文章內(nèi)容

無處不在的IT安全管理

發(fā)布時間: 2012/9/8 22:56:30

傳統(tǒng)的網(wǎng)絡(luò)安全

　　我們來分析一下網(wǎng)絡(luò)的安全管理。目前大部分運維管理人員對黑客、病毒攻擊的危險性都有了深刻的認識，所以很多網(wǎng)絡(luò)都大量投資了防火墻、入侵監(jiān)測、防病毒軟件等。但一段時間運用下來，發(fā)現(xiàn)效果并不理想，病毒依然時常泛濫、重要信息常被泄露、網(wǎng)絡(luò)安全受到挑戰(zhàn)，原因何在？關(guān)鍵在于安全并不是幾個產(chǎn)品就可以解決的問題，而是一個完整的體系。運維人員往往只是單純的考慮某種安全問題并沒有從整體IT管理平臺的高度來考慮整體安全體系架構(gòu)，這就是很多單位雖然耗費了大量的資金，但是安全問題卻依然沒有有效解決的原因。

　　傳統(tǒng)的網(wǎng)絡(luò)安全從時間來看，網(wǎng)絡(luò)安全解決方案往往只考慮事前防范，缺乏必要的事后追蹤及審計能力，時間層面上并沒有端到端考慮�？臻g層面并沒有端到端考慮。從網(wǎng)路層面來看，往往側(cè)重于業(yè)務(wù)層的安全，對網(wǎng)絡(luò)層和用戶層的安全缺乏必要關(guān)注。

　　很多用戶購買了大量的防火墻、入侵監(jiān)測設(shè)備、防病毒軟件，目的是通過數(shù)據(jù)隔離、加密、過濾、管理等技術(shù)，加強整個網(wǎng)絡(luò)的安全性。

　　但這些都是在于防，而對事后跟蹤能力考慮很少，在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費的代價與技術(shù)實現(xiàn)難度有非常大的差別從空間來看，往往側(cè)重于考慮對來自外網(wǎng)的黑客防御，對于內(nèi)部的安全控制缺乏必要手段。

　　任何的安全產(chǎn)品都不能保證自己可以100%的做到安全防范，當(dāng)安全問題出現(xiàn)的時候我們應(yīng)該如何處理？這個時候我們就需要一個事后處理方案。

　　事后跟蹤：通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。

　　實際上日志記錄、地址簿等功能是一個非常良好的追溯手段，在出現(xiàn)問題時可以根據(jù)記錄迅速查找源頭，防止事態(tài)進一步擴大；例如在發(fā)生未知病毒傳播或者是黑客攻擊的時候，傳統(tǒng)的事前防范常常失效。怎么快速的確認問題，找到問題源，解決問題。這在傳統(tǒng)的功能模塊很難完成，基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系通過安全數(shù)據(jù)分析系統(tǒng)、IP地址安全管理、配合設(shè)備的管理功能輕松解決這些問題。

　　以往的安全體系側(cè)重在外網(wǎng)防范上下工夫，而對內(nèi)網(wǎng)安全考慮很少。接入Internet的外網(wǎng)與辦工系統(tǒng)的內(nèi)網(wǎng)所面臨的網(wǎng)絡(luò)環(huán)境、安全防范的目標(biāo)、對用戶的管理力度都有很大的差異，所以必須針對外網(wǎng)與內(nèi)網(wǎng)的不同特點制定有效的安全策略。策略分為兩大部分，第一部分是外網(wǎng)，通過VPN、加密等保證信息安全，通過網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范。第二部分是內(nèi)網(wǎng)，通過對用戶的識別，IP/MAC綁定等技術(shù)保證合法的用戶訪問合法接入，并做好訪問記錄，側(cè)重的是監(jiān)控。

　　在目前這樣一個人員高動流動的時代，大部分的泄密均源自內(nèi)網(wǎng)。原因是傳統(tǒng)網(wǎng)絡(luò)提供的是一個平等的數(shù)據(jù)交換平臺，而實際上不同的人員其訪問的范圍應(yīng)該是有所不同。比如普通員工只能談問本部門的辦工服務(wù)器，而領(lǐng)導(dǎo)則可以訪問某些重要服務(wù)器。如果不對人員訪問權(quán)限進行合理的控制，則必然對重要信息產(chǎn)生極大威脅。原有的在應(yīng)用層進行用戶鑒權(quán)與訪問控制的方案由于用戶已合法接入網(wǎng)絡(luò)，可以監(jiān)聽到相關(guān)信息，實施攻擊，所以效果往往不盡如人意。也正是因為這個原因，今天的安全已是一個涵蓋網(wǎng)絡(luò)級、應(yīng)用級的在內(nèi)的完整概念。從網(wǎng)絡(luò)級就對用戶進行訪問控制，使非法用戶接入網(wǎng)絡(luò)就成為聾子、瞎子，將大大增加非法用戶進一步實施盜取與攻擊的難度，從而增強安全防護體系的效能。

　　傳統(tǒng)的網(wǎng)絡(luò)安全比較容易疏忽的一點在傳輸?shù)募用苌�。網(wǎng)絡(luò)管理多以SNMP的方式進行取數(shù)和管理，這種管理存在安全隱患越來越受到管理人員的重視。新的IT管理平臺在SNMP V3、HTTPS等新的傳輸加密技術(shù)上的使用成為必不可少的功能。

　　基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系

　　從完整的安全體系架構(gòu)的角度來看，安全的威脅包括基礎(chǔ)網(wǎng)絡(luò)資源本身以及承載的數(shù)據(jù)兩大方面，而對安全的保障也應(yīng)該是一個從發(fā)送端到接收端的完整的端到端的安全防護模型：這就包括了：數(shù)據(jù)傳送保證機密性、完整性及正確性，網(wǎng)絡(luò)資源防止路由欺騙、地址盜用，對于帶寬和端口的占用可以有效的管理與控制，均是構(gòu)成一個完整安全體系不可缺少的組成部分。這些你會發(fā)現(xiàn)都是基于網(wǎng)絡(luò)整體架構(gòu)的安全。

　　基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系并表現(xiàn)為傳統(tǒng)的某個安全模塊，而是在網(wǎng)絡(luò)綜合管理平臺總無處不在。在網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)傳輸加密等基礎(chǔ)網(wǎng)絡(luò)的安全。用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全。業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。

　　隨著網(wǎng)絡(luò)上應(yīng)用的進一步增多，隨著網(wǎng)絡(luò)進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而網(wǎng)絡(luò)的安全防護作為一個系統(tǒng)工程，其范圍與深度早已超出了我們原來的預(yù)料，并還將進一步發(fā)展。只有在整體平臺角度從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。
本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 企業(yè)郵局走進企業(yè)勢在必行
下一篇 >> 趨勢科技Secure Cloud云安全網(wǎng)絡(luò)防護解決方案白皮書(4)

激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

服務(wù)器租用

服務(wù)器托管

機柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

無處不在的IT安全管理

同類文章

億恩公告

在線客服