ccidnet????

出版日期:2005-02-21 总期号:1388 本年期号:11

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
华东专刊
华南专刊
 难防内部安全漏洞

文 沈建苗

  根据80/20法则,防火墙、入侵检测系统和防病毒软件其实只能防御20%的安全问题。

  最易疏忽的安全漏洞其实在内部。要想有效控制它,关键在于解答四个根本问题:

  发生了什么,发生的具体时间,谁在破坏,应采取什么措施。

  过去,公司和解决方案提供商对确保数据安全所采取的方法既原始又落后:似乎在网络中建起一堵足够安全和坚固的“墙”,就能高枕无忧了。

  但在当今的网络世界,这种策略却很少会奏效。多数情况下,维持日常事务需要在“墙”上“打洞”,为员工、合作伙伴和用户提供访问所需数据通道。一个公司打的“洞”越多,商业惯例的运作似乎也就越顺畅。然而,每个“洞”都会成为安全漏洞,从而加大遭受入侵的危险。那么公司应采取何种对策呢?

  80/20遇困境

  为确保唯有授权者才能进入网络内部交换数据,许多公司部署了防火墙、入侵检测系统和防病毒软件。如果联合使用并妥当管理,这些技术确实能够有效堵住安全漏洞,同时维持关键业务的连接。但根据80/20法则,只有20%的数据破坏是由组织外面的人实施的,也就是说那些措施和技术只能解决1/5的问题。一旦入侵进入系统,非法访问者的行为就完全不受限制。美国企业界80%的数据破坏是由防火墙内的人造成的,入侵检测系统或抗病毒软件对此却无能为力。

  为克服这个难题,许多组织利用基于查询的内部分析工具加强安全,它们负责发现未授权活动。基于查询的分析工具为发现安全漏洞或滥用网络权限提供了有效方法,但作为仅仅提供有待解释的原始数据的管理员驱动型工具,它们最多只能算是被动的补救办法。

  控制关键的80%

  要控制80%的安全漏洞,关键在于解答四个根本问题:发生了什么,发生的具体时间,谁在破坏,应采取什么措施。

  基于查询的分析工具只能解答第一个问题。但它只能检查网络的目前状态,没法记下谁在破坏、破坏情况及其影响。如果没有这部分极重要的信息及实时跟踪功能,内部安全也仍就停留于被动的状态。

  积极主动的安全政策管理把入侵检测概念提升到更有效的入侵者检测(甚至是内部入侵者)层面。内部安全漏洞在于人,而不是技术。因此,重点就由发现问题并填补漏洞迅速转向查出谁是破坏者,以及采取弥补措施并消除事件再发的可能性。因为,如果不知道破坏者是谁,就无法解决问题。

  三类内部安全危害

  内部安全危害分为三大类:操作失误、存心捣乱及用户无知。操作失误包括用户不经意获得了不应该拥有的权限。新设用户账户、改动账户及进行其他日常维护任务时,管理员偶尔会把管理权限授给不合适的用户。虽然自己没有恶意,但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限并纠正破坏。但基于查询的分析却无法显示谁拥有引发问题的权限,也无法显示是谁授予了这些权限。

  以员工的蓄意破坏为例,可能存在的漏洞包括员工离开公司后设立特洛伊木马以获得访问权,而对用户和用户组权限管理不善常常会导致员工离开后很长时间内仍能访问极重要的公司系统。对这种恶意事件,正确措施包括取消权限、消除访问机会、通知管理员。但传统的安全措施如入侵检测和基于查询的分析无法显示这类活动的作恶者。

  对高度重视存储空间和工作效率的公司来说,员工无知引起的安全漏洞会造成极为严重的代价。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。

  公司利用包括实时事件跟踪和自动执行政策的主动安全政策管理工具,就能够成功瓦解违反内部安全政策的破坏,具有实时执行功能的实时审查工具跟踪的合理策略几乎能够消除重大安全漏洞。

  安全策略管理工具

  安全策略管理的最佳工具应包括实时审查目录和服务器的功能:不断地自动监视目录,检查用户权限和用户组账户有无变更;警惕监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问个人文件还是员工下载MP3文件,真正的安全政策管理工具会通知相应的所有管理员,并自动采取预定行动。

  有了这种实时跟踪、通知及修复功能,内部安全破坏的危害变得极容易控制,所需的管理时间也较少。然而,倘若员工通过特洛伊木马开始访问重要数据,这种工具会同时通知管理员、全面地审查跟踪活动、消除后门,把所有受影响的数据恢复到破坏前的状态。

  仅仅知道事件并不能给予你所需的安全。公司一定要跟踪谁是破坏者、发生时间及产生了什么影响。此外,明智的公司还需要一种全面迅速的方式修复破坏结果。如果你想拥有所有这些好处,唯一的选择就是使用安全策略管理工具。

  安全评估要与工具结合

  目前国内市场真正做安全漏洞扫描的厂商屈指可数,比较主流的产品包括启明星辰公司的“天镜”网络漏洞扫描与评估系统以及ISS公司的ISS Scanner漏洞扫描程序等产品。应该说,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为此,漏洞扫描产品还需要配备专门的防御小组来积极跟踪最新的安全近况,并为网络做安全评估。如启明星辰为了预防黑客的突然袭击并以极快速度判断黑客的最新攻击手段,就专门建立了积极防御实验室和CERT小组,制定如黑客攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

  天镜脆弱性扫描与管理系统是一套基于Windows平台的漏洞扫描软件,它包括了网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、风险评估和安全建议等功能,帮助用户控制可能发生的安全问题。而ISS公司Internet Scanner 产品采用的是客户端/服务器模式。扫描程序本身采用模块化设计,可扩展性比单一体系结构的安全评估系统高出很多。Internet Scanner有多种管理方式可选,包括Web、本地控制台、综合安全管理平台、命令行,分别满足不同用户的需求。