在众多应用组成日益复杂、外部的各类安全威胁也日新月异的当前背景下,各机构却似乎很少发生明显的或重大的安全事件。可是管理者对本单位的信息安全依然提 心吊胆,难以释怀:因为没有安全事件发生,并不代表安全防护体系就真的足够牢固了,这也是我们所说的“亚安全”。怎样才能帮助用户找出他们最容易忽略的角 落,或者防护力量薄弱的环节?
2012年4月,盈高科技受邀参加了2012政府及公共事业单位信息安全论坛,准入实验室产品经理何俊先生就“亚安全”的话题接受了《网管员世界》杂志社的采访。
1. 哪些新兴的安全威胁容易被企业忽略?
我们访问过的很多用户,各种业务系统很完善,标准的网络安全设备像防火墙、UTM、流控、IDS等也都已经部署到位,但是内部是一个空架子,也就是你很容易就可以进入到单位内部的信息系统中,不用说黑客,就是一个普通员工也会有意无意地干出一些惊天动地的事情来。比如我们有一个客户,它的生产车间离运维部门比较远,有人私接了一个hub上网,有一次不小心把hub的2个端口用网线连起来了,结果整个生产网络中断。Hub的存在是一个小事,但全网断网就是一个大事,这就是一种典型的“亚安全”现象。
再有一个,很多公司的内部资料,并不是黑客从互联网上通过高超的技术手段入侵进来再窃取出去的,往往却是本单位的内部员工,或外部来宾进入了没有做好防范的内部网络,无意之间得到了这份资料,无意之间就散播到了网络上,这样的例子不胜枚举。
我们认为,新兴的安全威胁并不是说这个事件的技术含量有多高,发生在什么著名的500强公司,就中国目前的安全环境来看,互联网上过来的病毒或冲击对单位内部生产运行产生的影响是很小的,因为我们看到大家的外部防护都做得有模有样的,但却而忽视了平时运维过程中的小细节,或者是应该遵守的基本安全规范,而这些恰恰是我们日常入网的安全底线。这就十分让人头疼,也是广大的网管员最迫切需要解决的。导火线虽小,但引爆的却是一颗颗地雷,此谓之“亚安全”。
在应对这些安全威胁时,企业通常采用的传统安全产品或解决方案,在哪些方面继续表现出其强势的一面?
比如使用交换机的端口-mac绑定,这样可以获得比较严格的控制力度,外来的电脑就无法随意接入内部了,本地的电脑也不能轻易移动;还有的单位部署了AD域,这也是很强势的一种管理方案,可以很好的满足内部认证及安全策略的强制要求;在前些年的桌面管理浪潮中,一大批单位部署了桌管系统,内部用户的计算机在安装了桌面客户端的情况下,也可以通过强制派发的策略来应对很多的潜在安全问题。
在哪些方面表现出明显的不足?
首先我们看端口-mac绑定,这样的方案适用于小型的单位或网络,管理员可以一台台交换机手动配置过去,也可以在出现变更时再一台台改换掉,但在大型的网络中这样的方法就是一个噩梦,想想看一个有2000~3000台员工计算机的网络,很有可能我们一个管理员一天忙到晚就只能干这样重复的事情,那么也不用担心什么亚安全了,我看连担心的空暇都没有了,管理员倒是可以练练怎么快速地记住mac地址。 而对于AD域,微软的东西从技术上看是很好的,但是国外用的很好的东西在国内往往要打很大的折扣,比如配置复杂,很多单位上了AD域,但真正用得好的比例很低;比如从技术角度可行,但管理上不方便,如果有员工不加入域逃避管理怎么办?最致命的是这是一个纯windows的方案,我们说IT的发展都逐渐在朝着开放性、多架构平台性的趋势在演变,在BYOD(Bring Your Own Device)逐渐在国内展开后,AD如何对那些非windows系统进行管控? 而提到桌管系统,相信很多管理员都有些谈虎色变,在部署时遇到的抵触情绪不说,部署后的系统兼容性问题造成的蓝屏死机,后期的大量维护工作都耗费了众多IT志士的大好青春。而对桌管系统在未来的走向影响最大的是,在“云计算”的浪潮下,桌面虚拟化普及以后,这些以客户端为支撑的系统都将烟消云散,那么接入计算机的安全将如何保证?
您建议企业升级产品,还是更换产品类型?
从成本的角度看,升级产品显然比更换产品类型更为经济,对于管理员的后期工作量也影响更小;而从治理的角度看,更换产品类型则更能够帮助用户在一个短时间内寻求到更为合适的帮助力量,但却容易伤筋动骨,如果要大规模改动网络,相信没有几个人能吃得消。
所以真正好的方法是能够提供一个以目前已有产品为基础的扩展平台,在这个平台上能够有机地将现有的各种安全功能联合起来,从而挖掘出已有资产的安全潜力,最大化地为企业或单位创造价值,从经济角度上看,这样也更能够得到高层的认可;同时,这样一个平台继承了原有安全组件,保留了管理员原有的管理习惯,更容易上手,这样就避免了大改特改对于一个本应着力于生产和业务的公司所带来的影响。
最重要的是,避免使用客户端产品。“云”都要来了,客户端方案的潜力和影响力都在下降,而以网络设备形态提供的平台更能够与云计算的数据集中化相互配合。 以上两点,总结起来可以叫做“不改变网络,不装客户端”。
2. 如何判断企业是否处于“亚安全”状态?
我们的管理员在自查的时候,可以对照下面的几个例子,如果其中有一半以上属实,那么就应该敲响“亚安全”的警钟了:
1. 问:现在网络中有多少外来计算机? 答:呃,这个…
2. 问:网络中接入计算机的安全状况? 答:不清楚,那么多台,谁知道。
3. 问:每天多少计算机入网访问? 答:换个问题吧。
4. 问:您制定的计算机安全规范大家遵守了吗? 答:算了,提起就头疼。
5. 问:搞不好会有私接hub或无线小路由器呢。 答:那是有可能,咋管呢。
6. 问:发现某计算机有危险行为,XXX,赶紧处理下 答:等我去下现场哦,来不及了,待我登上核心交换机,确定下所在交换机--先打个电话,问下mac地址是多少,纸笔怎么找不到了。
您推荐从哪些方面入手去检查?
从最本质的层面上看,确实需要对我们内部的计算机好好的做一次大检查了,这就包括计算机是否安装了杀软、补丁是否更新(这两项都是防御能力的表现),是否运行了规定的进程、是否禁止了不必要的程序(规范性的表现),ip-mac绑定、非法外联检查等(全面的安全行为管理)。更进一步的,可以检查已部署的桌管系统是否运行正常,计算机入网时是否加入了域等等。当然,供使用的检查细则越多,我们对终端计算机的了解程度就更细,就越能够加强我们抵御“亚安全”的能力。所以我们看到,解决“亚安全”危害的平台,一个基本的要求就是对接入计算机的安全检查能力。
另外,网络这道门,一定要把好关,孰进孰出,十分关键。就好比在网络的接入边界处部署一个探头,能够监测和统计网络的进出情况。这里涉及到2种关键技术:身份认证和准入控制。
当然,好的方案也一定要提供入网后的管理,包括对现有网络中不规范环境的整治,比如hub和NAT管理;同时在出现突发事件后,能够立即将危害设备隔离出网。
事实上,我们已有的交换机、杀毒软件、WSUS、AD域、LDAP都是十分强大的安全工具,唯独缺少一个将这些精兵强将关联起来的强大平台,为了应对“亚安全”,现在是您寻找并使用这样一个平台来解决问题的时候了。