谈到内网安全与外网安全的差别,CA(中国)有限公司产品市场经理谢春颖说: "我觉得外网安全以阻断攻击为主,是粗粒度的,而内网安全属于细粒度的安全,以主动加固为主。"外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。
管理和技术都有漏洞
造成内网不安全的因素很多,归结不外乎两个方面:管理和技术。"造成内网不安全的管理方面的因素主要是管理策略不完善,技术上主要由于对一些安全产品的使用和维护没有特别重视。"CA(中国)有限公司产品市场经理谢春颖说。
细化来讲,管理还分为两个方面,一方面是在管理的标准化上,比如平台的标准化、安装软件的标准化、正版软件的强制要求等等,任何一个细节都可能造成管理上的失误导致安全事件发生。另一方面,很多企业的管理安全策略没有强化到系统之中,缺少相应的技术支持,不能由计算机帮助强制执行。
管理是否完善,技术力量是否强大,有没有一些很好的产品去支撑和实现这套管理体系,对于内网安全来讲都是必须去重视的。
规划安全业务为先
"规划内网安全首先应该考虑的是自身的业务,什么样的业务有什么人去用,主要做些什么。然后根据这些业务的需求去规划内网的安全。"谢春颖认为。企业在规划内网安全时,应该主要考虑两个方面,一方面要从业务角度去评判企业自己的那些业务系统分别是做什么的,这些业务系统对企业自身的重要程度如何,需要什么层次的保护。
另一方面就是风险,要尽量弄清楚企业自己的内网可能面临哪些风险,现有条件下对这些风险的承受程度如何。因为风险只能控制在一个可接受的程度却不可能降到零,否则降低过多就会造成在安全上投资太大,降低太少又会风险太高。
企业应该在对于内网安全的投资和可接受的风险之间找一个平衡的位置,才是更好的规划内网安全。除了考虑业务系统重要程度和可接受的风险之外,另外一个很重要的方面就是应急响应。当安全问题出现时如何处理,如何恢复,都是不能忽视的问题。"就像以前有网管中心一样,现在也必须有一个安全中心,去统管整个安全事件,包括安全事件的分析,安全事件的响应、处理,这些都是为了确保业务连续性。"CA(中国)有限公司产品市场经理谢春颖说。
保障安全三手齐抓
构建完整的内网安全保证体系应该从人、技术、流程三个方面综合考虑。人的方面就是要弄清楚内网都有谁去使用,他们各自的需求是什么,这些需求和访问分别有什么特点。技术方面,要清楚整个保障体系所必须的技术基础是什么,哪些工作可以通过技术手段帮助管理员完成,这样才可以针对性的采购一些安全产品,去支撑整个安全体系。第三个方面也是最重要的一个方面就是流程,在现有的安全保障体系中,任何一个安全事件或者安全意外的处理流程是什么样,有哪个部门哪个人采取什么样的安全措施,都是应该提前考虑的。
"还要强调一点就是安全的审计,一个保障体系好不好要有一个定期的审计,没有定期审计就很难有所提高,把人、技术和流程结合起来做一个定期的审计也是非常重要的。"CA(中国)有限公司产品市场经理谢春颖说。
另外,保障内网安全出发点应该主要根据风险和ROI的评估,不论企业的自动化程度是否足够高,内网规模是否足够大,保障内网安全采用何种体系关键在于内网上运行的业务,如果企业的关键业务是手工完成,内网安全事件的发生不会对关键业务造成任何影响,这时候就不用刻意去强调内网安全。所以考虑的出发点应该是内网上的信息或者应用对用户的重要性如何,根据重要性再去考虑采用什么样的保护方案,不应该仅仅根据内网的规模去考虑。
别让VPN打乱你的内网
"随着网络应用越来越复杂,网络介入方式也变得多种多样,很多移动的用户变得越来越多,频繁进出内网,原来很好的边界安全防护在这种新的模式下就变得不再起作用。"Check Point公司技术顾问沈江说。VPN(虚拟专用网)的用户访问无疑是内网安全的重大威胁之一,现在很多VPN产品将弱化的桌面置于企业防火墙之外,具有直接访问内网权限的那些VPN用户端点势必会给内网安全带来极大不确定性。
那么如何才能确保这么VPN访问的安全呢?Check Point公司技术顾问沈江认为:第一,VPN中要采用尽可能强的认证方式。比如,通常在VPN的协商过程中,有两种方式做认证,共享密钥和数字证书,通常我们建议用数字证书,因为共享的密钥一方面管理起来比较麻烦,并且相对来说比较容易被破解,用数字证书相对要安全一些,但是数字证书可能带来成本开销的加大。
第二,在加密的算法上要尽量采用更好的算法,原来我们用的比较多的是3DS加密算法,这种算法效率比较低。相对来说,加密算法AES算法加密更快同时强度更高。
此外,在VPN通讯特别是远程访问中要加强对于端点的控制,设置严格的访问权限和级别,避免不必要的安全隐患和安全事件的发生。另外,针对VPN的攻击,要有一定的处理方法,未雨绸缪,一旦攻击发生要有很好的防范措施。