终端是防火墙、上网行为管理等设备的管理盲点?
一般来说,大多数安全系统都只是来自于外部的入侵。针对于来自外部的入侵,已经大量成熟的安全系统来防范,但是内部的安全威胁和隐患,却很少被注意到,或者已经注意到,却没有完善的安全系统和安全来解决单位的内部安全问题。
上面所提及的几个问题似乎并不能通过单纯安装杀毒软件或防火墙等措施来解决。
如今,很多企业利用防火墙等设备,在网络的边缘设置了快速有效的整体区域防护策略,可以对网络入侵进行监控和防护,抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用;并采用网络版杀毒软件部署在网络中每个终端上,针对病毒感染、病毒传播和病毒发作进行区域的病毒控制与清除。
这种解决方案是针对外部入侵与病毒攻击的防范,对于机构内部信息保密安全管理却无任何作用。对于一个大型机构以往人为控制的教育加监督(人工填写日志)的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密的,这是每一个安全管理人员必须认真对待的问题。
此外,现在流行的一种通过网关监控管理应用流量的上网行为管理设备,似乎也不能有效地控制终端设备。我们需要注意的是,上网行为管理设备只能对终端使用者的上网行为进行管理,通过这个网关设备进行流量的监控,去管理使用者的上网行为。如果终端使用者通过USB闪存盘拷取数据,通过另置Modem上网时,上网行为管理设备就鞭长莫及了。
内网终端,就如同一个内鬼,平时我们不能发现,但他在关键的时候,却会起到很严重的后果,防火墙、上网行为管理设备对之没有办法,我们又该如何?
终端安全管理,变被动为主动
专门针对内网终端的管理(特别是针对关键数据服务器),并不是没有办法。如今,从普通网络管理系统中,发展出了专门的终端安全管理系统。就中国而言,目前的内网终端管理系统尚未形成统一而成熟的标准,但它已经能够有效地对终端进行管理。
目前,网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术,能够在保证在内网发生安全事件后提供有效的证据,实现事后审计的目标,不能做到事前防范,从而不能从根本上实现提高内网的可控性和可管理性。而内网终端安全管理系统将重点放在主动地控制风险而不是被动地响应事件,提高整个信息安全系统的有效性和可管理性。
内网终端管理系统提出一种叫做“控管”的管理概念,即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言,就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制,同时也对按照这个概念,通过基于主机的审计,还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。
内网终端管理系统从普通网络管理系统发展起来的,它能够提供强大的内网网络管理和维护功能,是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备(包括三层和二层设备),通过系统提供的智能学习功能,自动识别网络的物理拓扑结构,生成网络物理连接拓扑图。
内网安全管理系统将所有的内网的主机进行认证,符合在内网中的主机将运行在内网中正常使用,没有在内网安全管理系统中,定义的合法的主机,系统将其阻断。内网安全管理系统将维护一张内网的IP和mac地址表,在地址表内的主机将在网络中正常运行,如果有非法机器接入,内网安全系统会自动发现,并将其阻断。
对于关键数据服务器等终端来说,控制其USB接口是非常有效的办法。比如,我们可以通过利用美国GFI公司 EndPointSecurity和德国SmartLine公司 DeviceLock这两款软件轻而易举的达到管理自己的USB接口。GFI EndPointSecurity和SmartLine DeviceLock是一套用来控管个人电脑周边设备的工具软体,系统会限制一般使用者对于电脑周边设备的存取,杜绝员工私自携带U盘、数码相机等可移动式储存装置,以及蓝牙、无线网路设备等所带来的风险。管理者可以阻止非授权使用者使用USB与、蓝牙与WiFi转接器,CD/DVD光碟机、磁带机、 ZIP装置、串口与并口、以及其他即插即用设备。
如何防止内部员工恶意盗走企业的关键数据?除了通过行政手段来约束外,通过系列的针对终端的安全管理手段,可能是另外更有效的办法了。
