內網安全

在當前的資訊保安領域，大部分的注意力仍然集中於如何防範那些來自網路外部的惡意攻擊，對於終端使用者來說尤其如此。但是歷史的經驗告訴我們，以這種方式來處理資訊保安問題並非上佳之策。有大量的證據表明，相對於那些由外部發起的惡意攻擊，一些產生自內部網路的事件給使用者帶來了更嚴重的損失。2003年美國CSI/FBI公佈的計算機犯罪與安全調查報告帶給業內很大的觸動，該報告顯示八成以上的計算機犯罪行為都與內部人員有相當的關聯。排除那些內外勾結的計算機犯罪行為，由內部人員的疏忽和誤用所造成的損失也佔了相當大的比例。既然如此，那麼為什麼媒體上曝光的有關計算機犯罪的報導都集中於駭客群體制造的網路攻擊呢？這裡主要的一個原因就是計算機犯罪的受害者通常都不願意承認這些事件與內部的問題有關，這些資訊會極大的降低組織聲譽。另外，內部的安全隱患和管理不善往往是具有全域性性和普遍性的問題，頗有無從說起之感。所以與網路攻擊、病毒浪潮這些為大眾所關注的事件相比，內部網路安全仍舊處於一個相對不受關注的位置。就好似冰山被埋在水下的部分，潛藏並時刻威脅著企業組織的金錢和資源。正是由於面臨著如此的困境和威脅，近年來安全產業中有關注重內網安全的呼聲越來越高。很多安全專家都紛紛呼籲，在重視以閘道器式產品為主要形式的邊界防禦的同時，也要有效的對內部網路進行更好的安全管理，以達到網路的整體安全性。內網安全和邊界式防禦並不是衝突的概念，如果一個網路中具有明顯的安全問題，可能再好的閘道器式防火牆也無法保障將攻擊者攔截在外。

清晰的認識內網安全的範疇和組成有助於更好的評估和應用內網安全解決方案，下面首先來看一下內網安全的基本構架。粗略的劃分，內網安全問題主要集中於四個方面：系統安全、網路安全、資料安全和安全管理。

系統安全主要用於界定單個計算機或裝置節點的安全問題，保障所有系統的安全是建立安全系統的基礎。“木桶上最短的一塊木板決定了桶能裝的水量”，這個短板理論同樣適用於資訊保安領域。如果某個系統具有較低的安全性，那麼與該系統處於同一網路中的其它系統同樣會因此面臨安全威脅。惡意攻擊者一旦獲取了內部網路中一臺系統的訪問權，就相當於獲得了代表合法使用者的通行證，餘下的破壞行為將簡單得多。所以並不能因為工作的繁雜性而忽視了保障內網系統的安全，對這一問題坐視不理將面臨非常嚴重的後果。在保障系統安全方面，常見而必要的工作包括系統加固、補丁管理、配置管理等等。在處理這些工作的時候，應用系統的安全問題也要獲得充分的考慮。只是在硬體層面以及作業系統層面進行系統安全管理並不是系統安全的全部工作，一些應用程式的漏洞也能夠造成與作業系統漏洞同樣嚴重的結果，每個系統節點上執行的應用也需要以同樣的規格獲得處理。由於計算環境並不是恆久不變的，所以能夠在動態的環境中良好的完成這些工作才能有效的保障系統安全。

相對於系統安全，網路安全主要涵蓋了節點之間的安全問題。在很多安全體系當中都會將通訊安全做為很重要的部分獨立出來，而網路安全的範疇還要比通訊安全更加廣泛一些。通訊安全領域主要關注的是網路的拓撲結構、所使用的網路協議、所使用的網路裝置以及執行的網路服務等等。這些因素都會在很大程度上影響內網安全性，例如邏輯星型網路和邏輯環形網路在處理的時候就會有較大的不同，而IP協議的問題也和IPX協議非常不同。除了這些問題之外，網路安全部分還應該包括訪問控制方面的問題。目前的訪問控制管理主要著眼於通過認證和授權等操作，保障資訊在使用過程中的保密性、完整性和可用性。訪問控制可以賦予網路中所有系統相應的角色和許可權，從而使網路節點之間的資訊訪問受到妥善的管理，在通訊安全的基礎上進一步保障多個節點之間的資訊保安。

資料是資訊化的核心要素，也是資訊資產的直接體現。任何計算機中的資料都有價值，只是價值的高低不同，所以資料備份是資料安全範疇的最基本問題。無論是什麼樣的計算環境，都應該制訂相應的備份計劃和策略以保障資料不被盜取、破壞和非法使用，這樣才能使使用者的權益得到保護。隨著資訊化設施對使用者的重要性不斷增強，當今的資料備份已經不再侷限於製作資料的副本這樣簡單的層次，而是發展成為涵蓋了資料可用性的更加全面的資料管理方案。在一些高階的應用環境中，資料安全更多的被包含在業務連續性計劃這樣的整體性規劃當中。另外一種比較主要的資料保護手段就是加密，高強度的加密結合有計劃的金鑰管理可以提供具有極高可靠性的資料安全環境。事實上，加密已經成為滲透到各個功能層次中的極為重要的資訊保護手段。

與以上所列的三個方面相比，安全管理更多的集中於抽象層次的內容，即著眼於整個內網環境的管理規劃和執行。可以說，安全管理既是獨立於內網安全其它範疇的存在，又與每個範疇具有生生相息、不可分割的關係。安全管理所圍繞的中心是安全策略，實際上安全策略也是所有資訊保安實踐當中的綱領。內網安全策略中包含了針對具體需求所產生出來的計劃、方法以及示例，從較高的層面統合整個內網安全管理。除此之外，內網安全策略中還應包含很多規範性內容，例如所適用的範疇以及例外等等。

這種劃分方式並不一定能夠完美的容納內網安全的所有要素，例如物理安全、安全教育等許多非常重要的部分都沒有顯示的在這種劃分下獲得體現，但是這種劃分方法確實能夠較為清晰和系統的包容內網安全的絕大部分要素，並有效用於內網安全的規劃和認知。由於系統安全和網路安全部分可以很好的涵蓋內部網路中的計算設施，所以將物理安全這樣的問題分別在這兩個分類中體現也是相當直觀的，而安全教育方面的內容也可以在安全管理部分進行規定。

當前的內網安全管理正在從認識的普及走向產品的普及，已經有越來越多的使用者認識到內網安全在整個資訊保安體系當中的重要地位。目前在市場上已經出現了很多以內網安全為核心目標的管理產品，這些產品能夠提供覆蓋系統管理、漏洞檢測、訪問控制、安全審計、資料儲存、資訊加密等極大範圍的安全管理功能。從這一點來說，內網安全在經歷了長時間的理論積累和實踐反思，向實際環境開展應用的步伐正在加快。配合使用者安全意識及理念的不斷提升，內網安全相關的產品將在較短的時間裡獲得類似防火牆產品這樣的主流地位。事實上，防火牆產品本身就是內網安全體系的重要組成部分之一，而入侵檢測類產品的發展也與內網誤用這一需求的推動有極大的關係，而最早在使用者群體中獲得普及的防病毒產品所經歷的也是從內而外的發展歷程。資訊保安產業在未來的幾年中，將催生出更加成熟、更加統一、包容性更強的資訊保安管理框架。安全產品的形態將逐步發展為兼顧外網安全防禦與內網安全管理。“外網是危險的，內網是可信任的”，這種目前獲得廣泛使用的思維方式無論是在意識形態上還是在產品設計上都會被打破。隨著內網安全獲得更加合理的地位，資訊保安將進一步沿著整合化、平臺化、統一化、基礎化的方向發展。

本文轉自 離子翼 51CTO部落格，原文連結：http://blog.51cto.com/ionwing/56940，如需轉載請自行聯絡原作者