前言
北京车展一届比一届规格高,一届比一届更吸引人,车展给普通人带来一个最基本的话题:
“什么样的车你认为是完美的”?
A说:“我要功率大的,提速要快的”。B反击说:“功率大的车有,我们的路只让跑80-120km,没用的跑的快的车”;
B说:“我要安全性高的,安全重要”。A反击说:“安全性高车子重起步慢,交通大事故比例小的比飞机掉下来的还小”。
A说:“我要个经济性的车子,高耗能不行”。B反击说:“性能就不说了,你养车照样少花不了钱,要是开的少,比打车还要贵,不买更经济”。
B说:“我要个外形时髦的概念车”。A反击说:“这更不靠普,都是概念车,谁知道开起来啥样子”。
。。。。。
以上一段谈话内容,大家可能都经历过。一个简单的买车问题,可以得到的答案千百种,争议数不清。抛开争论,笔者说句公道话,就买车这个事,得按照自身情况,买适合自己的车子。
信息安全也是让人困惑
现在,几乎每天,各种媒体都在宣传网络安全的重要性:又出现了某种新病毒,提醒人们要多加注意;又发现了某个高危险漏洞,告诫用户要及时打补丁……总之,各种各样的安全威胁充斥网络,上网的人要小心再小心。这种宣传给人的直接感觉是:网络很危险。有人说,最安全的方法就是拔掉网线,不上网。显然,这不现实。那么到底应该如何才能获取安全感?这个问题是萦绕在许多人,包括信息安全专家心中的困惑。
信息安全必须要有意识
以上这些事例都告诉我们一个很浅显的道理:真正的网络安全实际上靠的不是这个或那个安全产品,而是你自身固有的安全意识。好的安全产品只能像良师益友一样,不断地提醒你:注意了,这种网络行为很可疑,它有可能是某种安全威胁。但最后判断是否阻挡这种可疑的网络行为,还要靠你自己。
信息安全的隐患是人
我们知道,信息安全涉及到信息的采集、存储、传输、访问全过程。每个环节都可能发生安全问题,而这每个环节中安全隐患的最终来源都是人。信息只是一种编码形式,人才是信息的操作者。信息操作执行者的非法性以及对信息的非法破坏等都会影响信息安全,各种识别技术就是为了建立操作者与信息操作之间的匹配性、一致性。
信息安全的解决办法是人
美国的超级计算机深蓝能够战胜国际象棋的超高手,不代表电脑的智能能够高到哪里,说到源头还是人造出的计算机。同理,病毒木马等威胁事务,那是由人为的原因制造的。说到解决办法,那还得是病来人去医。
针对不同的病症,需要人来做出不同的解决方案去分别对待。对待信息安全,有病乱投医是不对的,那我们多做些健康的疗法、养生的方式,这个是必须的。
信息安全是必须靠解决方案的
在前不久,思科系统公司首席安全官John Stewart称,“企业正在安全流程中浪费金钱,如使用补丁和使用杀毒软件。这些都是不起作用的”。
对此笔者的感想是,在理论上思科公司,是可以在不使用杀毒软件、打补丁的方法,用更先进的措施办法来解决病毒等威胁攻击。
但我也想用个现实的例子说明一下:晋惠帝御宴,方食肉脯,东抚奏旱荒,饥民多饿死。帝曰:‘饥民无谷食,便食这肉脯,也可充腹,何致饿死?”这个案例其实和思科首席安全官的话语是有很大相似程度的。大家可以品味一下其中意味。
现在我想就着思科公司首席安全官这个思路来讲讲,企业局域网内容安全的现身说法。
在明确这个思路开始前,首先要做几个工作:
探究安全策略的第一步,
便是弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少,存储在哪里?目前亚洲地区仍有相当多的公司,手工将关键数据存储在工作簿或账簿上。如果贵公司的计算机通常只是用来文字处理,或者是玩游戏,那数据可能根本不值得去保护。然而,如果贵公司保存有大量的敏感信息,例如信用卡号码或者财务往来交易事项,那么贵公司所需要的安全等级将会很高。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户,因此,整个企业的网络系统存在两个方面的安全问题:
1.Internet的安全性:目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。
2.企业内网的安全性:企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
第二步是弄清楚公司的自身需求
每年预算多少经费用于支付安全策略?可以购买什么?是一个入门级常用的防火墙还是一个拥有多种特性的综合网关UTM产品?企业局域网客户端的安全需求是什么?有多少台需要有严格涉密的机器。此外,很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些:邮件、网页、数据库?该网络真的需要即时消息么?某些情况下,贵公司拥有什么并不重要,重要的是怎么利用它。相对于将整个预算花在一个“花架子”似的防火墙上,实现多层防御是一个很不错的策略。尽管如此,我们还是有必要去查看一下整个网络,并弄清楚如何划分才会最佳。
针对网络受到非法攻击以及病毒爆发,网络管理员还需做好准备工作。目前的设备能够做好足够的日志么?路由器、防火墙或者系统日志服务器能够告诉我们,非法侵入的时间和手段?是否有一个适当位置可以用来恢复?如果受到攻击的服务器需要擦除并重新配置,能尽可能减少关键数据的流失,并快速实现么?
企业的安全需要汇总如下:
1.基本安全需求
保护企业网络中设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。针对企业网络的运行环境,主要包括:网络正常运行、网络管理、网络部署、数据库及其它服务器资料不被窃取、保护用户帐号口令等个人资料不被泄露、对用户帐号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通讯服务、保证拨号用户的上网安全等。
2.关键业务系统安全需求
关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;安全预警,对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。
第三部针对企业自身现状制定因地制宜的解决方案
前两部可谓不可或缺的部分,不了解自身状况是无法制定因地制宜的解决方案的,解决方案是指定给有具体需求的单位,有大众性,但无通用性。有调查显示:有近60%的企业面临着以防护病毒和恶意行为为主的信息安全需求,我们给出一个大部分企业面临的困扰,企业防毒所面临的实际困难的防毒解决方案.
针对上述两个方面的信息安全问题,可以给出以下网络安全拓扑:
针对防毒解决方案笔者推荐瑞星公司的几款产品来满足解决方案中的产品配置:
· 瑞星网络版杀毒软件企业版
· 瑞星防毒墙
· 瑞星网络安全预警系统
企业整体防毒解决方案实现的主要功能
1. 安全的网络边缘防护
瑞星防毒墙可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
2. 内部网络行为监控和规范
瑞星网络安全预警系统SDS-1000对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。
3. 计算机病毒的监控和清除
瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。
4. 灵活的控制台和Web管理方式
瑞星的系列安全产品都提供控制台管理和Web管理两种方式,通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行基本信息。
5. 强大的日志分析和统计报表能力
瑞星的系列安全产品对网络内的安全事件都做出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
6. 模块化的安全组合
本方案中使用的瑞星网络安全产品分别具有不同的功能,用户可以根据自身企业的实际情选择不同的产品构建不同安全级别的网络,产品选择组合方便、灵活,既有独立性有整体性。
从上面可以看出,只要在网关处安装防毒墙产品;在网络内部安装安全预警系统;在邮件系统上安装瑞星邮件防病毒系统;然后在整个网络中安装网络版杀毒软件,就能有效解决企业网络的信息安全问题。