在当前的信息安全领域,大部分的注意力仍然集中于如何防范那些来自网络外部的恶意***,对于最终用户来说尤其如此。但是历史的经验告诉我们,以这种方式来处理信息安全问题并非上佳之策。有大量的证据表明,相对于那些由外部发起的恶意***,一些产生自内部网络的事件给用户带来了更严重的损失。2003年美国CSI/FBI公布的计算机犯罪与安全调查报告带给业内很大的触动,该报告显示八成以上的计算机犯罪行为都与内部人员有相当的关联。排除那些内外勾结的计算机犯罪行为,由内部人员的疏忽和误用所造成的损失也占了相当大的比例。既然如此,那么为什么媒体上曝光的有关计算机犯罪的报道都集中于骇客群体制造的网络***呢?这里主要的一个原因就是计算机犯罪的受害者通常都不愿意承认这些事件与内部的问题有关,这些信息会极大的降低组织声誉。另外,内部的安全隐患和管理不善往往是具有全局性和普遍性的问题,颇有无从说起之感。所以与网络***、病毒浪潮这些为大众所关注的事件相比,内部网络安全仍旧处于一个相对不受关注的位置。就好似冰山被埋在水下的部分,潜藏并时刻威胁着企业组织的金钱和资源。正是由于面临着如此的困境和威胁,近年来安全产业中有关注重内网安全的呼声越来越高。很多安全专家都纷纷呼吁,在重视以网关式产品为主要形式的边界防御的同时,也要有效的对内部网络进行更好的安全管理,以达到网络的整体安全性。内网安全和边界式防御并不是冲突的概念,如果一个网络中具有明显的安全问题,可能再好的网关式防火墙也无法保障将***者拦截在外。
清晰的认识内网安全的范畴和组成有助于更好的评估和应用内网安全解决方案,下面首先来看一下内网安全的基本构架。粗略的划分,内网安全问题主要集中于四个方面:系统安全、网络安全、数据安全和安全管理。
系统安全
系统安全主要用于界定单个计算机或设备节点的安全问题,保障所有系统的安全是建立安全系统的基础。“木桶上最短的一块木板决定了桶能装的水量”,这个短板理论同样适用于信息安全领域。如果某个系统具有较低的安全性,那么与该系统处于同一网络中的其它系统同样会因此面临安全威胁。恶意***者一旦获取了内部网络中一台系统的访问权,就相当于获得了代表合法用户的通行证,余下的破坏行为将简单得多。所以并不能因为工作的繁杂性而忽视了保障内网系统的安全,对这一问题坐视不理将面临非常严重的后果。在保障系统安全方面,常见而必要的工作包括系统加固、补丁管理、配置管理等等。在处理这些工作的时候,应用系统的安全问题也要获得充分的考虑。只是在硬件层面以及操作系统层面进行系统安全管理并不是系统安全的全部工作,一些应用程序的漏洞也能够造成与操作系统漏洞同样严重的结果,每个系统节点上运行的应用也需要以同样的规格获得处理。由于计算环境并不是恒久不变的,所以能够在动态的环境中良好的完成这些工作才能有效的保障系统安全。
网络安全
相对于系统安全,网络安全主要涵盖了节点之间的安全问题。在很多安全体系当中都会将通信安全做为很重要的部分独立出来,而网络安全的范畴还要比通信安全更加广泛一些。通讯安全领域主要关注的是网络的拓扑结构、所使用的网络协议、所使用的网络设备以及执行的网络服务等等。这些因素都会在很大程度上影响内网安全性,例如逻辑星型网络和逻辑环形网络在处理的时候就会有较大的不同,而IP协议的问题也和IPX协议非常不同。除了这些问题之外,网络安全部分还应该包括访问控制方面的问题。目前的访问控制管理主要着眼于通过认证和授权等操作,保障信息在使用过程中的保密性、完整性和可用性。访问控制可以赋予网络中所有系统相应的角色和权限,从而使网络节点之间的信息访问受到妥善的管理,在通信安全的基础上进一步保障多个节点之间的信息安全。
数据安全
数据是信息化的核心要素,也是信息资产的直接体现。任何计算机中的数据都有价值,只是价值的高低不同,所以数据备份是数据安全范畴的最基本问题。无论是什么样的计算环境,都应该制订相应的备份计划和策略以保障数据不被盗取、破坏和非法使用,这样才能使用户的权益得到保护。随着信息化设施对用户的重要性不断增强,当今的数据备份已经不再局限于制作数据的副本这样简单的层次,而是发展成为涵盖了数据可用性的更加全面的数据管理方案。在一些高端的应用环境中,数据安全更多的被包含在业务连续性计划这样的整体性规划当中。另外一种比较主要的数据保护手段就是加密,高强度的加密结合有计划的密钥管理可以提供具有极高可靠性的数据安全环境。事实上,加密已经成为***到各个功能层次中的极为重要的信息保护手段。
安全管理
与以上所列的三个方面相比,安全管理更多的集中于抽象层次的内容,即着眼于整个内网环境的管理规划和执行。可以说,安全管理既是独立于内网安全其它范畴的存在,又与每个范畴具有生生相息、不可分割的关系。安全管理所围绕的中心是安全策略,实际上安全策略也是所有信息安全实践当中的纲领。内网安全策略中包含了针对具体需求所产生出来的计划、方法以及示例,从较高的层面统合整个内网安全管理。除此之外,内网安全策略中还应包含很多规范性内容,例如所适用的范畴以及例外等等。
这种划分方式并不一定能够完美的容纳内网安全的所有要素,例如物理安全、安全教育等许多非常重要的部分都没有显示的在这种划分下获得体现,但是这种划分方法确实能够较为清晰和系统的包容内网安全的绝大部分要素,并有效用于内网安全的规划和认知。由于系统安全和网络安全部分可以很好的涵盖内部网络中的计算设施,所以将物理安全这样的问题分别在这两个分类中体现也是相当直观的,而安全教育方面的内容也可以在安全管理部分进行规定。
内网安全的现状与发展趋势
当前的内网安全管理正在从认识的普及走向产品的普及,已经有越来越多的用户认识到内网安全在整个信息安全体系当中的重要地位。目前在市场上已经出现了很多以内网安全为核心目标的管理产品,这些产品能够提供覆盖系统管理、漏洞检测、访问控制、安全审计、数据存储、信息加密等极大范围的安全管理功能。从这一点来说,内网安全在经历了长时间的理论积累和实践反思,向实际环境开展应用的步伐正在加快。配合用户安全意识及理念的不断提升,内网安全相关的产品将在较短的时间里获得类似防火墙产品这样的主流地位。事实上,防火墙产品本身就是内网安全体系的重要组成部分之一,而***检测类产品的发展也与内网误用这一需求的推动有极大的关系,而最早在用户群体中获得普及的防病毒产品所经历的也是从内而外的发展历程。信息安全产业在未来的几年中,将催生出更加成熟、更加统一、包容性更强的信息安全管理框架。安全产品的形态将逐步发展为兼顾外网安全防御与内网安全管理。“外网是危险的,内网是可信任的”,这种目前获得广泛使用的思维方式无论是在意识形态上还是在产品设计上都会被打破。随着内网安全获得更加合理的地位,信息安全将进一步沿着整合化、平台化、统一化、基础化的方向发展。