【编者按】
FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部。在损失金额上,由于内部人员泄密导致的损失是黑客造成损失的16倍...
安全产品和方案是防止信息外泄的必要条件,而不是充分条件。充分条件中还应该包括体系的构建和制度的形成。
由于网络和计算机系统固有的特性,它在提高数据与设备共享性的同时,带来了信息、数据被非法窃取、复制、使用等弊端,对涉及国家机密及企业内部敏感数据的安全管理形成极大的挑战。
为防止数据外泄,企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品,以为可以高枕无忧了。其实,这种想法是错误而且极其危险的。
FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部。在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
这组数据充分说明了内部人员泄密的严重危害,同时也提醒国内组织应加强网络内部安全建设。
数据从这些渠道丢失
传输渠道
内网大多是将员工的计算机物理连接起来组成的一个网络。只要是物理连接,理论上讲,其中的任意一台计算机都可以访问其他连在这个网络上正在工作的计算机。
现有的安全系统对桌面终端的日常操作及攻击缺乏有效的监控、防护手段,由于网络可以方便地进行资源共享,信息在网络上传输不受监控,对涉密信息没有采取传输范围和传输前密码授权控制,使得一些涉密信息极有可能通过网络,从一些开放的终端传出去,而不留痕迹。
流转渠道
科技高度发展的今天,电子产品日新月异,小巧易带的软盘、光盘、U盘、移动硬盘、软盘、笔记本电脑甚至MP3等可移动存储的磁介质越来越小,装载的信息量越来越多。
在使用中,为防范信息泄露,要求员工用完后,即时将信息或数据删除掉再借出,以为这样他人就无法取得信息,殊不知磁介质有可以被提取还原的特性,他人一样可以取走信息。
失控出口
对涉密信息没有进行加密处理或者保护处理,将涉密信息通过各种出口,如USB口、串口等方式拷出去,出口缺乏必要的监控和审计。
对于打印文件的管理,很多企业主要是靠管理员督促,员工打印时进行登记,但员工若打印了涉密信息不进行登记,便无从追查,更无法提供违规操作的证据,安全隐患较大。
“残疾”制度
有的企业没有配备专门的计算机维护管理人员,或者机房管理不严格,无关人员可以随意进出机房。
当机器发生故障时,随意叫自己的朋友或者外面非专业公司的人员进入机房维修,或者将发生故障的计算机送修前不做消磁处理,或不安排专人监修,都会丢失涉密数据。
如何给内网“上锁”
针对各种泄密途径,要防止内网涉密信息外泄,应着重从加强内网安全防范措施。那么,应在内网中构筑一个怎样的内控安全体系或系统呢?
边界不可小觑
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。
内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。
限制VPN
VPN用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。
很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。
这样可以利用登录控制权限列表,限制VPN用户的登录权限的级别。即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
小心合作网
合作企业网也是造成内网安全问题的一大原因。既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源访问。
跟踪也要策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键,它带来了商业活动中一大改革,极大地超过了手动安全策略的功效。
商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与其相适应。例如实时跟踪企业员工的雇佣和解雇,实时跟踪网络利用情况,并记录与该计算机对话的文件服务器。
总之,要做到确保每天的活动都遵循安全策略。
有的服务器可以关
大型企业网可能同时支持4~5个服务器传送E-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。
若一个程序(或程序中的逻辑单元)作为一个Window文件服务器在运行,但又不具有文件服务器作用,应关掉该文件的共享协议。
重要资源重点保护
若一个内网上连了千万台主机,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全建设一般都存在择优问题。
首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作,找出重要的网络服务器,并对它们进行限制管理。
无线访问须可靠
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。
将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
严查“过客”
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
“虚拟”的用处
主机是被攻击的主要对象。与其让所有主机不遭攻击,还不如多考虑一下如何使攻击者无法通过受攻击的主机来攻击内网。
如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D(人力资源部)。因此要实现公司R&D与市场之间的访问权限控制,即建立网上不同商业用户群之间的边界防护。
决策的技巧
网络用户存在着安全隐患。
有的用户或许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。
因此企业网就要让这些用户也容易使用,这样才能引导他们自动地响应网络安全策略。
为制度操练
一个完整的内控安全系统应是技术手段和管理制度相结合的体系,所以管理制度是相当必要的,它可以有效地弥补产品无法用技术手段解决的安全漏洞。
在构建内控安全系统方面,防护网络中最薄弱的环节—桌面终端是重中之重。系统应该结合桌面监控审计技术与企业原有部署的网络安全技术,形成技术的整体防范能力;并在在企业现有的保密制度基础之上,结合监控审计系统,制定相应的管理措施,增强各级人员安全意识,建立健全保密制度;同时,加强信息安全人员的队伍建设,加强培训,将各项保密工作落到实处,确保各项管理措施得到贯彻执行。
通过以上各方面的工作,最终形成“制度保障、组织管理、技术防范”的整体合力,建立内控安全的整体防范体系,从而构建一个安全、可信赖的内部网络工作环境。
转自:http://www.activenet.cn/bbs/showpost.asp?menu=Previous&ForumID=7&ThreadID=161