企业须重视端点保护安全管理
来源:中国计算机报 更新时间:2012-04-13
最近发作的极速波病毒Zotob创造了一个令人难以置信的记录——它从漏洞被发现到被成功利用仅用了不到6天的时间。蠕虫爆发仿佛禽流感,只要有一台终端出现问题,周围的网络中就会产生多米诺骨牌式的连锁效应,一个端点的问题,就立刻被放大成整个网络的问题。

  “兵来将挡,水来土掩”。各种防御措施和防御体系也在不断更新,达成安全网络的解决方案从提供单一的防范措施逐步向系统性、集成性发展。然而,即使各大厂商不停地增强安全工具和补丁程序,企业仍然无法摆脱网络危机的梦魇。显然,以往防火墙、防病毒、入侵检测“三板斧”式的防御看起来已是力不从心。

  “道高一尺,魔高一丈”?真的如此吗?未必,或许是时候重新看待原有的安全理念了。赛门铁克公司董事长兼首席执行官John W. Thompson在今年刚刚结束的RSA大会上就表示:“在经济全球化的今天,安全问题既可以是一种竞争优势,也可能是一种竞争劣势。今天的威胁是无声的,但目标却是高度明确的。犯罪分子正搜寻个人和企业财务信息——他们正试图通过这些信息来获得实实在在的经济好处。”

  着眼终端的安全理念

  那么,新的问题在哪里?一份由计算机安全协会(Computer Security Institute)与美国联邦调查局(FBI)联合进行的计算机安全报告显示,对企业网络构成最大威胁的恶意代码全部都是源自终端。除了病毒外,还有笔记本用户之间的交叉感染、内部终端的未授权访问、内部终端滥用网络。

  既然所有的矛头都直指薄弱的终端管理,那么终端管理的现状又怎样呢?根据国际计算机安全协会(ICSA Lab)的病毒调研报告,有30%的终端不符合企业的安全要求。在蠕虫和病毒加速侵略我们的网络时,网络管理员们却发现自己迷失在终端管理的汪洋之中,疲于应对各种挑战:

  ·复杂的IT架构:多样化的设备、接入点、用户、程序和应用;

  ·日益开放的业务要求网络的开放,后果就是漏洞无所不在;

  ·网络可用与信息安全的平衡。在保证信息安全的同时,如何实现互连互通的网络,保证其能够很好地提高工作效率;

  ·传统方案不理想。例如边界防火墙,可以被轻松穿透;网络入侵检测只能在蠕虫损害了某些系统后,或正在广泛传播时才能可靠的检测出来,象是事后诸葛亮。基本的个人防火墙对系统的锁定不够,补丁管理总是滞后,而杀毒则颇似盲羊补牢。

  过去的桌面安全管理方案是基于网络存在物理边界这样的事实。而今天,VPN接入、诸如笔记本电脑、掌上电脑和PDA等移动终端和无线的接入,已经让企业很难定义一个清晰的网络边界。而通过端点的管理技术,可以把非物理的网络定义出一个清晰的边界。在今天的网络环境中,去定位、隔离和修复不达标的系统,意味着需要消耗大量的人力资源和时间;而且没有好的技术手段来保障,这些问题迟早又会重现。正是在这样的背景下,“完整的终端管理”这一新的安全理念应势而出。完整的终端管理能够在当网络存在风险时,通过管理网络中的各个端点,来保证终端的安全运行、实施自动修复,并在危害发生之前就将其消灭,以最终实现对整个网络的保护。

  从源头保证安全

  目前端点安全技术已经相当成熟,每个端点的价格也趋于合理,这就带来了商业普及的可能性。如赛门铁克安全策略保证系统(Symantec Secure Enterprise)就可以解决内部网络(含传统内网、移动用户和分支机构)的安全管理问题,而点播式保护(Symantec On-Demand Protection)则可以帮助企业在试图进入网络的访客设备上实施安全策略,解决与电子商务、电子政务、网上银行、SSL VPN以及其他基于 web的应用等相关的信息安全问题。赛门铁克网络准入/访问控制(NAC)的核心理念就是通过屏蔽一切不安全的设备和人员接入网络,以及规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。

  赛门铁克NAC理念认为,网络是由包括个人计算机、台式机、工作站、服务器、网络设备等各种各样的端点组成。各种端点是安全的最后一公里,也是最核心的地方,如果从源头入手,把安全做进端点,就可以通过确保网络中每一个“端点”安全措施的完整,来保护整个网络的安全和Web应用的正常。在网络节点接入安全网络时,需要对接入的系统安全状况及系统用户的身份进行充分的分析、评估、认证,以此确认该系统是否符合网络的内部安全策略,是否达标,最后再决定是否需要给予该网络节点系统的接入权限,还是拒绝接入或是安全升级后再接入。例如,当侦测/预防系统检测到网络系统中存在异常情况(如病毒、蠕虫或木马程序等)时,就会将相关信息报告到策略控制系统,再由策略控制系统自动发出控制指令,通过准入安全设备将异常端点设备隔离,同时报告给网络管理员作进一步处理。如此,系统就可以在短时间内控制发作范围,免去了因为人工操作时间较长,造成病毒或木马已经在网络内蔓延,难以控制的局面。这样,通过准入设备、侦测/预防系统和策略控制系统的联动,将整个网络打造成预防、及时处理和策略控制的全面安全系统,如同可信计算一样,确保了所有接入到网络上的端点是可信的。这样网络就不会被滥用,有效降低了潜在的安全风险、降低了网络系统安全危机发生的频率、缩小了发生的范围、提高了处理的效率,降低了企业损失和成本。

  这种全新的思路,从根本上改变了网络安全一直以来被动防守的局面,为用户提供了一套完整的能够真正实现主动防护、不间断防护和零时点防护的安全管理架构。这种解决方案使企业能够为消费者提供动态灵活的保护,创建一个安全的虚拟桌面(Virtual Desktop)环境来与企业进行互动。企业甚至可以设置和实施连接策略来阻止敏感的公司信息外泄。终端解决方案让消费者确信他们的信息不会被恶意攻击或者盗窃。他们还可以保护企业的品牌以及公司与其客户的关系。

  因此,不奇怪为什么越来越多的企业正转向基于风险的安全方式。诸如惠普、索尼、时代华纳、NTT、联邦快递、优利这样的大企业都选择了NAC在全球进行大规模的部署和应用,来保护自己的网络和客户的数据安全。在亚太地区,诸如瑞士信贷、富士通、中兴、一汽等也已经初步体验到了端点保护的优势。

  商业社区也需要端点保护

  此外,在数字世界里的消费者经常是安全保护系统中的薄弱环节。企业会担心它们的顾客是否得到了充分的保护,当客户访问关键商业应用程序时,企业需要一种方法来在客户进入网络前确保他们满足了某种最基本的安全要求。

  商业社区必须提供终端到终端的安全解决方案,解除数字世界客户的后顾之忧。企业应该利用它们的基础架构来提供关键和综合的解决方案,来确保终端安全,还必须保护含有客户信息的应用程序和数据库。有鉴于此,赛门铁克研究实验室小组已经开始开发一种名为赛门铁克数据库审查与安全保护(Symantec Database Audit and Security)的全新数据库保护技术。这种技术可以监视每一笔数据交易——以实时的方式进行,它可以建立审计跟踪,对每个数据库用户的异常使用情况进行扫描,标记出那些不符合公司政策的、对敏感数据的请求。

  必须意识到的是,把确保信息安全放在第一位不仅仅是安全防护公司或者安全防护专家的责任,它应该是企业、用户的责任。