准入控制,让内网不再“心脏出血”
责任编辑:盈高科技 时间:2014-05-09 浏览次数:3998
文章来自:新浪财经
2014年4月7日,openSSL模型中名为“heartbleed”(心脏出血)的漏洞被发现,一时间,采用https登录的各电商和银行网站均面临着用户关键数据被窃取的风险。
心脏出血漏
洞利用了SSL协议中的memcpy()函数对返回的长度值不做检查的缺陷,能够非法读取缓冲区中超过权限的内容。非法入侵者每次最多能够提交64kB的
访问要求,从而获取到服务器当前内存中其他用户的访问信息,而这些关键信息可以包括用户名、银行卡号、各类账号,以及最关键的口令密码!
漏洞被曝光后,openSSL迅速发布了更新版本的SSL
v1.0.1g,而各大电商网站也迅速对漏洞进行了修复。然而,具有讽刺意味的是,就在漏洞被发现的第二天4月8日,微软正式停止对旗下经典的操作系统
win xp 的服务支持,包括停止提供XP系统补丁和安全更新,也不再解决此后所发现的系统中的新漏洞。这也意味着在国内有超过3亿的windows
xp终端,包括台式机、笔记本以及众多的ATM机设备将比之前面临更大的病毒和攻击风险。
相比于互联网上众多知名公司对服务器漏洞的迅速响应而言,广泛分布在各机构内网中的xp机器由于缺乏合适的安全措施,以及分散式难以管理的特性,在遭受新
的病毒或其他方式的入侵后更容易引发大面积的网络瘫痪、植入木马、文件失密等各种安全事件,从而成为内部网络管理者的heart bleeding
大患。
2014年,正是准入控制NAC进
入中国的第7个年头,在云计算和大数据轰轰烈烈的引领着行业热潮的同时,固守着传统PC-Server模式阵地的广大政府机构及非IT型企业却仍然需要面
对不断扩大的终端规模和如前所述的从未减少的终端安全事件。在服务器逐渐武装到牙齿的同时,网络边界处的各种接入点却日益平民化,如今智能手机已经在机构
中大行其道了,而我们甚至对智能机系统的了解还寥寥无几,更无从谈起这些泛滥于四面八方的小盒子的安全性了;一台oracle数据库可以保证7*24小时
不间断运行数十年,而从12年前windows
xp开始运行至今,我们所管理的众多计算机却时不时在考验着管理者的心理素质。一方面是上级文件和规章制度的三令五申,另一方面却是员工参差不齐的入网操
作素质和让人头疼的大小事故。即便在当前免费杀毒软件随处可见的情况下,能够保证内部所有计算机都安装了杀毒软件的机构也并不普遍,对于分支机构较多的大
型公司和省市县纵向管理的各级政府机构而言则更是如此。
所以,一方面我们需要高高在上的云,希望能够将我们价值连城的数据和资源束之高阁,恨不能模糊得连个基础的影子都不让人触到;另一方面我们又需要网络准入控制这样能办点实事的安全力
量,即使非法行为和非法接入想尽办法与我们失联,我们也能在角角落落里将他们揪出来并树立好边界的无数道防火墙。即使未经察觉和发现的漏洞会导致第二个、
第三个以至更多的“heartbleed”,
我们也可以依靠分布广泛的NAC力量在机构IT框架轮廓上所划定的安全边界来持续供给管理者能够健康运作的heartbeat。
有鉴于此,NAC仍然并且将在很长一段时间内与云计算共同构成机构组网时的两大必备要素。如果说云计算代表着机构集中化管理的IT未来,那么NAC网络准入控制就从侧面体现了机构在过去、现在和最近几年内的分散管理的IT安全现状。2年前盈高科技曾经发布了《2012网络准入控制(NAC)五大趋势预测》,其中曾经提到网络准入控制将
与“云”共同组成用户内网的2大安全体系,在网络中像“心脏出血”这样的漏洞频频被发现,同时windows
xp这样的平民化操作系统逐渐淡出安全保护范围的背景下,这个预言仍然会在年复一年的安全浪潮中被不断兑现。不过,新的形势下,是不是所有用户或网络环境
都需要那么齐全庞大的准入功能?敬请关注盈高科技2014年网络准入行业分析系列的下一篇:《“微”准入的力量》。