建立终端安全管理体系迫在眉睫
2009-04-15曹磊
■北京交通大学国家气象信息中心曹磊
随着信息化建设的推进,目前整个IT系统的建设已经具备了相当的规模,网络、服务器、终端机和运行在上面的应用系统形成了整个业务运行的基础支撑环境,业务系统越来越依赖于IT系统,而作为整个IT基础设施中数量最多的终端机,是IT管理部门最为头疼的问题。一方面,由于计算机设备的更新和变化,对计算机设备的管理经常处于一种无序及手工统计的状态;另一方面,安全漏洞与日俱增,新的病毒充斥网络,原有的手工安装和分发升级文件包及补丁不仅需要更多的人力资源,还会造成时间的迟滞,影响运行效率,给单位带来损失;再者,非法办公软件及其他软件的使用,不但造成了生产效率的低下,也给单位的形象造成了很坏的影响。
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。
内部网络面临安全问题
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端桌面管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的问题。
近两年的安全防御调查也表明,政府、企业及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
提起网络安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员普遍反映的问题。
自2003年来,以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发以及多种木马程序的蔓延为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,增加了网络管理人员的工作量。一些常见的终端安全威胁随时随地都可能影响着用户网络的正常运行,这也显现出终端管理的缺乏。
对症下药主动防御
解决以上这些问题的有效方法是建立终端安全管理体系。
操作系统存在自身的弱点就是在应用中不断出现漏洞,这将形成一个变化中的安全风险,让攻击者有威胁计算机安全的可乘之机。一些蠕虫会发现并利用漏洞进入计算机操作系统。过去,我们被迫要等到爆发之后再写一个特征码来防护操作系统;现在,我们要采用混合型威胁防护,即主动式防护来保护我们的计算机安全性。
病毒、蠕虫破坏一类的网络安全事件在网络安全领域一直没有一个根本的解决办法,其中的原因是多方面的:有人为的原因,如不安装防杀病毒软件、病毒库未及时升级等等;也有技术上的原因,如杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。通过终端安全管理系统,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对网络的危害降低到最低限度。
仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,必须采用多层次的安全防护策略,归结起来是:事前预防、事中隔离、事后修复和杀毒联动。
新型的网络准入控制技术(Network Access Control, NAC )是在端点连接到网络之前对它们的安全状态进行审计,并在连接到标准企业网络之前进行适当地更新,从而将蠕虫和病毒屏蔽在网络之外,也能强制执行应用级的安全策略。网络准入控制是一个过程,它通过强制执行作为网络访问前提条件的IT安全策略,来减少网络安全事件,增强对安全制度的遵从。网络准入系统通过保证每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在网络中排除未授权的设备,从而保护网络的安全性和完整性。网络准入系统通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。
网络准入系统基于一个全新系统架构,它将整个内网安全防护策略划分为逻辑上的三个组成部分:
1. 内网边界安全防护:此部分架构实现对来自网络外部的安全威胁进行安全防护。
2. 内网安全威胁防护:此部分架构实现对来自网络内部的安全威胁进行防护。
3. 外网移动用户安全接入防护:此部分架构用于保证内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。
由此可见,只有建立完整的终端安全管理体系才能有效保护我们的内部网络安全。终端安全管理体系是能够提供端点的全程、纵深端点安全保障体系(如图1所示)。
利用全新系统架构,我们建立的终端安全管理系统是一个主动的安全防御体系,与传统的解决方案有所不同(如图2 所示)。打个比方:子弹射出之后,如何阻截飞速前进的子弹,以了解我们是否有比利用磁铁来追赶子弹更好的解决方案。例如,我们可以适当采取主动的预防措施(比如防弹背心),以便在子弹导致破坏之前阻截子弹;或者为枪装一把锁,以防止子弹射出枪膛;或者我们可以使攻击者不知道向哪里发射子弹,就像在布满镜子的大厅中一样。在计算机世界,我们可能正在对付数以百万的“子弹” —— 互联网上每时每刻存在着数百万蠕虫和混合型威胁。要阻截这数百万的“子弹”,我们必须在主机、服务器和整个网络结构中部署功能相似的各种技术,积极阻截这些威胁。
因此采取必要的措施和手段,来保护网络与信息的安全是非常必要的。建立一个安全策略保证系统,包括:内网边界安全防护实现对来自网络外部的安全威胁进行安全防护;内网安全威胁防护实现对来自网络内部的安全威胁进行防护;外网移动用户安全接入防护保证内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入网络安全。通过保证网络中所属的每个终端的安全性,阻止不安全和未授权的行为,在网络中排除未授权的设备,从而保护网络的安全完整性。针对网络端点在将来实际运行过程中可能遇到的各种安全威胁,采用发现、遵守、强制、自动修复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,保证该内部网络能够安全、稳定、可靠地运行。
综上所述,终端安全管理体系可以提供全面的终端安全管理功能,对气象业务网络系统提供了有效的安全防护,规范了所有的气象业务网络终端的网络安全行为。终端安全管理体系可以实现从网络、操作系统、主机完整性检查和修复等多层面的整体端点安全方案,这将很好地保护终端的安全,更好地为用户服务。