们在享受着网络所带来的便捷同时,不得不承受着网络安全问题带来的隐痛。
  说到网络安全,人们自然就会想到网络边界安全,但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面的防御、重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题,成为内网安全体系中最薄弱的环节和“软肋”。

  内网终端:

  内网安全体系之“短板”

  2004年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查,其中发生网络安全事件的比例占58%。从这些数据我们看到,网络安全已成为阻碍网络应用的关键所在,要使企事业的IT资源能够得到有效的利用,首先需要解决的是基本的网络安全威胁。值得欣喜的是,网络安全得到越来越多人的重视,已经有许多企业在网络边界部署了防火墙,网络中安装了杀病毒软件,部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而,这些安全措施并没有对内网,尤其是没有对各个计算机终端进行有效监控,从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题,更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。

  事实上,堡垒最容易从内部攻破!

  目前,比较流行或者说应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,不管内部网络行为和设备的应用等等。他们都不是专业的内部网络安全工具,不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款工具。

  我们都知道,进行网络安全体系建设,要综合考虑、注重实效,在我们考虑防火墙杀病毒、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,因为这些才是网络安全面临的最大威胁,也是网络安全的最大挑战。最理想的状态是,我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁,并组织相应的技术、产品以组合方案的方式,统一解决;既考虑到投入成本与效益之比,又能最大程度上避免“木桶原理”的安全诅咒。

  随着信息网络不断发展,内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。在众多的内部网络安全威胁中,最主要和最应关注的有:

  首先,内部人员或终端设备的主动或者被动泄密

  泄密问题一直是内部网络的一个头疼问题,尤其是对于涉及国家机密或者事关企业生存和发展的核心秘密,如国防军队/军工单位和政府行政办公的有关信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司战略竞争信息等等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大。泄密的途径,也主要有两个,一是人员,二是机器设备;从主观态度上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会给企业带来不可忍受的损失,有的甚至侵害到国家的安全、利益。

  因此,我们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。

  其次,终端设备主动或被动的制造/传播病毒等恶意代码

  在网络应用非常深入的单位,总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇,而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,使得部分甚至全部的网络资源不可用,从而影响单位的生产、办公。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网络运行造成了不良影响。

  这些病毒、木马等恶意程序往往利用系统漏洞进行破坏。

  第三,终端设备或网络应用非授权使用或者授权滥用

  大部分单位都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说,区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户,会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网,但员工却能想出很多办法,在上班期间也能上网;还比如,某员工无权访问单位的业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的权限;至于网络资源滥用的实例就不胜枚举了:有权上网的员工,没有利用互联网去开展业务,而是在下载电影、玩游戏等等,非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。

  第四,内部人员或者终端设备的主动或者被动攻击

  从网络诞生的那一天开始,黑客就存在,发展到今天已经到了无孔不入的地步,而且还在进一步蔓延,许多黑客攻击行为已经不需要太多的网络攻击知识,只需简单的攻击程序和设置就可以实现。在内部人员和设备中,也不乏这样的角色,他们本身不具有很高超的攻击水平,而只是应用现成的攻击程序来实现“黑客”目的,主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。

  黑客技术正在不断的迅速发展与变化,从一个漏洞发现到攻击代码实现,到蠕虫病毒产生,几年前可能是几个月甚至半年多,而现在几周甚至一天就可以完成。在微软发布MS04-011公告时,NGS的David在看到公告的8分钟后写出了攻击代码,Xfocus成员也在6小时内写出了通用的攻击代码。

  第五,因安全管理不善,引发的IT资源不可用或者资源损失

  这里的管理不善,主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。比如,我们规定在某一些工作计算机上,不能安装运行某些软件,可是还是有人安装了;对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改;任意的将非本网络的设备接入内部网络;任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的规范。

  第六,终端计算机自身存在安全缺陷,导致网络内部安全隐患

  网络当中的客户机很多,终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞,可能会引发蠕虫病毒等威胁。如果配置不完善,则容易导致信息泄露甚至黑客攻击事件的发生。因此,维护每台客户机自身的系统安全性,也是应该予以考虑的。

  进入二十一世纪,以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,使政府机关和企事业单位的网络管理人员头痛不已。总结起来,政府机关和企事业单位的内部网络管理大致面对着以下问题: