分析教育信息化安全法则与远程管理的矛盾
来源:金融界 更新时间:2012-04-15

信息安全管理中,管理远程用户访问长期以来就是一项矛盾突出,并且十分艰巨的任务。远程访问所带来的安全隐忧远比企业内部网络的压力大得多。

  互联网作为企业运作基础架构,愈来愈多移动工作者在外利用PDA或笔记本电脑连网,以取得文档资料或ERP信息,甚至是数千公里以外的分支机构需要访问总部的核心数据区。这些安全疑虑也带来了VPN接入、用户身份管理、访问行为控制等一系列的安全防御需求。

  因为看不到,所以不安全

  建立信息安全保护框架的通用法则包括:安全防御的完备性、一致性与有效性。完备性,是指安全保护框架不应有安全漏洞;一致性,是指安全保护框架中的所有终端具有同样的安全防御功能;有效性,是指安全保护框架中的一个计算机信息系统所实现的安全策略和安全机制,符合用户的当前需要。

  远程客户端与这一法则矛盾之处就在于,它们不受网络资源拥有者控制和管理,因为较之本地资源,技术人员对远程客户端的接触通常会受到更多的限制。

  例如:依据Internet无处不在的特点,给用户带来了远程资料共享和异地办公的便利条件,也给病毒和黑客带来了一种入侵企业核心数据的新途径。远程访问客户端所在的网络可能充满了混合攻击,开放这些网络对企业的访问就可能成为不法分子攻击企业核心网络的跳板。

  虽然可以通过限制端口等策略进行抵御,但终端客户机的安全我们仍然无法保证,技术人员对于这些工作的计算机管理权限将会微乎其微,有的时候根本接触不到,除非用户将计算机拿到你的办公室来。因此,在网络中,“眼不见,心不烦”的情况十分危险。

  分支机构的安全保障

  大多情况下,分公司和企业数据中心间的VPN连接需要两台端点VPN设备或服务器以及Internet。在建立对本地ISP的高速连接后,可通过VPN设备或服务器建立VPN隧道,以便分公司能访问企业资源。

  这类连接也可用于促进企业网络上的管理员对分公司系统进行远程管理,但将分支机构的每台客户端进行安全加固似乎成为了不可能完成的任务。人们开始热衷于是构建一个“完整的”网络接入控制解决方案——“可信接入”。

  目前出现了几种安全接入技术,这些技术的主要思路是从终端着手,通过管理员指定的安全策略,对接入私有网络的主机进行安全性检测,自动拒绝不安全的主机接入保护网络,直到这些主机符合网络内的安全策略为止。

  目前具有代表性的技术包括:思科的网络接入控制NAC(Network Access Control)技术,微软的网络访问保护技术NAP(Network Access Protection)以及TCG组织的可信网络连接TNC(Trusted Network Connect)技术等。

  就原理来说,三种安全接入技术都是将访问网络的客户端置于同一个安全等级。通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,对现有安全资源进行有效管理和整合。

  而根据部署应用方面看,更多人看中了NAC与NAP已经缔结良缘的现实,即网络接入设备上采用思科的NAC技术,而主机客户端上则采用微软的NAP技术,从而达到了两者互补的局面,有利于其进一步发展。

  而在实际工作中,NAP部署过程要比想象的容易很多。例如将一台Windows Longhorn Server设置为DC(域控制器),在此计算机上安装AD(活动目录服务)、DNS和Network Access Services,在安装Network Access Services时,选择安装其中的Routerand Remote Access,这样就完成了基本平台的准备工作。

  而配置Network Policy Server的时候,更是有众多的安全模版可以配合选择。简单的配置,就可以实现企业管理接入到企业中的计算机必须符合企业的安全标准,只有符合企业标准的计算机才能够访问公司的内部网络,不符合标准的计算机被限制在企业的网络之外。

  NAP的设计也将会得到更多安全厂商的支持,这都将适合于合作伙伴或者分支机构的计算机接入企业网络的场景。

  直接访问安全内网

  远程访问主要是指两种访问方式,一种方式是采用远程访问服务器,很多时候是指DMZ区中的服务;另一种,就是远程客户端直接访问内网资源。而后者的应用需求越来越多,这让我们无从下手。

  从安全性而言,防火墙最大的优势就在“隔离”上,即将内部涉密网与外部网分离开。它对网段之间数据通信的安全控制,是通过定制有效的安全规则和策略来实现的,其安全依赖于安全策略制定的合理性和严谨程度。这样可以保证外部网上的黑客无法连接内部涉密网,具有很高的安全性,但同时也造成了工作不便、数据交流困难、设备增加和维护费用加大等。

  一位销售助理的话耐人寻味:“我每天除去正常的业务电话外,随时要等候销售工程师打回来的电话。他们常常需要我打开他们的电脑,从中寻找他们存储在一个套一个的文件夹中的资料,然后通过E-mail发给他们。大家可能都知道,他们通常将客户资料放得很‘深’,所以经常有人抱怨我工作效率太慢。另外,他们回到公司的第一件事就是更改密码,像防贼一样防着我。”

  无区域的网络

  “深度防御(Defenseindepth)”的概念是指用多个安全层次保护重要资产。例如重要的文件存放在带锁房间里带锁的文件柜中,而这个房间又在整个带锁的大楼里,大楼里还有警卫……。

  但是,为了让那些“门外汉”进到屋里来,很可能还需要为他们提供卧室休息。这就必须使用一种“无区域”网络方法,所以说,身份的确认是首要的,只有知道了他是谁,才能够决定是否借出你的卧室给他使用。

  在信息安全如此重要的今天,几乎所有的网络应用中都支持身份识别的多种存在形式,“用户名+密码”是最简单也是最常用的身份认证方法,它是基于“Whatyouknow”的验证手段。

  任何一个用户能够正确输入密码,计算机就认为他是合法用户,然而实际工作中,由于许多用户为了防止忘记密码,经常采用诸如自己的生日、电话号码等有意义的字符串作为密码,这也就使得静态密码的存在如同虚设。

  更多金融行业和政府重要部门,已经放弃了密码认证这一原始阶段。更多的采用令牌解决方案、SMS一次性密码和数字证书等安全型身份认证。在这些用户身份认证方案中,智能卡算是功能比较全面,而且更便于管理的一种方式。

  所有能够证明自己身份,以及一旦接入网络后你应该获得的权限,都被嵌入在一个信用卡大小或是电话卡大小的芯片中,如:客户身份识别卡(Subscriber Identity Modules,SIM)。

  从前面销售助理的案例中分析,我们如果能够为每位外出的工程师配备身份识别卡,从安全的观点和实际效果看,工程师们只需要通过移动PC上的智能卡阅读器,验证VPN连接或访问总部内网主机的情景将成为现实。

  另外,在密钥管理方面,智能卡比PC本身更为安全。那么,即使笔记本丢失或者被盗,由于私钥不会随之一起丢失,所以也不会令此种安全事件升级,影响整个网络的健康状况。

  从现实来看,大多数企业的安全机制仍然是分散的。分支机构和移动办公依然存在着安全隐患,而可信接入和身份管理技术都还存在着不足的一面。企业利用现有的认证、授权、管理乃至审计方式,随着应用数量的增加,企业的管理难度也会越发明显。

  而从未来发展来看,两种技术的应用和普及还是乐观的。如:IPv6中集成的“端到端”安全性基本组件,IPv6使我们有机会在将网络迁移到这种新型协议下端到端的安全防护等级。

  建立信息安全保护框架的通用法则包括:安全防御的完备性、一致性与有效性。远程客户端与这一法则矛盾之处就在于,它们不受网络资源拥有者控制和管理。