本文簡(jiǎn)要分析了企業(yè)內(nèi)部網(wǎng)絡(luò)所面臨的主要分析，闡述了安全管理人員針對(duì)不同威脅的主要技術(shù)應(yīng)對(duì)措施。進(jìn)一步介紹了業(yè)界各種技術(shù)措施的現(xiàn)狀，并提出了未來(lái)可能的發(fā)展趨勢(shì)。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的提出

網(wǎng)絡(luò)安全對(duì)于絕大多數(shù)人而言指的都是互聯(lián)網(wǎng)安全（Internet Security），但是對(duì)于組織的安全主管而言卻不盡然。他們的使命是負(fù)責(zé)保護(hù)企業(yè)的數(shù)字資產(chǎn)-信息和基礎(chǔ)架構(gòu)，對(duì)于這些保護(hù)對(duì)象而言，其外部都可能是風(fēng)險(xiǎn)源，而這里的外部風(fēng)險(xiǎn)源則既有可能是互聯(lián)網(wǎng)Internet，也有可能是內(nèi)部網(wǎng)絡(luò)Intranet。內(nèi)部網(wǎng)絡(luò)并不等于可信網(wǎng)絡(luò)。對(duì)于組織而言，來(lái)自內(nèi)部的威脅有可能遠(yuǎn)大于外部的威脅。這使得有必要對(duì)于內(nèi)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行針對(duì)性的分析，并找出解決之道。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

分析的視角

網(wǎng)絡(luò)安全是一個(gè)非常復(fù)雜而龐大的研究對(duì)象，不同的研究視角可能會(huì)"看到"不一樣的安全風(fēng)險(xiǎn)。例如針對(duì)單個(gè)數(shù)字資產(chǎn)，最常見(jiàn)的視角是關(guān)注其完整性、機(jī)密性和可用性。對(duì)于組織的安全架構(gòu)，可以從物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層、用戶層這樣的視角進(jìn)行分析。本文出于簡(jiǎn)化的目的，將內(nèi)部網(wǎng)絡(luò)的安全按其參與者進(jìn)行分析，包括網(wǎng)絡(luò)、通信方和信息。本文分析的模型是位于不同網(wǎng)絡(luò)的通信方，在其信息交換的過(guò)程中所面臨的安全風(fēng)險(xiǎn)。

安全風(fēng)險(xiǎn)

按照這一模型，需要關(guān)注的風(fēng)險(xiǎn)主要有：

◆網(wǎng)絡(luò)

假設(shè)組織對(duì)于其內(nèi)部網(wǎng)絡(luò)進(jìn)行了良好的規(guī)劃和管理，則來(lái)自不同的網(wǎng)絡(luò)意味著處于不同的內(nèi)部部門(mén)和/或不同的安全等級(jí)。這里主要的風(fēng)險(xiǎn)有：不同的部門(mén)可能不應(yīng)跨網(wǎng)絡(luò)訪問(wèn)資源；不同安全等級(jí)網(wǎng)絡(luò) 的通信可能包含潛在的攻擊。

◆通信方

在參與通信的雙方中，需要保護(hù)的是服務(wù)器一方的安全。由于服務(wù)器往往采取了必要的安全保障措施，客戶端那一方的安全性則成為木桶理論中可能的短板。

◆信息交換

通信的目的是交換信息，對(duì)于通信方之外的安全管理員而言，主要關(guān)注交換的內(nèi)容和通信的方式中可能存在的安全風(fēng)險(xiǎn)。主要的風(fēng)險(xiǎn)有：不符合企業(yè)安全策略的通信內(nèi)容（主要指文件）；不符合企業(yè)安全策略的通信方式（不應(yīng)通信或帶寬擠占）。#p#

其他的風(fēng)險(xiǎn)

當(dāng)然，真實(shí)世界遠(yuǎn)比理論復(fù)雜。本文的視角選取并不能覆蓋組織中內(nèi)部網(wǎng)絡(luò)的所有風(fēng)險(xiǎn)。其他可能存在的風(fēng)險(xiǎn)有：

◆機(jī)密性

對(duì)于某些組織而言，在內(nèi)部網(wǎng)絡(luò)中仍然要保證高度的機(jī)密性要求。這可能意味著對(duì)于數(shù)據(jù)的整個(gè)生命周期過(guò)程中，都需要考慮各階段安全風(fēng)險(xiǎn)和防護(hù)手段。這部分內(nèi)容一般不列入網(wǎng)絡(luò)安全的范疇，本文并未展開(kāi)討論。

◆完整性

對(duì)于組織的某些特定信息資產(chǎn)，保障其完整性至關(guān)重要。對(duì)于該信息資產(chǎn)的存儲(chǔ)、修改都需要考慮可能的安全風(fēng)險(xiǎn)，并通過(guò)技術(shù)手段進(jìn)行保障。這部分內(nèi)容往往通過(guò)安全設(shè)計(jì)和數(shù)據(jù)備份實(shí)現(xiàn)，不是傳統(tǒng)的網(wǎng)絡(luò)安全范疇。本文并未展開(kāi)討論。

◆可用性

網(wǎng)絡(luò)安全主要考慮的是帶寬擠占帶來(lái)的可用性風(fēng)險(xiǎn)，本文并未對(duì)信息資產(chǎn)的可用性進(jìn)行全面討論。

◆風(fēng)險(xiǎn)的定義

各組織對(duì)于風(fēng)險(xiǎn)的接受程度并不相同，這也導(dǎo)致了本文討論的風(fēng)險(xiǎn)可能對(duì)于部分組織并不完整。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道

按照前文的分析結(jié)果，內(nèi)網(wǎng)網(wǎng)絡(luò)的安全主要關(guān)注的對(duì)象應(yīng)該是網(wǎng)絡(luò)、通信方和信息交換相關(guān)的安全風(fēng)險(xiǎn)。對(duì)于這三個(gè)對(duì)象，安全管理員可以采取相應(yīng)的技術(shù)緩解風(fēng)險(xiǎn)。

網(wǎng)絡(luò)

合理劃分網(wǎng)絡(luò)

對(duì)于組織而言，傳統(tǒng)的網(wǎng)絡(luò)劃分往往是由網(wǎng)絡(luò)管理部進(jìn)行的。組織的安全管理員需要網(wǎng)絡(luò)劃分進(jìn)行審閱。網(wǎng)絡(luò)劃分的依據(jù)除了根據(jù)地理位置、部門(mén)之外，也應(yīng)考慮其包含信息資產(chǎn)安全等級(jí)，安全管理員關(guān)注網(wǎng)絡(luò)劃分的目的在于更容易實(shí)現(xiàn)按安全等級(jí)進(jìn)行保護(hù)。應(yīng)盡可能避免安全等級(jí)相差較大的信息資產(chǎn)劃分在同一網(wǎng)絡(luò)中。

設(shè)置邊界檢查點(diǎn)

對(duì)于來(lái)自不同的網(wǎng)絡(luò)的通信應(yīng)在其邊界處設(shè)置檢查點(diǎn)，過(guò)濾其中可能的安全威脅，包括未授權(quán)的網(wǎng)絡(luò)訪問(wèn)和潛在的攻擊。

技術(shù)實(shí)現(xiàn)

防火墻（Firewall）

防火墻是最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)，也是相對(duì)簡(jiǎn)單的一種。防火墻作為網(wǎng)絡(luò)邊界檢查點(diǎn)的主要作用是實(shí)現(xiàn)訪問(wèn)控制。#p#

防火墻作為一種安全技術(shù)，主要優(yōu)勢(shì)包括：

◆性能：目前的防火墻已經(jīng)有100G的產(chǎn)品。

◆工作在網(wǎng)絡(luò)層：可實(shí)現(xiàn)網(wǎng)絡(luò)地址翻譯甚至路由等功能。

◆配置容易：防火墻配置較為容易。

但是在實(shí)踐中，防火墻并非是內(nèi)網(wǎng)邊界檢查點(diǎn)最常用的設(shè)備，這主要是因?yàn)橐韵略颍?/p>

◆內(nèi)網(wǎng)往往并沒(méi)有極高的網(wǎng)絡(luò)吞吐量性能要求

◆防火墻對(duì)于通過(guò)ACL規(guī)則之后的數(shù)據(jù)包檢查并不擅長(zhǎng)，對(duì)于復(fù)雜的攻擊無(wú)法防御

◆添加工作在網(wǎng)絡(luò)層的防火墻需要更改內(nèi)部網(wǎng)絡(luò)拓?fù)?/p>

◆防火墻沒(méi)有失效打開(kāi)（Fail Open）功能。設(shè)備失效會(huì)影響網(wǎng)絡(luò)可用性。

當(dāng)然，近年來(lái)防火墻技術(shù)也在發(fā)展。最主要的方向是解決其對(duì)于數(shù)據(jù)包的檢查功能，使防火墻能夠理解應(yīng)用層的通信，成為基于應(yīng)用的防火墻（Application Firewall），國(guó)際上主要的應(yīng)用防火墻廠商包括McAfee公司（收購(gòu)Secure Computing獲得技術(shù)）和PAN，還有一些專注于Web應(yīng)用的公司，如Imperva和國(guó)內(nèi)的綠盟等。這些應(yīng)用防火墻很大程度上改善了應(yīng)用層防護(hù)能力，設(shè)置通過(guò)協(xié)議代理技術(shù)做到了非常精細(xì)的顆粒度，當(dāng)然也存在著配置復(fù)雜，對(duì)管理員要求高，性能較低等需要進(jìn)一步克服的技術(shù)障礙。

入侵防護(hù)系統(tǒng)（Intrusion Prevention System）

入侵防護(hù)系統(tǒng) 作為入侵檢測(cè)系統(tǒng)的升級(jí)技術(shù)，在近年廣泛用于組織內(nèi)部網(wǎng)絡(luò)的邊界防護(hù)。主要技術(shù)優(yōu)勢(shì)包括：

◆強(qiáng)大的數(shù)據(jù)包深入檢查（Deep Packet Inspection）功能，可以檢測(cè)各種應(yīng)用層協(xié)議中夾帶的攻擊（不局限于Web等）

◆配置容易，用戶可基于默認(rèn)的策略進(jìn)行設(shè)置。自動(dòng)阻斷攻擊。

◆透明接入網(wǎng)絡(luò)，無(wú)需更改網(wǎng)絡(luò)拓?fù)?/p>

◆帶有失效打開(kāi)功能。如果設(shè)備失效會(huì)自動(dòng)旁路，不致影響網(wǎng)絡(luò)的可用性

入侵防護(hù)系統(tǒng)也存在一些局限，主要包括：

◆全面部署成本較高。一般而言，同樣吞吐性能的防火墻和入侵防護(hù)系統(tǒng)相比，后者購(gòu)置成本遠(yuǎn)高于前者。

◆對(duì)入侵防護(hù)系統(tǒng)的評(píng)價(jià)較為復(fù)雜，對(duì)于普通用戶難以評(píng)估不同入侵防護(hù)系統(tǒng)的防護(hù)能力。

這些局限導(dǎo)致了目前入侵防護(hù)系統(tǒng)作為最被安全技術(shù)趨勢(shì)研究機(jī)構(gòu)看好的內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品，并未得到與其名聲相匹配的普及程度。

通信方

即便是來(lái)自可信網(wǎng)絡(luò)，如果參與通信的一方自身的系統(tǒng)安全無(wú)法保障，也將會(huì)影響對(duì)端的安全。因此應(yīng)對(duì)于通信方的安全狀況需進(jìn)行必要的檢查，使其滿足組織預(yù)定義的安全基準(zhǔn)，才許可其參與通信。

技術(shù)實(shí)現(xiàn)

網(wǎng)絡(luò)準(zhǔn)入控制（Network Access Control）

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可以實(shí)現(xiàn)確保接入網(wǎng)絡(luò)的客戶端安全狀況符合要求。通過(guò)在桌面機(jī)上安裝客戶端軟件，組織可以避免未達(dá)安全要求的客戶端接入內(nèi)部網(wǎng)絡(luò)，造成潛在的安全風(fēng)險(xiǎn)。這一技術(shù)的主要優(yōu)點(diǎn)包括：

◆可基于客戶端的身份控制準(zhǔn)入

◆可基于客戶端的安全狀況控制準(zhǔn)入

◆方便實(shí)現(xiàn)公司的安全策略。#p#

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)也存在一些實(shí)現(xiàn)的難點(diǎn)，主要包括：

◆對(duì)于網(wǎng)絡(luò)環(huán)境復(fù)雜的組織，技術(shù)方案設(shè)計(jì)較難

◆客戶端軟件會(huì)一定程度上影響客戶端性能

◆對(duì)于規(guī)模較大的組織，部署工作是一個(gè)挑戰(zhàn)

雖然網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有著這些實(shí)現(xiàn)困難，但是目前還沒(méi)有其他更好的技術(shù)實(shí)現(xiàn)對(duì)于客戶端的安全控制。尤其是對(duì)于大規(guī)模的組織而言，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)來(lái)保障網(wǎng)絡(luò)安全，仍是一種極為常見(jiàn)的選擇 。

信息的流動(dòng)

組織的網(wǎng)絡(luò)安全管理人員需要關(guān)注通信方之間的信息流動(dòng)。包括應(yīng)用層的相關(guān)信息（哪些文件，哪些協(xié)議）和網(wǎng)絡(luò)層的相關(guān)信息（流量模型，異常流量），并根據(jù)這些信息結(jié)合組織的安全策略，判斷網(wǎng)絡(luò)中信息流動(dòng)的正常與否。

信息

網(wǎng)絡(luò)安全管理人員可能關(guān)注的信息包括：

◆當(dāng)前傳輸次數(shù)最多的文件

◆當(dāng)前主要訪問(wèn)的URL地址

◆最忙碌的服務(wù)器

◆各種協(xié)議所占網(wǎng)絡(luò)通信的百分比

◆異常流量信息

◆拒絕服務(wù)攻擊信息

◆蠕蟲(chóng)爆發(fā)信息

技術(shù)實(shí)現(xiàn)

網(wǎng)絡(luò)行為分析（Network Behavior Analysis）

網(wǎng)絡(luò)行為分析是一種基于"流（flow）"的分析技術(shù)，通過(guò)對(duì)于Net flow 信息的采集，可以呈現(xiàn)出組織網(wǎng)絡(luò)中的各種流量信息。網(wǎng)絡(luò)行為分析技術(shù)的主要優(yōu)點(diǎn)有：

◆通過(guò)對(duì)流信息的理解和整理，可以顯示網(wǎng)絡(luò)的流量異常

◆通過(guò)建立網(wǎng)絡(luò)訪問(wèn)模型，可以顯示網(wǎng)絡(luò)濫用

◆顯示網(wǎng)絡(luò)協(xié)議百分比等信息，幫助分析網(wǎng)絡(luò)帶寬使用情況

◆可顯示文件、URL等應(yīng)用層信息

◆離線部署

網(wǎng)絡(luò)行為分析技術(shù)多用于規(guī)模較大的組織，它可為網(wǎng)絡(luò)管理員和安全管理員提供有積極價(jià)值的流量信息。它的主要限制在于需要網(wǎng)絡(luò)設(shè)備（路由器和交換機(jī)等）支持流信息的導(dǎo)出，并非所有的網(wǎng)絡(luò)設(shè)備都支持這一功能。#p#

內(nèi)網(wǎng)網(wǎng)絡(luò)安全的管理挑戰(zhàn)

對(duì)于組織而言，確定安全風(fēng)險(xiǎn)和部署安全產(chǎn)品之后，最艱巨的挑戰(zhàn)來(lái)自如何管理這些安全產(chǎn)品。攻擊或違反策略的行為往往會(huì)被多個(gè)不同的安全產(chǎn)品監(jiān)測(cè)到，這就需要安全產(chǎn)品之間的整合；同樣的，出于管理的需要，安全產(chǎn)品也應(yīng)與組織的IT基礎(chǔ)架構(gòu)和流程融合。

整合

內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品

本文介紹的用于內(nèi)網(wǎng)網(wǎng)絡(luò)安全的產(chǎn)品之間都將需要協(xié)同工作。

防火墻和網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)這兩種產(chǎn)品都承擔(dān)著網(wǎng)間檢查點(diǎn)的重任，未來(lái)的趨勢(shì)必然是整合為單一的產(chǎn)品。最重要的功能將是檢測(cè)和阻斷攻擊，以及應(yīng)用層協(xié)議的細(xì)顆?？刂?。

網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)入侵防護(hù)兩者相似而并不相同，前者看到的是Net flow，后者檢查的是數(shù)據(jù)包 。前者用于宏觀分析，后者用于微觀分析。前者為離線設(shè)備，后者為在線設(shè)備。前者目的在于分析，后者的作用是防護(hù)。但是兩者卻又相得益彰，互為補(bǔ)充。以邁克菲為代表的廠商已經(jīng)著手整合這兩種產(chǎn)品，通過(guò)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供Net flow v9信息給網(wǎng)絡(luò)行為分析。使得兩者之間可以共享網(wǎng)絡(luò)安全信息。

網(wǎng)絡(luò)準(zhǔn)入控制和網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的整合也非常必要。某種意義上，前者保障的是安全的系統(tǒng)準(zhǔn)入，后者保障的是安全的數(shù)據(jù)包準(zhǔn)入，二者的結(jié)合方可保證在系統(tǒng)層面和網(wǎng)絡(luò)層面的安全。對(duì)于較小規(guī)模的組織，可以選擇二合一的產(chǎn)品 。對(duì)于較大規(guī)模的組織，選擇單獨(dú)的產(chǎn)品，最好可通過(guò)統(tǒng)一管理平臺(tái)查看相關(guān)信息。

融合

和管理軟件協(xié)作

網(wǎng)絡(luò)安全產(chǎn)品作為一種網(wǎng)絡(luò)設(shè)備，需要與網(wǎng)管軟件協(xié)同工作。向網(wǎng)管軟件報(bào)告自身的重要系統(tǒng)事件，如系統(tǒng)錯(cuò)誤、資源耗盡告警等等。兩者的協(xié)作多通過(guò)標(biāo)準(zhǔn)的SNMP協(xié)議實(shí)現(xiàn)，網(wǎng)絡(luò)安全產(chǎn)品應(yīng)設(shè)計(jì)為提供必要的系統(tǒng)狀態(tài)信息用于通知網(wǎng)管軟件其狀態(tài)。

有的組織也需要網(wǎng)絡(luò)安全產(chǎn)品和流程軟件協(xié)同工作，在安全產(chǎn)品的管理平臺(tái)上可定義工單和對(duì)象，并可配置事件觸發(fā)工單指派給某一對(duì)象，實(shí)現(xiàn)工單管理的全過(guò)程。

信息融合

對(duì)于組織而言，各種安全產(chǎn)品會(huì)產(chǎn)生大量的安全日志，組織的真實(shí)安全狀況就存在這些日志中。目前常見(jiàn)的方式是通過(guò)安全事件管理系統(tǒng)集中各不同安全產(chǎn)品的日志，采用數(shù)據(jù)挖掘技術(shù)分析這些事件的相關(guān)性，從中找出應(yīng)關(guān)心的安全事件。日志集中相對(duì)而言容易實(shí)現(xiàn)，而日志的相關(guān)性分析仍沒(méi)有突破性的技術(shù) 。

近年來(lái)，很多安全廠商在產(chǎn)品中集成了更為強(qiáng)大的分析系統(tǒng)，通過(guò)已建立的遍布全球的各式各樣的傳感器和多年的信息安全知識(shí)積累?？蔀橛脩籼峁└鼮闇?zhǔn)確更具參考意義的安全事件信息。防毒軟件的云安全技術(shù)是這種趨勢(shì)的成功示例，邁克菲公司更進(jìn)一步在其網(wǎng)絡(luò)安全產(chǎn)品中集成了全球智能威脅感知系統(tǒng)，可反映攻擊源的地理位置，安全聲譽(yù)信息等，使得安全管理員能夠更容易判定和處理安全事件。

總結(jié)

內(nèi)網(wǎng)網(wǎng)絡(luò)安全需要管理者對(duì)其網(wǎng)絡(luò)進(jìn)行全面準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果選擇合適的安全產(chǎn)品以降低風(fēng)險(xiǎn)。在選擇產(chǎn)品時(shí)，除主要功能外，也需要注意該產(chǎn)品與其它產(chǎn)品的整合能力以及信息融合能力。 

【編輯推薦】

1. 霧里看花 如何選擇真正的萬(wàn)兆防火墻
2. 網(wǎng)絡(luò)安全盲區(qū)：被忽視的系統(tǒng)修補(bǔ)
3. 變廢為寶：將舊電腦改造成強(qiáng)勁的防火墻和路由器