一、问题背景
随着我国信息化的逐步深入,企业的信息系统也更加复杂化,无论是网络结构、应用系统规模、还是覆盖地域、终端类型与规模都发生了迅猛增长。当前,企业网络常见的接入方式大体可分为网络对网络的接入和终端对网络的接入两种,结合企业内外网的划分又可以细化为以下四种接入方式:
· 内部网络之间的接入:即内网不同网络区域之间的连接,网络区域之间多为以太网方式连接;
· 内外网络之间的接入:即内网与外网之间的连接,网络之间多为通过互联网方式连接;外网连接单位包括分支机构、有业务往来和数据交换的外部单位等;
· 内部终端接入:即内部各种终端的入网连接,连接方式包括有线、无线等多种方式;终端类型有内部办公终端、管理维护终端、第三方维护人员终端、来访人员终端等;
· 外部终端接入:即从互联网终端接入内网的连接;终端类型有出差人员终端、分支机构接入终端、第三方终端等。
二、问题分析
伴随企业IT网络和应用系统的发展,安全也进行了一定的建设,基本的终端防病毒,边界防火墙,入侵检测的老三样安全手段基本都已经具备,但对于如何有效保障各种网络接入方式,达到各种网络接入全程的安全可信,传统的安全防护思路和技术面临着许多新的问题:
· 网络边界日益模糊 防护难度剧增
企业对外业务增多的同时对外连接需求不断增加,分支结构和出差人员需要实时接入企业网络进行数据传输和资源共享,移动办公终端交替接入企业内网和互联网等等,这些都让企业原本静态封闭的网络边界变得日益模糊。
同时,企业内网也越来越复杂,应用系统和终端数量都有了质的飞跃,内部网络也逐步划分了不同的网络计算环境,但是随着业务的调整和网络互连手段的增加,移动办公的随意接入,无线网络的普及,内部网络之间的边界动态地变化着。网络边界的模糊导致了防护难度与日俱增,为了建立有效的安全保障体系,必须考虑各种接入方式的针对性防护措施。
· 攻击与入侵的手段越来越多样 应用的混杂度越来越高
随着经济的繁荣,黑客也不再是高深技术的代名词,据专业机构的最新调查显示,以赢利为第一目的,完整而成熟的庞大黑客产业链已经形成,产业链的分工产生了“专业化服务”,病毒研发、销售、培训、使用已经形成一条龙,2008年的病毒数量继续暴增,比2007年增长12倍以上。
目前的威胁多数已经从网络层发展到应用层,包括入侵、蠕虫、病毒、木马、恶意软件、垃圾邮件、P2P滥用等等。面对安全威胁的发展趋势,传统的防火墙已经显得无能为力。它无法检测出利用正常业务端口展开的恶意威胁与攻击,也无法有效检测和控制占用用户大量网络资源的IM、P2P软件。在这种情况下,必须融合多种安全能力,对应用层进行深层检测、立体防御。
· 网络攻击借“身”入侵
网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。网页挂马、病毒邮件、病毒IM信息的泛滥,员工设备往往在毫不知情的情况下,已经成为了攻击者的桥头堡,攻击者可以轻易获取公司内部重要信息,能够利用僵尸主机攻击和堵塞网络,甚至触犯法律而危害企业。因此,必须要从源头进行控制,从多方位保障端点安全。
· 合法访问方式被利用
提高企业生产力的一种最有保证的方法就是使员工能够随时随地访问关键业务资源。但是这些关键资源却没有得到有效隔离和防护,恶意员工可以很容易的利用身份优势对业务系统进行攻击或窃取数据,由于缺乏有效监管手段,事后却无从查证。外来第三方人员也能够借接入网络之便,搭线窃听网络上的传输数据甚至是用户名口令等重要信息。
同时,远程访问客户端所在的网络可能充满了混合攻击,开放了这些网络对企业的访问就可能成为不法分子攻击企业核心网络的跳板。虽然可以通过限制端口等策略进行抵御,但终端客户机的安全我们仍然无法保证。
此外,相关的国内和国外政策标准中也提出了可信接入的相关需求:
· 信息安全等级保护
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。在等级保护制度的结构安全、访问控制、安全审计、边界完整性检查等多项技术要求中有着明确的与可信接入相关的需求;
· 国际信息安全管理标准
国际信息安全管理标准ISO 17799/27001在通信与操作管理、访问控制等方面有多个控制项提出了与可信接入相关的需求。
(责任编辑:adminadmin2008)
