来源:硅谷动力 更新时间:2012-04-13
人们对于网络安全,特别是局域网的安全,倾向于向外用力。但根据公安部门最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理,58%无严格的调存管理制度。由此看来,一个能进入办公室打开电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。祸起萧墙其意在于表明内忧甚于外患。如今的网络安全亦是如此。
网络安全向内用力,将逐渐成为网络安全的热点,因为鲜有针对内部安全隐患的防范工具与手段。本文针对于此,在客户端管理这个立足点上,探讨内网安全解决之道。
内网安全的一个理念就是,要建立一个可信、可控的内部安全网络,这一点论述在其他论文中有重要论述。内网的客户端构成了内网90%以上的组成,当之无愧地成为内网安全的重中之重,那么,怎样去管理客户端,才能建立一个可信、可控的内网呢?
管理客户端,建立一个可控的内网,至少必须完成以下基本问题的处理:
非法外联问题 通常情况下,内网(Intranet)和外网(Internet)之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。
但如果内部人员使用拨号、宽带等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的
敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。
使用软件违规问题 内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦。而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。
其实,这些问题都可以总结为一点:在内网安全中,对于计算机至关重要的软件资产如何管理的问题。
计算机外部设备管理 如果不加限制地让内部人员在内网计算机上安装、使用可
移动的存储设备如软驱、光驱、USB接口的
闪盘、硬盘、
数码相机等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。
这个问题可以归结为,怎样管理计算机的外部设备,达到建立一个可控的内部网络。
计算机使用者重要文件保护 一般内网中的计算机使用者,为了
启动的迅速,BIOS上的密码都不设置。同时,管理员为了管理方便,使用域策略,使得在相同域中的使用者,可以通过域帐户进入别人的计算机,可以操作相应的机密文件。比如,如果知道该域的管理者的密码,几乎可以登陆任何该域内的计算机,对计算机进行设置,对文件进行各种操作。
同时,对于涉密单位也有这个问题存在,当某员工离开自己的位置处理紧急事情时,或由于其他原因忘了锁自己的计算机,这些已经打开的涉密文档的保护问题。
这样引发的问题就是,怎样才能管理涉密单位个人使用者的计算机上重要文档。
打印机等公用资产使用登记 对于涉密的内网安全,关键的资料不允许打印带出工作间观摩,这些关键资料包括重要的设计图纸,重要的设计文档,重要的参考文献。
对于这些重要电子文档的打印,要进行严格的登记和日志记录,从而也产生了怎样记录登记所有共享打印机上打印记录,以便为资料泄漏提供强有力的佐证等一系列问题。
但这个网络安全管理的客户端程序应该做成什么样、怎样做才能完成内网安全管理的需要呢?
内网安全客户端解决方法 对于内网的客户端管理,选择管理的着力点是至关重要的,也决定了对客户端管理的成效。集中控制管理的力度毕竟是有限的,特别是对于此,如果对内网客户端管理的着力点放在一个中心控制器上,管理的效果会大大减弱,甚至显得无能为力。
一般不得不将对内网客户端管理的着力点放在驻留在客户端计算机上的管理程序上,这个程序称为客户端安全管理程序。由该程序管理内网安全诸多相关事宜,管理的策略、管理的方法最好由一个中心控制器来管理下发。
经过两年多的探索和不断尝试,上海网程通信科技发展有限公司技术部研发出一套独具特色的内网安全管理软件――网盾IPtrust3.0。
IPtrust3.0 是一个在局域网上进行有效监视的工具。它的主要功能包括:
可以实时监视和记录局域网上各个计算机上的屏幕快照;
可以将所有计算机的屏幕快照归档保存,并能方便快速地调出和查阅所保存的历史记录,可以记录所有计算机各项应用运行的情况以及浏览互联网的情况,并能产生统计图表让用户查看用户的使用情况;
可以阻止计算机运行某些指定的应用程序或浏览指定的网站;
可以查看所有计算机的软硬件配置信息;
可以记录用户对文档的操作和控制系统的外部设备;
可协助管理人员和工作站员工透过工作站作实时互动;
管理者可以通过互联网或其它远程通讯的方式管理远程的局域网的运行情况。