本文簡要分析了企業(yè)內(nèi)部網(wǎng)絡(luò)所面臨的主要分析，闡述了安全管理人員針對不同威脅的主要技術(shù)應(yīng)對措施。進一步介紹了業(yè)界各種技術(shù)措施的現(xiàn)狀，并提出了未來可能的發(fā)展趨勢。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全問題的提出

網(wǎng)絡(luò)安全對于絕大多數(shù)人而言指的都是互聯(lián)網(wǎng)安全（Internet Security），但是對于組織的安全主管而言卻不盡然。他們的使命是負責(zé)保護企業(yè)的數(shù)字資產(chǎn)-信息和基礎(chǔ)架構(gòu)，對于這些保護對象而言，其外部都可能是風(fēng)險源，而這里的外部風(fēng)險源則既有可能是互聯(lián)網(wǎng)Internet，也有可能是內(nèi)部網(wǎng)絡(luò)Intranet。內(nèi)部網(wǎng)絡(luò)并不等于可信網(wǎng)絡(luò)。對于組織而言，來自內(nèi)部的威脅有可能遠大于外部的威脅。這使得有必要對于內(nèi)網(wǎng)的網(wǎng)絡(luò)安全進行針對性的分析，并找出解決之道。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險分析

分析的視角

網(wǎng)絡(luò)安全是一個非常復(fù)雜而龐大的研究對象，不同的研究視角可能會"看到"不一樣的安全風(fēng)險。例如針對單個數(shù)字資產(chǎn)，最常見的視角是關(guān)注其完整性、機密性和可用性。對于組織的安全架構(gòu)，可以從物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層、用戶層這樣的視角進行分析。本文出于簡化的目的，將內(nèi)部網(wǎng)絡(luò)的安全按其參與者進行分析，包括網(wǎng)絡(luò)、通信方和信息。本文分析的模型是位于不同網(wǎng)絡(luò)的通信方，在其信息交換的過程中所面臨的安全風(fēng)險。

安全風(fēng)險

按照這一模型，需要關(guān)注的風(fēng)險主要有：

◆網(wǎng)絡(luò)

假設(shè)組織對于其內(nèi)部網(wǎng)絡(luò)進行了良好的規(guī)劃和管理，則來自不同的網(wǎng)絡(luò)意味著處于不同的內(nèi)部部門和/或不同的安全等級。這里主要的風(fēng)險有：不同的部門可能不應(yīng)跨網(wǎng)絡(luò)訪問資源；不同安全等級網(wǎng)絡(luò) 的通信可能包含潛在的攻擊。

◆通信方

在參與通信的雙方中，需要保護的是服務(wù)器一方的安全。由于服務(wù)器往往采取了必要的安全保障措施，客戶端那一方的安全性則成為木桶理論中可能的短板。

◆信息交換

通信的目的是交換信息，對于通信方之外的安全管理員而言，主要關(guān)注交換的內(nèi)容和通信的方式中可能存在的安全風(fēng)險。主要的風(fēng)險有：不符合企業(yè)安全策略的通信內(nèi)容（主要指文件）；不符合企業(yè)安全策略的通信方式（不應(yīng)通信或帶寬擠占）。#p#

其他的風(fēng)險

當(dāng)然，真實世界遠比理論復(fù)雜。本文的視角選取并不能覆蓋組織中內(nèi)部網(wǎng)絡(luò)的所有風(fēng)險。其他可能存在的風(fēng)險有：

◆機密性

對于某些組織而言，在內(nèi)部網(wǎng)絡(luò)中仍然要保證高度的機密性要求。這可能意味著對于數(shù)據(jù)的整個生命周期過程中，都需要考慮各階段安全風(fēng)險和防護手段。這部分內(nèi)容一般不列入網(wǎng)絡(luò)安全的范疇，本文并未展開討論。

◆完整性

對于組織的某些特定信息資產(chǎn)，保障其完整性至關(guān)重要。對于該信息資產(chǎn)的存儲、修改都需要考慮可能的安全風(fēng)險，并通過技術(shù)手段進行保障。這部分內(nèi)容往往通過安全設(shè)計和數(shù)據(jù)備份實現(xiàn)，不是傳統(tǒng)的網(wǎng)絡(luò)安全范疇。本文并未展開討論。

◆可用性

網(wǎng)絡(luò)安全主要考慮的是帶寬擠占帶來的可用性風(fēng)險，本文并未對信息資產(chǎn)的可用性進行全面討論。

◆風(fēng)險的定義

各組織對于風(fēng)險的接受程度并不相同，這也導(dǎo)致了本文討論的風(fēng)險可能對于部分組織并不完整。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道

按照前文的分析結(jié)果，內(nèi)網(wǎng)網(wǎng)絡(luò)的安全主要關(guān)注的對象應(yīng)該是網(wǎng)絡(luò)、通信方和信息交換相關(guān)的安全風(fēng)險。對于這三個對象，安全管理員可以采取相應(yīng)的技術(shù)緩解風(fēng)險。

網(wǎng)絡(luò)

合理劃分網(wǎng)絡(luò)

對于組織而言，傳統(tǒng)的網(wǎng)絡(luò)劃分往往是由網(wǎng)絡(luò)管理部進行的。組織的安全管理員需要網(wǎng)絡(luò)劃分進行審閱。網(wǎng)絡(luò)劃分的依據(jù)除了根據(jù)地理位置、部門之外，也應(yīng)考慮其包含信息資產(chǎn)安全等級，安全管理員關(guān)注網(wǎng)絡(luò)劃分的目的在于更容易實現(xiàn)按安全等級進行保護。應(yīng)盡可能避免安全等級相差較大的信息資產(chǎn)劃分在同一網(wǎng)絡(luò)中。

設(shè)置邊界檢查點

對于來自不同的網(wǎng)絡(luò)的通信應(yīng)在其邊界處設(shè)置檢查點，過濾其中可能的安全威脅，包括未授權(quán)的網(wǎng)絡(luò)訪問和潛在的攻擊。

技術(shù)實現(xiàn)

防火墻（Firewall）

防火墻是最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)，也是相對簡單的一種。防火墻作為網(wǎng)絡(luò)邊界檢查點的主要作用是實現(xiàn)訪問控制。#p#

防火墻作為一種安全技術(shù)，主要優(yōu)勢包括：

◆性能：目前的防火墻已經(jīng)有100G的產(chǎn)品。

◆工作在網(wǎng)絡(luò)層：可實現(xiàn)網(wǎng)絡(luò)地址翻譯甚至路由等功能。

◆配置容易：防火墻配置較為容易。

但是在實踐中，防火墻并非是內(nèi)網(wǎng)邊界檢查點最常用的設(shè)備，這主要是因為以下原因：

◆內(nèi)網(wǎng)往往并沒有極高的網(wǎng)絡(luò)吞吐量性能要求

◆防火墻對于通過ACL規(guī)則之后的數(shù)據(jù)包檢查并不擅長，對于復(fù)雜的攻擊無法防御

◆添加工作在網(wǎng)絡(luò)層的防火墻需要更改內(nèi)部網(wǎng)絡(luò)拓撲

◆防火墻沒有失效打開（Fail Open）功能。設(shè)備失效會影響網(wǎng)絡(luò)可用性。

當(dāng)然，近年來防火墻技術(shù)也在發(fā)展。最主要的方向是解決其對于數(shù)據(jù)包的檢查功能，使防火墻能夠理解應(yīng)用層的通信，成為基于應(yīng)用的防火墻（Application Firewall），國際上主要的應(yīng)用防火墻廠商包括McAfee公司（收購Secure Computing獲得技術(shù)）和PAN，還有一些專注于Web應(yīng)用的公司，如Imperva和國內(nèi)的綠盟等。這些應(yīng)用防火墻很大程度上改善了應(yīng)用層防護能力，設(shè)置通過協(xié)議代理技術(shù)做到了非常精細的顆粒度，當(dāng)然也存在著配置復(fù)雜，對管理員要求高，性能較低等需要進一步克服的技術(shù)障礙。

入侵防護系統(tǒng)（Intrusion Prevention System）

入侵防護系統(tǒng) 作為入侵檢測系統(tǒng)的升級技術(shù)，在近年廣泛用于組織內(nèi)部網(wǎng)絡(luò)的邊界防護。主要技術(shù)優(yōu)勢包括：

◆強大的數(shù)據(jù)包深入檢查（Deep Packet Inspection）功能，可以檢測各種應(yīng)用層協(xié)議中夾帶的攻擊（不局限于Web等）

◆配置容易，用戶可基于默認的策略進行設(shè)置。自動阻斷攻擊。

◆透明接入網(wǎng)絡(luò)，無需更改網(wǎng)絡(luò)拓撲

◆帶有失效打開功能。如果設(shè)備失效會自動旁路，不致影響網(wǎng)絡(luò)的可用性

入侵防護系統(tǒng)也存在一些局限，主要包括：

◆全面部署成本較高。一般而言，同樣吞吐性能的防火墻和入侵防護系統(tǒng)相比，后者購置成本遠高于前者。

◆對入侵防護系統(tǒng)的評價較為復(fù)雜，對于普通用戶難以評估不同入侵防護系統(tǒng)的防護能力。

這些局限導(dǎo)致了目前入侵防護系統(tǒng)作為最被安全技術(shù)趨勢研究機構(gòu)看好的內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品，并未得到與其名聲相匹配的普及程度。

通信方

即便是來自可信網(wǎng)絡(luò)，如果參與通信的一方自身的系統(tǒng)安全無法保障，也將會影響對端的安全。因此應(yīng)對于通信方的安全狀況需進行必要的檢查，使其滿足組織預(yù)定義的安全基準(zhǔn)，才許可其參與通信。

技術(shù)實現(xiàn)

網(wǎng)絡(luò)準(zhǔn)入控制（Network Access Control）

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可以實現(xiàn)確保接入網(wǎng)絡(luò)的客戶端安全狀況符合要求。通過在桌面機上安裝客戶端軟件，組織可以避免未達安全要求的客戶端接入內(nèi)部網(wǎng)絡(luò)，造成潛在的安全風(fēng)險。這一技術(shù)的主要優(yōu)點包括：

◆可基于客戶端的身份控制準(zhǔn)入

◆可基于客戶端的安全狀況控制準(zhǔn)入

◆方便實現(xiàn)公司的安全策略。#p#

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)也存在一些實現(xiàn)的難點，主要包括：

◆對于網(wǎng)絡(luò)環(huán)境復(fù)雜的組織，技術(shù)方案設(shè)計較難

◆客戶端軟件會一定程度上影響客戶端性能

◆對于規(guī)模較大的組織，部署工作是一個挑戰(zhàn)

雖然網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有著這些實現(xiàn)困難，但是目前還沒有其他更好的技術(shù)實現(xiàn)對于客戶端的安全控制。尤其是對于大規(guī)模的組織而言，通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)來保障網(wǎng)絡(luò)安全，仍是一種極為常見的選擇 。

信息的流動

組織的網(wǎng)絡(luò)安全管理人員需要關(guān)注通信方之間的信息流動。包括應(yīng)用層的相關(guān)信息（哪些文件，哪些協(xié)議）和網(wǎng)絡(luò)層的相關(guān)信息（流量模型，異常流量），并根據(jù)這些信息結(jié)合組織的安全策略，判斷網(wǎng)絡(luò)中信息流動的正常與否。

信息

網(wǎng)絡(luò)安全管理人員可能關(guān)注的信息包括：

◆當(dāng)前傳輸次數(shù)最多的文件

◆當(dāng)前主要訪問的URL地址

◆最忙碌的服務(wù)器

◆各種協(xié)議所占網(wǎng)絡(luò)通信的百分比

◆異常流量信息

◆拒絕服務(wù)攻擊信息

◆蠕蟲爆發(fā)信息

技術(shù)實現(xiàn)

網(wǎng)絡(luò)行為分析（Network Behavior Analysis）

網(wǎng)絡(luò)行為分析是一種基于"流（flow）"的分析技術(shù)，通過對于Net flow 信息的采集，可以呈現(xiàn)出組織網(wǎng)絡(luò)中的各種流量信息。網(wǎng)絡(luò)行為分析技術(shù)的主要優(yōu)點有：

◆通過對流信息的理解和整理，可以顯示網(wǎng)絡(luò)的流量異常

◆通過建立網(wǎng)絡(luò)訪問模型，可以顯示網(wǎng)絡(luò)濫用

◆顯示網(wǎng)絡(luò)協(xié)議百分比等信息，幫助分析網(wǎng)絡(luò)帶寬使用情況

◆可顯示文件、URL等應(yīng)用層信息

◆離線部署

網(wǎng)絡(luò)行為分析技術(shù)多用于規(guī)模較大的組織，它可為網(wǎng)絡(luò)管理員和安全管理員提供有積極價值的流量信息。它的主要限制在于需要網(wǎng)絡(luò)設(shè)備（路由器和交換機等）支持流信息的導(dǎo)出，并非所有的網(wǎng)絡(luò)設(shè)備都支持這一功能。#p#

內(nèi)網(wǎng)網(wǎng)絡(luò)安全的管理挑戰(zhàn)

對于組織而言，確定安全風(fēng)險和部署安全產(chǎn)品之后，最艱巨的挑戰(zhàn)來自如何管理這些安全產(chǎn)品。攻擊或違反策略的行為往往會被多個不同的安全產(chǎn)品監(jiān)測到，這就需要安全產(chǎn)品之間的整合；同樣的，出于管理的需要，安全產(chǎn)品也應(yīng)與組織的IT基礎(chǔ)架構(gòu)和流程融合。

整合

內(nèi)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品

本文介紹的用于內(nèi)網(wǎng)網(wǎng)絡(luò)安全的產(chǎn)品之間都將需要協(xié)同工作。

防火墻和網(wǎng)絡(luò)入侵防護系統(tǒng)這兩種產(chǎn)品都承擔(dān)著網(wǎng)間檢查點的重任，未來的趨勢必然是整合為單一的產(chǎn)品。最重要的功能將是檢測和阻斷攻擊，以及應(yīng)用層協(xié)議的細顆粒控制。

網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)入侵防護兩者相似而并不相同，前者看到的是Net flow，后者檢查的是數(shù)據(jù)包 。前者用于宏觀分析，后者用于微觀分析。前者為離線設(shè)備，后者為在線設(shè)備。前者目的在于分析，后者的作用是防護。但是兩者卻又相得益彰，互為補充。以邁克菲為代表的廠商已經(jīng)著手整合這兩種產(chǎn)品，通過網(wǎng)絡(luò)入侵防護系統(tǒng)提供Net flow v9信息給網(wǎng)絡(luò)行為分析。使得兩者之間可以共享網(wǎng)絡(luò)安全信息。

網(wǎng)絡(luò)準(zhǔn)入控制和網(wǎng)絡(luò)入侵防護系統(tǒng)的整合也非常必要。某種意義上，前者保障的是安全的系統(tǒng)準(zhǔn)入，后者保障的是安全的數(shù)據(jù)包準(zhǔn)入，二者的結(jié)合方可保證在系統(tǒng)層面和網(wǎng)絡(luò)層面的安全。對于較小規(guī)模的組織，可以選擇二合一的產(chǎn)品 。對于較大規(guī)模的組織，選擇單獨的產(chǎn)品，最好可通過統(tǒng)一管理平臺查看相關(guān)信息。

融合

和管理軟件協(xié)作

網(wǎng)絡(luò)安全產(chǎn)品作為一種網(wǎng)絡(luò)設(shè)備，需要與網(wǎng)管軟件協(xié)同工作。向網(wǎng)管軟件報告自身的重要系統(tǒng)事件，如系統(tǒng)錯誤、資源耗盡告警等等。兩者的協(xié)作多通過標(biāo)準(zhǔn)的SNMP協(xié)議實現(xiàn)，網(wǎng)絡(luò)安全產(chǎn)品應(yīng)設(shè)計為提供必要的系統(tǒng)狀態(tài)信息用于通知網(wǎng)管軟件其狀態(tài)。

有的組織也需要網(wǎng)絡(luò)安全產(chǎn)品和流程軟件協(xié)同工作，在安全產(chǎn)品的管理平臺上可定義工單和對象，并可配置事件觸發(fā)工單指派給某一對象，實現(xiàn)工單管理的全過程。

信息融合

對于組織而言，各種安全產(chǎn)品會產(chǎn)生大量的安全日志，組織的真實安全狀況就存在這些日志中。目前常見的方式是通過安全事件管理系統(tǒng)集中各不同安全產(chǎn)品的日志，采用數(shù)據(jù)挖掘技術(shù)分析這些事件的相關(guān)性，從中找出應(yīng)關(guān)心的安全事件。日志集中相對而言容易實現(xiàn)，而日志的相關(guān)性分析仍沒有突破性的技術(shù) 。

近年來，很多安全廠商在產(chǎn)品中集成了更為強大的分析系統(tǒng)，通過已建立的遍布全球的各式各樣的傳感器和多年的信息安全知識積累?？蔀橛脩籼峁└鼮闇?zhǔn)確更具參考意義的安全事件信息。防毒軟件的云安全技術(shù)是這種趨勢的成功示例，邁克菲公司更進一步在其網(wǎng)絡(luò)安全產(chǎn)品中集成了全球智能威脅感知系統(tǒng)，可反映攻擊源的地理位置，安全聲譽信息等，使得安全管理員能夠更容易判定和處理安全事件。

總結(jié)

內(nèi)網(wǎng)網(wǎng)絡(luò)安全需要管理者對其網(wǎng)絡(luò)進行全面準(zhǔn)確的風(fēng)險評估，并根據(jù)評估結(jié)果選擇合適的安全產(chǎn)品以降低風(fēng)險。在選擇產(chǎn)品時，除主要功能外，也需要注意該產(chǎn)品與其它產(chǎn)品的整合能力以及信息融合能力。 

【編輯推薦】

1. 霧里看花 如何選擇真正的萬兆防火墻
2. 網(wǎng)絡(luò)安全盲區(qū)：被忽視的系統(tǒng)修補
3. 變廢為寶：將舊電腦改造成強勁的防火墻和路由器