如何实现纵深化的网络安全防御?
来源:中国计算机报 更新时间:2007-10-14

 

  当前IT面临的安全威胁

  随着企业信息化建设的不断发展,电子化的信息系统给企业带来了诸多便利,越来越多的信息通过网络进行高效传递,与此同时,新的问题也给IT专家们带来了全新的挑战,即如何构建安全的IT架构,使它们能够在不断演变、日益增多的安全风险中安然无恙?安全威胁的爆发频率越来越高、攻击手段越来越高明,而且受经济利益驱动的成分越来越大。同时员工和合作伙伴对连接的需求也提升到一个更高的层次,他们需要多点访问,无论在办公室或者在家都能够访问他们所需要的数据,而这无疑又加大了潜在威胁的风险。对IT专家而言,快速响应这些威胁是一项长期挑战,这对于保持企业的正常运转至关重要。如果缺乏行之有效的安全策略,组织的职能将消失殆尽,这绝非危言耸听。

  那么,究竟如何才能构建真正的安全可靠的IT架构?随着威胁技术的不断发展,当前条件下仅仅利用某一种防御技术已经很难真正抵御威胁,我们需要的是纵深化的、全面的防御,只有构建了综合的、多点的防御,才能使企业信息安全得到保障。本文将向您介绍纵深防御中的几个重要的环节。

  通信和团队协作安全

  现在,典型的企业工作者都需要进行移动办公和团队协作。他们具有复杂的访问个人、团队、企业和合作伙伴数据的访问需求。工作者需要在本地和远程都能够访问和共享这些数据,有时是在不安全的场所中,而且使用类似Internet公共终端这样的设备。即时消息、电子邮件、远程访问和Internet访问是关键的业务工具,因此任何服务中断都会给生产效率带来不利影响。但是,部署一种消息传递和协作基础结构又会增加安全需求和安全管理的复杂性。

  有四种因素可以威胁消息传递和协作基础结构的安全性,包括:

  ■恶意软件 现在很多病毒和蠕虫可以通过Internet、电子邮件和即时消息迅速感染全球数百万台计算机系统。类似MyDoom蠕虫这样的高调攻击(High profile attack)导致的停机和病毒清除可以给企业增加数十万美元的成本。事实上,根据 Computer Security Institute 在2005 年的调查,对于收入不足1000万美元的企业,平均每名员工的安全支出是643美元。

  ■垃圾邮件 垃圾电子邮件消耗网络资源,充斥电子邮件收件箱,这让企业不堪重负。仅MSN、Hotmail每天就要处理将近30亿封垃圾邮件。来自IDC的分析人员估计垃圾邮件流量要占到全部电子邮件流量的50%到95%。垃圾邮件不仅威胁企业效率,而且还是恶意代码的常用载体。因此,消息传递基础结构就成为企业防御恶意软件的重点。

  ■未经授权的网络访问 当网络向外部用户开放以进行消息传递和协作时,适用于保护LAN数据的安全过程和策略就会失去效用。例如,外部网络使用的脆弱的身份验证可能会危害网络接入点的安全,并允许未经授权的访问。通过Internet或无线网络发送的敏感数据如果没有适当的加密,可能会泄密。此外,因为现在黑客使用更加高级的应用程序层攻击,所以企业必须使用应用程序防火墙,以确保流量在进入内部网络之前得到过滤。

  ■未经授权的数据访问 企业越来越担心敏感信息通过消息传递和协作架构外泄。根据Jupiter Research 分析人员的调查,与其他任何安全问题相比,在受到病毒感染后,企业更加频繁地报告电子邮件意外转发和移动设备丢失。

  纵深防御体系

  纵深防御体系被认为是一种最佳安全做法。这种方法就是在网络中的多个点使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中,纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。

  多层保护

  为建立深入的消息传递和协作防御,企业可以在基础结构内的四个点保护网络流量,即网络边缘、服务器、客户端以及信息本身。网络边缘有两个作用:保护访问以及保护网络免受内部和外部攻击。

  保护访问。消息传递和协作防御必须防止未经授权访问网络、应用程序和企业数据的情况。这需要在网关或非军事区(DMZ) 提供防火墙保护。这层保护可以保护对于内部服务器的访问免受所有恶意访问的影响,包括那些寻求破解和利用消息传递及协作系统和服务的应用程序和网络攻击。

  要利用消息传递和协作服务器,黑客首先必须找到这些服务器。因此,企业必须实施一些技术以防止黑客找到基础结构服务器。例如,对于 Microsoft Exchange,很多企业提供通过Outlook、Web Access(OWA)的远程访问。企业可以在OWA服务器和网络边缘之间设置一个安全层,从而消除OWA直接访问Internet并带来潜在威胁的情况。这一层额外的保护给黑客找到有漏洞的计算机带来了困难,并且提供了一个可以进行用户身份验证和流量扫描的点。

  边缘保护。一般说来,企业可以同时在网络边缘或网关位置应用防病毒和反垃圾邮件保护,以阻止基于SMTP的威胁进入内部网络。这一层保护不仅可以阻止病毒和垃圾邮件侵害用户,同时也极大减少了流向电子邮件服务器的总体流量。这意味着带宽和服务器资源现在仅用于关键业务通信。

  服务器保护。安全威胁可以来自网络内部和网络外部,以及通过授权的计算机发起攻击。例如,员工可能无意中将一个受病毒感染的文件从USB设备复制到一台安全计算机中。因此前端和后端电子邮件服务器都必须提供防病毒保护。而网关保护可以消除大部分威胁,在消息传递和协作服务器中安装防病毒软件则可以提供额外的防御线,并遏制内部事件的威胁,让它们永远不能达到网关。

  客户端保护。尽管不是消息传递和协作基础结构的组成部分,但受危害的客户端可以自由地访问一些安全区域。因此,必须在客户端上提供桌面防病毒、反垃圾邮件和个人防火墙保护。同时需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。

  信息保护。数字信息保护是一项任重而道远的任务。通常,企业使用基于周边的安全方法来保护数字信息。防火墙可以限制对于网络的访问,而访问控制列表(ACL) 可以限制对于特定数据的访问。此外,企业还可以使用加密和身份验证技术、产品在邮件传送时提供保护,同时帮助确保目标收件人是第一个打开邮件的人。

  这些方法可以帮助企业控制对于敏感数据的访问。然而,收件人仍然能够对他们收到的信息自由执行任何操作。在获得访问授权后,访问者要对数据执行任何操作或是将数据发送到哪里都没有任何办法可以控制。基于周边的安全方法不能对员工使用数据的方式以及员工将数据分发到周边外部的方式强制应用企业规则以进行控制,也不能在周边被渗透之后强制应用企业规则。

  作为企业整体安全策略的重要组成部分,一个好的信息保护解决方案必须提供控制数据使用和分发的方法,而不是仅提供简单的访问控制。它必须在防火墙后帮助保护敏感的企业信息,并确保数据得到保护而且不能被篡改。

  多种技术

  除了在整个网络中提供多个防御层之外,纵深防御体系还使用多种技术来揭露和防止安全威胁。它并非依赖于单一技术来防御攻击,从而消除了企业整个安全体系结构中的单点故障。

  与基础结构集成

  不管要提供什么保护,安全解决方案都必须可靠和可管理才行。如果IT管理员要不断重启崩溃的服务器、重新设置配置或是手动分发更新,那不仅会严重削弱保护,而且还会影响效率增长,这与企业使用安全解决方案的初衷背道而驰。

  要确保安全解决方案很好地发挥作用,一个重要的方法就是确保与消息传递和协作基础结构紧密集成。这种集成让安全应用程序可以集中全力提供保护,而不用执行冗余的消息传递应用程序任务。例如,如果防病毒解决方案与本机Microsoft Windows SMTP 协议栈集成,它就不需要利用端口25重定向器,只需执行病毒扫描即可,而不用执行路由功能。

  紧密集成同时还增加了安全解决方案的性能、可用性和可管理性优点。紧密集成的安全解决方案一般能够更好地执行,这意味着可以管理更多流量而不会影响服务器性能。

  为了帮助用户构建安全可靠的IT环境,微软2006年推出了最新的安全解决方案Forefront,微软希望通过Forefront使企业的安全跨入到一个新的层次,Forefront安全解决方案以纵深防御理念为出发点,从客户端、服务器、网络边缘三个方面对网络加以防护。