只靠单品防范 做不好安全运维
来源:中国计算机报 更新时间:2007-11-18

 
 
作者:江苏省信息中心 谷和启 


随着IT技术日益发展,企业的IT环境变得越来越复杂,安全威胁更加多样和严重。很多企业尝试通过部署最佳单品安全解决方案来维护安全的IT环境,但这也使得IT环境变得更加复杂。在这种情况下,企业需要一个安全管理平台解决方案来帮助他们实现实时的监控,并做出快速响应。

外网安全为何力不从心

防火墙是长期以来保障网络安全最常用的工具,也是企业网络安全保护的一项重要措施。采用防火墙技术对于企业来说无疑是一个最佳的选择。防火墙是设置在不同网络或网络安全域之间的一系列部件的组合,可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部信息。

要保证Web网站的安全,首先要考虑Web服务器的安全。总的来说,用Unix系统构建的Web网站安全性较好,其次是Linux系统。企业在经济允许的条件下,应首先考虑将Web服务器架构在Unix系统平台上。无论选择何种系统,系统补丁都要及时安装。此外,还要考虑采用Web服务器软件的安全。

虚拟专用网是企业对内部网的扩展。虚拟专用网可以帮助远程用户、分支机构、商业伙伴与公司内部网建立可信的安全连接。虚拟专用网可以通过移动用户的全球因特网接入,也可以通过企业网站之间安全通信的虚拟专用线路经济有效地连接到相关的安全外联网虚拟专用网上。

安全邮件网关可以有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击,同时还为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和邮件内容过滤等功能。采用基于内容过滤、查杀病毒和防范垃圾邮件的产品,可以大大提高防范的准确率。

以上是企业外网安全运维管理普遍采用的安全产品与策略,主要用于保证网络和业务的正常、安全和稳定运行。但是,目前蠕虫、病毒、木马、僵尸网络、垃圾邮件等非常猖獗,仅仅应用安全产品和安全策略显得力不从心。

内网安全需统一方案

内部信息网络由大量终端、服务器和网络设备组成,任何部分的安全漏洞都可能引发整个网络的瘫痪。这给内网各个组成部分的可控性和可靠性提出前所未有的挑战。

传统网络安全考虑的是防范外网对内网的攻击。传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。

外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。内网安全的威胁模型则假设内网网络中的任何一个终端、用户和网络都是不安全的,需要对内部网络中所有组成节点和参与者进行细致管理。可见,相比于外网安全模型,内网安全模型要求建立一种更加全面、客观和严格的安全体系,采用更加细粒度的安全控制措施。

外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时在技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。

由于内网的信息传输通常采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要使用可管理的安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。为了维护企业内网的安全,必须对重要资料进行备份。选择功能完善、使用灵活的备份软件是必不可少的。

内网防病毒管理需要与互联网全面结合,不仅要有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控。由于内网一般都是通过防火墙来实现与互联网的逻辑隔离,因此可以通过对防火墙的NAT地址转换、终端PC机的IP/MAC地址绑定等措施来保护内网安全。此外,采用上网行为管理系统软件可以实现网站访问限制、网页内容过滤、即时通工具过滤、IP地址绑定、IP访问控制等功能,保障企业关键应用的正常运行。

因此,企业内网的安全运维管理需要构建一个统一的内网安全体系,其中包括身份认证、授权管理、数据保密和监控审计等。这些因素要紧密结合、相互联动。

安全运维也要平台化

随着企业网络应用和规模的不断增加,网络管理工作变得越来越繁重,网络故障也频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂;网络安全受到威胁……现在,很多企业考虑购买网管软件来加强网络管理,以优化现有网络性能。网管软件系统已经变成企业不可缺少的一个IT组成部分。

目前,网管系统开发商针对不同的管理内容开发相应的管理软件,主要包括网管系统(NMS)、应用性能管理(APM)、桌面管理(DMI)、员工行为管理(EAM)、安全管理等。传统网络管理模型中的资产管理、故障管理仍然热门。越来越多的业务将进入网络管理的监控范围,业务监控的细分化将成为今后的网络管理系统完善的重点。安全管理平台就是其中一个细分的支流。

当企业的网络工程师面对大量的网络数据时,需要的是明确的思路、清晰的条理、实际可操作的依据。因此,安全管理平台成为他们的最佳选择。比如说,广通信达公司提供的Broada安全管理平台能够集中对安全威胁进行检测和响应,使网络工程师能获取最新的安全信息,通过强大的实时故障处理、安全威胁响应功能,进而查看企业IT系统的安全状况视图,从而整理出切实有用的数据信息,提高安全管理效率,并降低IT总成本。