內(nèi)網(wǎng)安全選型誤區(qū)與準(zhǔn)入控制的核心價(jià)值
- 在線投稿 投稿信箱:tougao@qdn.cn 新聞熱線:8222000 投稿QQ:449315
- 時(shí)間:2010-4-23 14:41:42 來(lái)源:中國(guó)新聞采編網(wǎng)
- 手機(jī)訪問(wèn) WAP網(wǎng)址 http://wap.qdn.cn
內(nèi)網(wǎng)安全在國(guó)內(nèi)的市場(chǎng)自從2000年左右啟動(dòng)至今,已經(jīng)走過(guò)了10年的歷程,在這個(gè)過(guò)程中,內(nèi)網(wǎng)安全的概念不斷完善和豐富,也在不斷的演進(jìn),但是,時(shí)至今日,依然缺乏統(tǒng)一的標(biāo)準(zhǔn),并由于眾多小型內(nèi)網(wǎng)安全產(chǎn)品廠商的進(jìn)入,造成了市場(chǎng)的混亂。與此相對(duì)應(yīng)的是,各個(gè)高度信息化的單位,對(duì)內(nèi)網(wǎng)安全產(chǎn)品的需求凸現(xiàn),如何選擇一個(gè)合適的內(nèi)網(wǎng)安全產(chǎn)品,已經(jīng)成為眾多網(wǎng)絡(luò)管理員和CIO的棘手問(wèn)題。
對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)上的誤區(qū)
內(nèi)網(wǎng)安全概念的提出和發(fā)展雖然經(jīng)歷了多年,但是目前尚沒(méi)有形成統(tǒng)一的認(rèn)識(shí),究其根源,很大程度上在于眾多企業(yè)仍然對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)上存在很大的誤區(qū),從而影響了企業(yè)對(duì)內(nèi)網(wǎng)安全的重視程度。這些認(rèn)識(shí)誤區(qū)很大程度上因?yàn)槿狈ο嚓P(guān)的標(biāo)準(zhǔn)和政策指引所致。目前市場(chǎng)上對(duì)內(nèi)網(wǎng)安全的認(rèn)識(shí)誤區(qū)主要分成以下三個(gè)方面:
(1)監(jiān)控審計(jì)就是內(nèi)網(wǎng)安全:監(jiān)控審計(jì)系統(tǒng)主要提供了內(nèi)網(wǎng)安全用戶行為和計(jì)算機(jī)使用的事后審計(jì)功能,同時(shí)針對(duì)部分計(jì)算機(jī)外設(shè)資源、移動(dòng)存儲(chǔ)設(shè)備和網(wǎng)絡(luò)資源等的使用提供了一定的控制措施。
(2)終端管理就是內(nèi)網(wǎng)安全:終端管理系統(tǒng)主要提供了包括補(bǔ)丁分發(fā)、外設(shè)管理和網(wǎng)絡(luò)管理等功能。
(3)數(shù)據(jù)加密就是內(nèi)網(wǎng)安全:數(shù)據(jù)加密系統(tǒng)主要提供對(duì)用戶核心文檔資料的加密和保護(hù),防止用戶內(nèi)網(wǎng)人員有意或者無(wú)意將信息泄漏。
上述觀點(diǎn)一直以來(lái)對(duì)內(nèi)網(wǎng)安全體系的構(gòu)建形成了誤導(dǎo),希冀通過(guò)單一的產(chǎn)品解決內(nèi)網(wǎng)安全面臨的問(wèn)題。而事實(shí)上,內(nèi)網(wǎng)的安全需要在事前的防范、事件發(fā)生時(shí)的監(jiān)控以及在事件發(fā)生后的審計(jì)、數(shù)據(jù)防泄密方面層層把關(guān)才能構(gòu)造一個(gè)完整的內(nèi)網(wǎng)安全體系,因此,傳統(tǒng)的安全產(chǎn)品很難構(gòu)造如此完整的內(nèi)網(wǎng)安全體系。
正是因?yàn)檫@種認(rèn)識(shí)上存在的誤區(qū),才導(dǎo)致了在選擇產(chǎn)品時(shí)嚴(yán)重偏離了實(shí)際的應(yīng)用價(jià)值,結(jié)果是產(chǎn)品買回來(lái)部署上之后名不副實(shí),不但沒(méi)有解決實(shí)際問(wèn)題,反而加重了網(wǎng)管員和CIO的工作負(fù)擔(dān)。
我們常常會(huì)聽到這樣或那樣的抱怨:
為什么部署了上網(wǎng)行為審計(jì)系統(tǒng),網(wǎng)絡(luò)維護(hù)量還是居高不下,甚至不降反升呢;
為什么通過(guò)終端管理軟件升級(jí)了最新的補(bǔ)丁,加強(qiáng)了網(wǎng)絡(luò)維護(hù),但網(wǎng)絡(luò)內(nèi)的木馬病毒還是泛濫、工作量仍然很大呢;
面對(duì)非法設(shè)備和計(jì)算機(jī)的接入,仍然不能主動(dòng)告警,及時(shí)阻斷,數(shù)據(jù)安全雖然得到了很好的保護(hù),但是各種違規(guī)聯(lián)網(wǎng)、任意的上傳下載等得不到有效地管理,給正常業(yè)務(wù)系統(tǒng)造成了嚴(yán)重影響,員工工作效率低下;
花了很大的精力把這些軟件部署上去,但是一段時(shí)間后,很多終端的Agent被卸載了。然而管理員卻無(wú)法知道哪些用戶的Agent已經(jīng)被卸載了,使這些系統(tǒng)成了“紙老虎”;
單位總是有一些“IT牛人”,他們對(duì)抗IT,不希望被管理、被約束,總是想方設(shè)法通過(guò)各種手段繞開管理,最終導(dǎo)致內(nèi)網(wǎng)管理系統(tǒng)無(wú)法得到全面的應(yīng)用,久而久之,越來(lái)越多的人繞開了管理,系統(tǒng)的應(yīng)用效果大打折扣;
由此可見,盡管越來(lái)越多的企業(yè)都已經(jīng)深刻認(rèn)識(shí)到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性,但真正實(shí)施并成功運(yùn)用的卻屈指可數(shù)。究其原因就是因?yàn)閭鹘y(tǒng)的內(nèi)網(wǎng)安全產(chǎn)品在功能全面性、客戶端保護(hù)、準(zhǔn)入控制方面存在短板,這也成為了傳統(tǒng)內(nèi)網(wǎng)安全產(chǎn)品的阿喀琉斯之鍾。
當(dāng)前內(nèi)網(wǎng)安全市場(chǎng)的需求
著網(wǎng)絡(luò)泄密和其他信息安全事件的日益頻繁和嚴(yán)重,對(duì)現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品提出嚴(yán)峻的挑戰(zhàn)。一方面目前市場(chǎng)上的內(nèi)網(wǎng)安全產(chǎn)品主要集中在電子文檔的安全管理、桌面行為管理等方面,功能相對(duì)單一,各自為政,且不同產(chǎn)品之間的協(xié)同性、聯(lián)動(dòng)性很差;另一方面用戶需求也越來(lái)全面,除了基本的電子文檔安全和桌面安全外,對(duì)于身份認(rèn)證與授權(quán)、文檔保護(hù)、USB存儲(chǔ)設(shè)備控制、行為審計(jì)等影響內(nèi)網(wǎng)安全的關(guān)鍵因素方面的要求也越來(lái)越重視,這造成了目前內(nèi)網(wǎng)安全產(chǎn)品需求旺盛與現(xiàn)有產(chǎn)品難以滿足市場(chǎng)需求的矛盾。
針對(duì)混合式網(wǎng)絡(luò)威脅的全面內(nèi)網(wǎng)安全一體化管理系統(tǒng)逐漸成為內(nèi)網(wǎng)安全技術(shù)領(lǐng)域的一大發(fā)展趨勢(shì)。全面內(nèi)網(wǎng)安全管理系統(tǒng)將文檔安全、桌面行為管理、身份認(rèn)證、移動(dòng)存儲(chǔ)管理、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)帶寬管理等多種安全功能有效集成在單一平臺(tái)上。綜合解決不同網(wǎng)絡(luò)應(yīng)用層次的安全問(wèn)題。以替代多個(gè)獨(dú)立的內(nèi)網(wǎng)安全產(chǎn)品,既簡(jiǎn)化了網(wǎng)絡(luò)部署、降低了成本,又提高了內(nèi)網(wǎng)安全等級(jí)和管理效率。
針對(duì)上述問(wèn)題,金盾軟件公司從2004年就開始進(jìn)行“全面內(nèi)網(wǎng)安全管理系統(tǒng)”相關(guān)領(lǐng)域的研究,解決在保證用戶整體網(wǎng)絡(luò)性能的前提下,具備文檔安全、桌面行為管理、準(zhǔn)入控制、移動(dòng)存儲(chǔ)管理、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)帶寬管理等綜合安全功能的內(nèi)網(wǎng)安全技術(shù)。2007年底在國(guó)內(nèi)首家推出了具“全面內(nèi)網(wǎng)安全”管理思想的金盾CIS5系統(tǒng),并由此帶動(dòng)國(guó)內(nèi)內(nèi)網(wǎng)安全行業(yè)向全面內(nèi)網(wǎng)安全系統(tǒng)技術(shù)革新的趨勢(shì),同時(shí)積極投入到基于軟硬件結(jié)合的新一代全面內(nèi)網(wǎng)安全系統(tǒng)的設(shè)計(jì)研究工作中。歷經(jīng)三年艱苦卓絕的工作,終于在2010年年初出推出了全新一代軟硬結(jié)合的可信內(nèi)網(wǎng)安全管控平臺(tái)-金盾CIS7,其核心理念上升到了“準(zhǔn)入控制保護(hù)、全面內(nèi)網(wǎng)安全”的新高度,再一次站到了國(guó)內(nèi)內(nèi)網(wǎng)安全產(chǎn)品市場(chǎng)的最前沿。
16大金盾CIS7產(chǎn)品解決方案
金盾全面內(nèi)網(wǎng)安全與網(wǎng)絡(luò)行為管理系統(tǒng)V7.0(Gold Shield Comprehensive Intranet Security & Network Behavior Management System),簡(jiǎn)稱金盾CIS7,是金盾軟件公司自主研發(fā)的全新一代軟硬結(jié)合的可信內(nèi)網(wǎng)安全管控平臺(tái),屬國(guó)內(nèi)首創(chuàng),國(guó)際領(lǐng)先,其可靠的性能和強(qiáng)大的全面內(nèi)網(wǎng)管控能力位居國(guó)內(nèi)內(nèi)網(wǎng)安全市場(chǎng)競(jìng)爭(zhēng)力第一。
金盾CIS7是在采用最新信息安全技術(shù)和“全面內(nèi)網(wǎng)安全管理”及“終端統(tǒng)一威脅管理” 先進(jìn)管理理念的基礎(chǔ)上推出的具有劃時(shí)代意義的革命性產(chǎn)品。她不但全面整合了監(jiān)控軟件、網(wǎng)管軟件、加密軟件、內(nèi)網(wǎng)安全等產(chǎn)品的功能,同時(shí)吸取微軟的網(wǎng)絡(luò)接入保護(hù)(NAP, Network Access Protection)和思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC, Network Access Control)技術(shù)的精髓,創(chuàng)造性的推出了軟硬件結(jié)合的金盾網(wǎng)絡(luò)接入控制保護(hù)系統(tǒng)GD-NACP(Network Access Control Protection)。
金盾CIS7提煉并升華了國(guó)內(nèi)近5000用戶的需求及應(yīng)用,對(duì)癥下藥歸納出了16大解決方案,分別是:健康狀態(tài)檢查解決方案、外設(shè)管理解決方案、USB移動(dòng)存儲(chǔ)解決方案、桌面安全解決方案、行為規(guī)范解決方案、屏幕管理解決方案、行為監(jiān)控解決方案、圖檔加解密解決方案、圖檔控管解決方案、IP地址管理解決方案、IT資產(chǎn)管理解決方案、補(bǔ)丁管理解決方案、端口流量管理解決方案、網(wǎng)管工具解決方案、準(zhǔn)入控制管理解決方案、報(bào)警管理解決方案以及決策支持等,涵蓋了全面內(nèi)網(wǎng)安全的諸方面,用戶可按需配置,模塊組合,迅速搭建適合自己的安全管控平臺(tái)。
沒(méi)有準(zhǔn)入控制的內(nèi)網(wǎng)安全不是真正的內(nèi)網(wǎng)安全
在內(nèi)網(wǎng)安全管理中,安全策略的控制與實(shí)施是實(shí)現(xiàn)所有終端管理功能的基礎(chǔ)所在。采用安全策略控制技術(shù)能夠?qū)K端用戶進(jìn)行安全狀態(tài)進(jìn)行檢查,將不合法的終端進(jìn)行隔離、強(qiáng)制修復(fù),從而有效促進(jìn)內(nèi)網(wǎng)的合規(guī)建設(shè),提升客戶滿意度。
金盾CIS7產(chǎn)品的設(shè)計(jì)遵從了這一初衷,針對(duì)準(zhǔn)入控制保護(hù)的功能和客戶端被破壞后主動(dòng)被發(fā)現(xiàn)并完全隔離這一軟件產(chǎn)品幾乎是不能實(shí)現(xiàn)完成的任務(wù),金盾公司在全面研究了思科NAC的和微軟NAP的技術(shù),吸取其精髓,立足國(guó)情一舉解決了困擾內(nèi)網(wǎng)安全行業(yè)多年的詬病,成功開發(fā)了金盾準(zhǔn)入控制保護(hù)(GD-NACP)。本功能的實(shí)現(xiàn)具有劃時(shí)代意義,它不僅僅是給用戶提供了一套硬件產(chǎn)品,更重要的是幫助用戶制定了使用網(wǎng)絡(luò)的規(guī)則和制度,建立了一套系統(tǒng)、全面、可信的內(nèi)控管理體系。既保證了合法用戶正常工作的可控、有序、高效運(yùn)行,又將非法入侵用戶隔離于可信網(wǎng)絡(luò)之外。
江蘇某大型制造業(yè)位于蘇南重鎮(zhèn),主營(yíng)為精密儀器和設(shè)備的開發(fā)與銷售,屬國(guó)內(nèi)行業(yè)內(nèi)一流企業(yè),整個(gè)公司的信息化程度很高,早在2000年就部署了ERP、CRM、PDM等管理系統(tǒng),2000年企業(yè)高管把內(nèi)網(wǎng)安全的選型提上了日程,初期選擇了北京一國(guó)內(nèi)知名廠商為其部署了300多點(diǎn)的補(bǔ)丁管理和外設(shè)管理系統(tǒng),經(jīng)過(guò)近二周的部署后終于上線運(yùn)行,系統(tǒng)管理員張某對(duì)于本套系統(tǒng)寄予厚望,本系統(tǒng)也發(fā)揮了其應(yīng)有的價(jià)值,在外設(shè)規(guī)范管控和補(bǔ)丁的及時(shí)分發(fā)方面發(fā)揮了重大作用,但隨著時(shí)間的推移發(fā)現(xiàn)客戶端越來(lái)越少,最后能上線的機(jī)器僅有50多點(diǎn),公司雖有制度,但扯皮現(xiàn)象嚴(yán)重,員工不承認(rèn)是破壞了客戶端程序,而網(wǎng)管張某又無(wú)計(jì)可施,隨著客戶端程序的丟失,外設(shè)管控又開始混亂,網(wǎng)絡(luò)的病毒肆虐,公司把產(chǎn)品應(yīng)用不力責(zé)任推到張某的身上,并追究了其責(zé)任。同時(shí)隨著內(nèi)網(wǎng)問(wèn)題的日益突出,產(chǎn)品也越來(lái)越不能滿足其要求,內(nèi)網(wǎng)審計(jì)、文檔保護(hù)等功能也越來(lái)越急迫,因此信息中心主任孫某決定重新選擇一套功能較全面的管控系統(tǒng),于是上海某國(guó)內(nèi)知名廠商進(jìn)入了高管的視野,本產(chǎn)品無(wú)論在客戶端的運(yùn)行穩(wěn)定性和抗破壞能力以及功能全面性上較原來(lái)有很大的提升,孫主任決定親自掛帥,經(jīng)過(guò)測(cè)試,招投標(biāo)后,最終選擇了本產(chǎn)品。同樣本產(chǎn)品在運(yùn)行初期,部署的600點(diǎn)客戶端運(yùn)行穩(wěn)定,效果良好,不久同樣的問(wèn)題出現(xiàn)了,客戶端越來(lái)越少,在2008年產(chǎn)品就出現(xiàn)了70%客戶端不能上線情況,廠商派工程師不斷去協(xié)助安裝客戶端,但員工想方設(shè)法破壞客戶端,而且部分技術(shù)牛人還專門找到了能一招制敵的絕招,在2分鐘內(nèi)就能完全卸載客戶端程序。而軟件產(chǎn)品不能有效杜絕客戶端遭受惡意破壞,更嚴(yán)重的是不能對(duì)非法終端采取措施,于是公司部分中層管理人員和員工長(zhǎng)期對(duì)安全產(chǎn)品的排斥情緒全面爆發(fā),原來(lái)在高管的支持下孫主任制定的相關(guān)內(nèi)網(wǎng)安全規(guī)范也被束之高閣,最后整個(gè)產(chǎn)品在2010年年初被全部終止,優(yōu)秀的內(nèi)網(wǎng)安全產(chǎn)品在這個(gè)優(yōu)秀的企業(yè)身上宣告失敗。
縱觀國(guó)內(nèi)內(nèi)網(wǎng)安全系統(tǒng)應(yīng)用失敗的大小案例,不勝枚舉,究其本質(zhì)原因,軟件功能再優(yōu)秀,但是客戶端丟失后,就失去了控制,更讓網(wǎng)管無(wú)奈的是傳統(tǒng)內(nèi)網(wǎng)安全產(chǎn)品不能從根本上對(duì)非法終端采取措施。在我們這個(gè)人情甚至重于制度的國(guó)情下,如果廠商不從技術(shù)上協(xié)助網(wǎng)管制定一套嚴(yán)厲的、不可逾越的網(wǎng)絡(luò)使用規(guī)范,恐怕沒(méi)有幾個(gè)人被管控,而你只能是束手無(wú)策、無(wú)計(jì)可施。
準(zhǔn)入控制解決了內(nèi)網(wǎng)安全的第一步的問(wèn)題,也是一個(gè)最基本問(wèn)題。通過(guò)準(zhǔn)入控制一方面從根本上解決了客戶端的安裝部署及防卸載問(wèn)題,另一方面有效的保證了全面內(nèi)網(wǎng)安全軟件安全策略的執(zhí)行和相關(guān)網(wǎng)絡(luò)管理政策的落實(shí)。
“沒(méi)有準(zhǔn)入控制的內(nèi)網(wǎng)安全,不是正真的內(nèi)網(wǎng)安全,在中國(guó)注定會(huì)失敗”這句看似危言聳聽的盛世格言已經(jīng)成為廣大客戶普遍認(rèn)可的觀點(diǎn)!
