您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
自安全網(wǎng)絡(luò),助力網(wǎng)絡(luò)原生自安全
摘 要:
信息安全問(wèn)題越來(lái)越頻繁地發(fā)生于網(wǎng)絡(luò)內(nèi)部(內(nèi)網(wǎng)),而傳統(tǒng)的安全防護(hù)產(chǎn)品更多的側(cè)重于邊界防護(hù),對(duì)內(nèi)部安全問(wèn)題難以有效發(fā)現(xiàn)及處置。同時(shí)網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題相對(duì)不容易察覺(jué),也更容易造成大范圍的影響,可能在短時(shí)間內(nèi)就擴(kuò)散到全網(wǎng)。應(yīng)對(duì)當(dāng)前的信息安全局勢(shì),我們需要將安全防護(hù)的邊界下沉至網(wǎng)絡(luò)層面,讓網(wǎng)絡(luò)與安全融合,使之在網(wǎng)絡(luò)層面就能夠發(fā)現(xiàn)威脅、處置威脅,實(shí)現(xiàn)網(wǎng)絡(luò)原生自安全。
內(nèi)容目錄:
0 引 言
1 網(wǎng)絡(luò)內(nèi)部安全面臨的挑戰(zhàn)
1.1 移動(dòng)終端、物聯(lián)網(wǎng)終端帶來(lái)的接入風(fēng)險(xiǎn)
1.2 終端移動(dòng)帶來(lái)的信息安全隱患
1.3 傳統(tǒng)的邊界防護(hù)對(duì)網(wǎng)絡(luò)內(nèi)部的攻擊無(wú)能為力
2 自安全網(wǎng)絡(luò)解決方案
2.1 自安全網(wǎng)絡(luò)關(guān)鍵技術(shù)2.2 自安全網(wǎng)絡(luò)帶來(lái)的價(jià)值2.3 自安全網(wǎng)絡(luò)應(yīng)用場(chǎng)景
3 結(jié) 語(yǔ)
0 引 言
信息安全問(wèn)題越來(lái)越頻繁地發(fā)生于網(wǎng)絡(luò)內(nèi)部,傳統(tǒng)的網(wǎng)絡(luò)只是單純的作為數(shù)據(jù)傳輸通道, 而傳統(tǒng)的安全防護(hù)產(chǎn)品又更側(cè)重于邊界安全防護(hù),也就是對(duì)外部攻擊的防護(hù),這使得網(wǎng)絡(luò)內(nèi)部的安全處于一種近似“真空”的狀態(tài)。根據(jù)調(diào)研顯示,68% 的受訪組織表示內(nèi)部網(wǎng)絡(luò)攻擊的發(fā)生變得越來(lái)越頻繁,70% 的受訪者在一年內(nèi)經(jīng)歷過(guò)一起或多起內(nèi)部網(wǎng)絡(luò)攻擊。
同時(shí),大多數(shù)受訪者(52%)認(rèn)為內(nèi)部網(wǎng)絡(luò)攻擊比外部網(wǎng)絡(luò)攻擊更難檢測(cè)和防護(hù),這是因?yàn)閮?nèi)部人員本身即擁有內(nèi)部資源的訪問(wèn)權(quán)限,要區(qū)分對(duì)內(nèi)部資源的訪問(wèn)是合法訪問(wèn)還是惡意攻擊具有一定挑戰(zhàn)性。由此可見(jiàn),網(wǎng)絡(luò)內(nèi)部的信息安全問(wèn)題呈現(xiàn)日益加劇的趨勢(shì)。為應(yīng)對(duì)此種態(tài)勢(shì), 我們不能僅僅依靠傳統(tǒng)的邊界防護(hù),要將安全防護(hù)下沉至網(wǎng)絡(luò)層面,讓網(wǎng)絡(luò)從數(shù)據(jù)傳輸?shù)耐ǖ雷兂砂踩尚湃蔚墓艿?,使得在網(wǎng)絡(luò)層面就能夠防御攻擊以及阻斷威脅的擴(kuò)散。
我們?cè)诰W(wǎng)絡(luò)設(shè)備內(nèi)部增加安全防護(hù)模塊, 使其能夠?qū)崟r(shí)采集、分析終端行為,由于網(wǎng)絡(luò)設(shè)備離終端最近,在部署位置上具備天然優(yōu)勢(shì), 在遇到威脅、攻擊可以第一時(shí)間進(jìn)行處置并告警。將網(wǎng)絡(luò)安全由原來(lái)單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御,變成基于安全防護(hù)產(chǎn)品與網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng)。
1 網(wǎng)絡(luò)內(nèi)部安全面臨的挑戰(zhàn)
《2020 Insider Threat Report》[1] 報(bào)告針對(duì)網(wǎng)絡(luò)內(nèi)部攻擊的現(xiàn)狀進(jìn)行調(diào)研,用戶覆蓋科技、金融、政府、教育、企業(yè)、電信和制造業(yè)等多個(gè)行業(yè),其中受訪企業(yè)員工規(guī)模在 1000 人以上的訪談樣本占比為 46%。
根據(jù)其調(diào)研,只有占比 48% 的受訪組織表示有適當(dāng)?shù)姆绞饺シ雷o(hù)內(nèi)部攻擊,有 29% 的受訪組織對(duì)其自身的防護(hù)能力不了解,還有剩下23% 的受訪組織表示明確不具備防護(hù)能力。如圖 1 所示。
圖 1 受訪組織具備防護(hù)內(nèi)部攻擊能力調(diào)研
由于內(nèi)部人員本身?yè)碛幸欢ǖ膬?nèi)部資源訪問(wèn)權(quán)限,要區(qū)分一次對(duì)內(nèi)部資源的訪問(wèn)是合法性訪問(wèn)還是惡意攻擊相比對(duì)外部網(wǎng)絡(luò)攻擊的檢測(cè)更具挑戰(zhàn),因此,內(nèi)部網(wǎng)絡(luò)攻擊相比外部網(wǎng)絡(luò)攻擊具備更強(qiáng)的隱蔽性和傳播性。如 2017 年“永恒之藍(lán)”勒索病毒在短時(shí)間內(nèi)迅速蔓延 , 包含政府部門、企業(yè)單位和教育機(jī)構(gòu)等多個(gè)單位均受到侵害。
而“永恒之藍(lán)”勒索病毒是利用 Windows 操作系統(tǒng)的漏洞進(jìn)行傳播,通過(guò)攻擊沒(méi)有關(guān)閉 TCP445 端口的 Windows 操作系統(tǒng), 向其他受害者加以傳播和感染。但 445 端口是很常用的 TCP 端口,開(kāi)啟此端口可在局域網(wǎng)中輕松訪問(wèn)各種共享文件夾或共享打印機(jī)以提高工作效率,由此可以看出,對(duì)內(nèi)部網(wǎng)絡(luò)攻擊的檢測(cè)與防護(hù)相比外部網(wǎng)絡(luò)攻擊確實(shí)更加充滿挑戰(zhàn)。
另外,根據(jù)調(diào)研,有 59% 的受訪者反饋無(wú)法及時(shí)處置內(nèi)部攻擊威脅,這在社會(huì)節(jié)奏逐步加快的今天是不可接受的,對(duì)于業(yè)務(wù)實(shí)時(shí)性要求高的行業(yè)更是一種災(zāi)難。根據(jù)前述,網(wǎng)絡(luò)內(nèi)部威脅相比外部威脅更具隱蔽性和傳播性,故其爆發(fā)后也會(huì)造成更大范圍的影響。有 54% 的受訪者表示內(nèi)部威脅的爆發(fā)會(huì)導(dǎo)致運(yùn)營(yíng)中斷, 有 50% 的受訪者表示內(nèi)部威脅爆發(fā)會(huì)導(dǎo)致關(guān)鍵數(shù)據(jù)丟失,有 38% 的受訪者表示內(nèi)部威脅爆發(fā)會(huì)導(dǎo)致其品牌損害,具體如圖 2 所示。
圖 2 內(nèi)部威脅影響
綜上所述,網(wǎng)絡(luò)內(nèi)部的安全威脅已經(jīng)呈現(xiàn)無(wú)法忽視的狀態(tài),IT 管理者需要考慮更多方面來(lái)保障內(nèi)網(wǎng)安全,其面臨的具體挑戰(zhàn)可以整理歸納如下。
1.1 移動(dòng)終端、物聯(lián)網(wǎng)終端帶來(lái)的接入風(fēng)險(xiǎn)
網(wǎng)絡(luò)接入安全主要靠三大部分聯(lián)合完成,分別為終端系統(tǒng)自帶的基礎(chǔ)防護(hù)安全、終端防病毒軟件提供的進(jìn)一步專業(yè)防護(hù)、終端準(zhǔn)入系統(tǒng)保障的網(wǎng)絡(luò)準(zhǔn)入安全。與此同時(shí),互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的蓬勃發(fā)展,也出現(xiàn)了對(duì)網(wǎng)絡(luò)接入安全的新挑戰(zhàn)。
其一,移動(dòng)終端及物聯(lián)網(wǎng)終端的系統(tǒng)往往不是我們常見(jiàn)的 Windows 系統(tǒng),無(wú)法安裝一些終端準(zhǔn)入控制軟件及防病毒軟件,導(dǎo)致其在準(zhǔn)入控制及防病毒上存在天然缺陷, 無(wú)法很好地執(zhí)行終端準(zhǔn)入控制策略,也無(wú)法及時(shí)發(fā)現(xiàn)自身安全風(fēng)險(xiǎn)。若一臺(tái)感染病毒的終端接入網(wǎng)絡(luò), 極有可能造成病毒在網(wǎng)絡(luò)內(nèi)部的大范圍傳播。
其二,企業(yè)內(nèi)部雖然對(duì)員工移動(dòng)終端上的殺毒軟件的安裝及更新有明確的規(guī)章制度,但缺乏有效的檢測(cè)手段,使得針對(duì)殺毒軟件的規(guī)章制度在具體執(zhí)行上存在一定困難。網(wǎng)絡(luò)安全的防護(hù)需要方方面面,有一個(gè)漏洞就有可能導(dǎo)致前功盡棄。如果某終端未安裝殺毒軟件就接入內(nèi)部網(wǎng)絡(luò),就會(huì)給網(wǎng)絡(luò)安全撕開(kāi)一道口子。
其三,各行各業(yè)的業(yè)務(wù)場(chǎng)景中存在許多啞終端, 如一些醫(yī)療專用設(shè)備或工業(yè)專用設(shè)備等(如醫(yī)療 CT 機(jī)、倉(cāng)儲(chǔ) AGV 小車等),其往往沒(méi)有基本的輸入設(shè)備,導(dǎo)致我們傳統(tǒng)常用的賬號(hào)密碼認(rèn)證無(wú)法在此類設(shè)備上應(yīng)用。其四,物聯(lián)網(wǎng)終端系統(tǒng)種類多樣且起步較晚,不像常見(jiàn)的 Windows系統(tǒng)在安全防護(hù)上有多年投入,可能存在部分系統(tǒng)對(duì)安全考慮不足的情況。
1.2 終端移動(dòng)帶來(lái)的信息安全隱患
不同部門、不同崗位或不同職級(jí)往往有不同的訪問(wèn)權(quán)限,如一個(gè)企業(yè)內(nèi)部,財(cái)務(wù)部有財(cái)務(wù)部的特定訪問(wèn)權(quán)限,市場(chǎng)部有市場(chǎng)部的特定訪問(wèn)權(quán)限,如果訪問(wèn)了對(duì)方部門的敏感資源,就有可能引發(fā)信息安全風(fēng)險(xiǎn)。而傳統(tǒng)安全防護(hù)的訪問(wèn)控制策略的視角是基于位置(基于設(shè)備或基于端口)進(jìn)行防護(hù),如將財(cái)務(wù)部網(wǎng)絡(luò)從接入往上都規(guī)劃為 VLAN10,將市場(chǎng)部網(wǎng)絡(luò)從接入往上都規(guī)劃為 VLAN20,IT 管理者對(duì) VLAN10 及 VLAN20 進(jìn)行配置訪問(wèn)控制策略來(lái)達(dá)到對(duì)部門的訪問(wèn)權(quán)限進(jìn)行控制的目的。當(dāng)對(duì)應(yīng)部門辦公終端不離開(kāi)其辦公區(qū)域時(shí)并不會(huì)引起問(wèn)題,一旦因工作需要移動(dòng)終端位置則會(huì)出現(xiàn)問(wèn)題。不同部門的員工可能因?yàn)槟骋蝗蝿?wù)需要而聚集在一起進(jìn)行聯(lián)合辦公,也可能因?yàn)楣ぷ餍枰霾钪练止净蚩偣具M(jìn)行跨地域辦公,若出現(xiàn)因?yàn)橐苿?dòng)終端位置而導(dǎo)致員工訪問(wèn)了其不應(yīng)該訪問(wèn)的資源,則會(huì)存在信息安全風(fēng)險(xiǎn)。
因此,訪問(wèn)控制策略的視角應(yīng)該從聚焦于位置變更為聚焦于人, 即訪問(wèn)控制策略要跟著人的移動(dòng)而移動(dòng),而不再局限于某一位置。即財(cái)務(wù)部的員工具有財(cái)務(wù)部的權(quán)限, 市場(chǎng)部的員工具有市場(chǎng)部的權(quán)限,不論將辦公終端移動(dòng)到哪里,都只會(huì)有其對(duì)應(yīng)的資源訪問(wèn)權(quán)限。
1.3 傳統(tǒng)的邊界防護(hù)對(duì)網(wǎng)絡(luò)內(nèi)部的攻擊無(wú)能為力
傳統(tǒng)的安全防護(hù)產(chǎn)品更專注于邊界防護(hù), 基于成本考慮,也無(wú)法將安全防護(hù)產(chǎn)品下沉至網(wǎng)絡(luò)的更底層(如接入層),故傳統(tǒng)的安全防護(hù)產(chǎn)品更多的是將防護(hù)對(duì)象聚焦于網(wǎng)絡(luò)外部, 讓網(wǎng)絡(luò)內(nèi)部的安全處于一種近似“真空”的狀態(tài), 如圖 3 所示。
圖 3 內(nèi)部攻擊無(wú)法防護(hù)
網(wǎng)絡(luò)內(nèi)部某終端中毒后可以直接通過(guò)內(nèi)部網(wǎng)絡(luò)傳播給其他終端,由于病毒傳播流量不經(jīng)過(guò)出口的安全防護(hù)產(chǎn)品,故無(wú)法進(jìn)行防護(hù)。異常終端甚至可以攻擊某些網(wǎng)絡(luò)設(shè)備,并以此作為跳板進(jìn)一步在全網(wǎng)散播病毒。這也是內(nèi)部網(wǎng)絡(luò)攻擊相比外部網(wǎng)絡(luò)攻擊更具傳播性的原因。
2 自安全網(wǎng)絡(luò)解決方案
2017 年我國(guó)政府正式發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,充分體現(xiàn)了黨中央對(duì)網(wǎng)絡(luò)安全的高度重視。而網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題在近年又出現(xiàn)愈演愈烈的趨勢(shì),如何讓內(nèi)部網(wǎng)絡(luò)變得安全可信成為重中之重。
自安全網(wǎng)絡(luò)解決方案提出一種讓網(wǎng)絡(luò)原生自安全的概念,即讓網(wǎng)絡(luò)不再僅僅是數(shù)據(jù)的傳輸通道,更是安全可信任的通道,使得在網(wǎng)絡(luò)層面就能夠防御攻擊以及阻斷威脅的擴(kuò)散。自安全網(wǎng)絡(luò)解決方案的整體思路為讓安全防護(hù)下沉至網(wǎng)絡(luò)層面,在網(wǎng)絡(luò)設(shè)備(如交換機(jī)、路由器、AP 等)內(nèi)部增加安全防護(hù)模塊,使其能夠?qū)崟r(shí)采集、分析終端行為,由于網(wǎng)絡(luò)設(shè)備離終端更近, 其具備位置優(yōu)勢(shì),在遇到威脅、攻擊時(shí),可以第一時(shí)間進(jìn)行處置并告警。
同時(shí),在網(wǎng)絡(luò)的各個(gè)位置(如接入、匯聚、核心)均有網(wǎng)絡(luò)設(shè)備, 可以讓不同位置的網(wǎng)絡(luò)設(shè)備聯(lián)合工作,將網(wǎng)絡(luò)安全由原來(lái)單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御, 變成基于安全防護(hù)產(chǎn)品與網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng)。
如圖 4 所示,異常終端在發(fā)起內(nèi)網(wǎng)攻擊時(shí), 會(huì)立刻被自安全接入所檢測(cè)到并阻斷。同時(shí), 自安全網(wǎng)絡(luò)在接入、匯聚、核心均有防護(hù)能力, 由于其距終端更近,可以在第一時(shí)間發(fā)現(xiàn)攻擊行為并處理,大大提升了網(wǎng)絡(luò)的安全性。
圖 4 自安全網(wǎng)絡(luò)
由于自安全網(wǎng)絡(luò)解決方案要求讓安全防護(hù)下沉至網(wǎng)絡(luò)層面,故需要對(duì)傳統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行改進(jìn)優(yōu)化。需要在其內(nèi)部增加策略配置組件、分析組件及異常流量處置組件,共同完成安全防護(hù)工作 ,如圖 5 所示。
圖 5 自安全交換機(jī)設(shè)計(jì)
策略配置組件:可針對(duì)不同威脅、不同攻擊源、不同攻擊目的等配置不同防護(hù)策略,以應(yīng)對(duì)各種應(yīng)用場(chǎng)景的對(duì)應(yīng)安全需求。
分析組件:分析交換芯片上送的流量,將分析結(jié)果告知異常流量處置組件。
異常流量處置組件:接收策略配置組件下發(fā)的處置策略,并針對(duì)分析組件發(fā)送的分析結(jié)果,對(duì)交換芯片下發(fā)指令,對(duì)異常流量按照預(yù)配置策略進(jìn)行處置。
2.1 自安全網(wǎng)絡(luò)關(guān)鍵技術(shù)
(1)安全準(zhǔn)入
安全準(zhǔn)入旨在對(duì)終端接入網(wǎng)絡(luò)的合法性進(jìn)行控制,斷絕非授權(quán)終端的接入,在接入層保障網(wǎng)絡(luò)安全可信。由于移動(dòng)終端、物聯(lián)網(wǎng)終端等新型終端的不斷出現(xiàn),安全準(zhǔn)入需要支持不同終端的不同認(rèn)證方式,如常規(guī) Windows 電腦可使用傳統(tǒng)的賬號(hào)密碼認(rèn)證,有殺毒軟件安裝要求的可支持殺毒軟件安裝認(rèn)證,攝像頭、醫(yī)療專用設(shè)備等可針對(duì)其業(yè)務(wù)模型進(jìn)行業(yè)務(wù)模型認(rèn)證等多種認(rèn)證方式,當(dāng)接入終端不滿足認(rèn)證條件時(shí),阻斷其網(wǎng)絡(luò)訪問(wèn)權(quán)限,保障網(wǎng)絡(luò)接入安全。同時(shí),此類無(wú)客戶端或輕客戶端認(rèn)證方式更受用戶歡迎。
自安全網(wǎng)絡(luò)安全準(zhǔn)入技術(shù)可以有效識(shí)別終端類型,自適配地為不同類型終端引導(dǎo)至對(duì)應(yīng)認(rèn)證方式進(jìn)行認(rèn)證,有效避免人工干預(yù),降低用戶學(xué)習(xí)成本。
同時(shí),安全準(zhǔn)入技術(shù)的終端識(shí)別技術(shù)可以進(jìn)一步進(jìn)行應(yīng)用,有效防范私接行為。例如, 在部分場(chǎng)景下, 為信息安全考慮不允許員工私接路由, 但可能存在部分員工為個(gè)人便捷考慮, 在網(wǎng)絡(luò)內(nèi)部私接無(wú)線路由器給手機(jī)上網(wǎng),從而將內(nèi)部網(wǎng)絡(luò)通過(guò)無(wú)線廣播出去。若此時(shí)無(wú)線不設(shè)置密碼或簡(jiǎn)單使用弱口令作為無(wú)線密碼,將造成更嚴(yán)重的后果。安全準(zhǔn)入技術(shù)的防私接技術(shù), 可對(duì)非法接入的私接路由器、私接攝像頭等其他設(shè)備進(jìn)行禁入,可以有效防止數(shù)據(jù)脫離安全防護(hù)邊界,造成信息泄露的安全風(fēng)險(xiǎn)。
(2)安全檢測(cè)
安全檢測(cè)旨在將安全邊界下移,讓網(wǎng)絡(luò)設(shè)備具備安全防護(hù)能力,其主要專注安全威脅的檢測(cè)識(shí)別等。由于網(wǎng)絡(luò)設(shè)備離終端最近,可以第一時(shí)間發(fā)現(xiàn)異常行為,并將異常上報(bào),以進(jìn)行后續(xù)處理。即使某臺(tái)終端存在漏洞或者中毒也沒(méi)關(guān)系,當(dāng)其在網(wǎng)絡(luò)中傳播攻擊時(shí)會(huì)被立刻識(shí)別并上報(bào)。
自安全網(wǎng)絡(luò)的安全檢測(cè)技術(shù)除了傳統(tǒng)基于報(bào)文數(shù)據(jù)特征的威脅識(shí)別方式,還增加了基于行為特征的威脅識(shí)別方式。雖然不同病毒的報(bào)文數(shù)據(jù)特征不同,但是傳播的行為模型往往相似。自安全網(wǎng)絡(luò)對(duì)病毒傳播的行為模型進(jìn)行整理歸納、特征提取,形成基于行為特征的威脅識(shí)別方式,對(duì)未知的新型病毒具備一定識(shí)別率, 可以更有效地保障網(wǎng)絡(luò)安全。
同時(shí),安全監(jiān)測(cè)技術(shù)還具備業(yè)務(wù)模型學(xué)習(xí)及匹配技術(shù)。一些特殊場(chǎng)景的專用設(shè)備具有獨(dú)特的業(yè)務(wù)模型,在此類特殊場(chǎng)景下,業(yè)務(wù)往往比較簡(jiǎn)單,不會(huì)出現(xiàn)業(yè)務(wù)模型以外的流量。如醫(yī)療場(chǎng)景下的 CT 機(jī),只應(yīng)該傳輸醫(yī)療業(yè)務(wù)數(shù)據(jù), 自安全網(wǎng)絡(luò)可以對(duì)不匹配業(yè)務(wù)模型的流量進(jìn)行識(shí)別并上報(bào),由安全處置模塊進(jìn)行進(jìn)一步處置。同時(shí),為方便用戶使用,自安全網(wǎng)絡(luò)具備業(yè)務(wù)模型學(xué)習(xí)技術(shù),可自動(dòng)學(xué)習(xí)業(yè)務(wù)模型,避免人工干預(yù),提升設(shè)備易用性。
(3)安全處置
安全處置旨在將安全邊界下移,讓網(wǎng)絡(luò)設(shè)備具備安全防護(hù)能力,其主要專注安全威脅的處置。由于網(wǎng)絡(luò)設(shè)備離終端最近,可在第一時(shí)間發(fā)現(xiàn)安全威脅后進(jìn)行處理,可阻止威脅擴(kuò)散。如當(dāng)某臺(tái)終端的攻擊被識(shí)別后,可立刻基于預(yù)配置策略進(jìn)行處理。
(4)安全可視
安全可視旨在通過(guò)可視化的方式,更直接、更形象地展示網(wǎng)絡(luò)安全狀態(tài)。同時(shí),避免單設(shè)備信息孤立,統(tǒng)籌整網(wǎng)設(shè)備信息,讓管理員更清楚明白地了解當(dāng)前網(wǎng)絡(luò)的安全問(wèn)題,并能夠快速采取行動(dòng),以此降低網(wǎng)絡(luò)安全運(yùn)維成本。
(5)安全隨行
安全隨行旨在改變傳統(tǒng)基于位置的安全防護(hù)策略,變更為基于人的安全防護(hù)策略,達(dá)到策略隨行的目的,以應(yīng)對(duì)終端移動(dòng)而引發(fā)的信息安全風(fēng)險(xiǎn)。如財(cái)務(wù)部員工因臨時(shí)任務(wù)需要, 前往其他部門進(jìn)行工作。當(dāng)該財(cái)務(wù)部員工接入其他部門網(wǎng)絡(luò)后,被自安全網(wǎng)絡(luò)自動(dòng)識(shí)別為財(cái)務(wù)部終端,則分配對(duì)應(yīng)權(quán)限,可避免信息泄露的安全風(fēng)險(xiǎn)。
(6)安全回溯
安全回溯旨在記錄終端行為,以達(dá)到發(fā)生安全事件后協(xié)助管理員回溯分析,并以此數(shù)據(jù)為基礎(chǔ)對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)優(yōu)、改進(jìn)的目的。
2.2 自安全網(wǎng)絡(luò)帶來(lái)的價(jià)值
(1)持續(xù)業(yè)務(wù)安全保障
在當(dāng)今的社會(huì)下,網(wǎng)絡(luò)不僅是我們?cè)L問(wèn)互聯(lián)網(wǎng)的通道,更是我們開(kāi)展業(yè)務(wù)不可或缺的關(guān)鍵部分。自安全網(wǎng)絡(luò)可以主動(dòng)、快速發(fā)現(xiàn)并處置威脅,可以提升網(wǎng)絡(luò)的可靠性、降低業(yè)務(wù)中斷的風(fēng)險(xiǎn),以保障業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)行。
(2)完善網(wǎng)絡(luò)安全架構(gòu)
自安全網(wǎng)絡(luò)加固了內(nèi)部網(wǎng)絡(luò)安全,可以降低或避免數(shù)據(jù)泄露和篡改的風(fēng)險(xiǎn)、并有效阻止內(nèi)部攻擊、防范病毒擴(kuò)散,為用戶做到整網(wǎng)安全可控。
(3)降低運(yùn)維管理成本
自安全網(wǎng)絡(luò)有效提升了網(wǎng)絡(luò)的安全性、可靠性,可以降低企業(yè)對(duì) IT 運(yùn)維管理的投入,提升 IT 管理者的工作效率,進(jìn)一步讓企業(yè)將有限的人力、物力投入業(yè)務(wù)發(fā)展,為社會(huì)創(chuàng)造更大的價(jià)值。
2.3 自安全網(wǎng)絡(luò)應(yīng)用場(chǎng)景
自安全網(wǎng)絡(luò)專注內(nèi)網(wǎng)安全,著力于讓網(wǎng)絡(luò)原生自安全,可在各種場(chǎng)景中應(yīng)用,以下用典型的辦公場(chǎng)景和存在專用設(shè)備的醫(yī)療場(chǎng)景對(duì)自安全網(wǎng)絡(luò)的場(chǎng)景應(yīng)用進(jìn)行論述。
(1)辦公場(chǎng)景
辦公場(chǎng)景是政府、企業(yè)、教育、醫(yī)療等各行各業(yè)均存在的典型應(yīng)用場(chǎng)景。在辦公場(chǎng)景下, 一方面為接入安全,只有授權(quán)終端允許接入, 如辦公電腦、打印機(jī)、企業(yè) AP、訪客終端等, 并禁止非授權(quán)終端,如私接路由、員工個(gè)人筆記本等,這里可以應(yīng)用安全準(zhǔn)入技術(shù)保障接入安全。另一方面,需要保障接入后的威脅防護(hù)檢測(cè)及策略隨行。外部訪客終端,只擁有訪客的權(quán)限,內(nèi)部員工擁有內(nèi)部員工的權(quán)限,同時(shí), 內(nèi)部員工根據(jù)不同部門、不同崗位、不同職級(jí)也需要分配相應(yīng)的權(quán)限,并啟用策略隨行,讓防護(hù)策略細(xì)化到人。
(2)醫(yī)療場(chǎng)景
在醫(yī)技科室中,有 CT 機(jī)、核磁共振等專用醫(yī)療設(shè)備。由于該類醫(yī)療設(shè)備是用于臨床診斷的重要工具,故其業(yè)務(wù)量大且連續(xù)性要求高。同時(shí),此類醫(yī)療設(shè)備必定部署于內(nèi)網(wǎng),也需要做好相應(yīng)的安全防護(hù)。專用醫(yī)療設(shè)備非常精密復(fù)雜,醫(yī)院自身技術(shù)人員往往不具備設(shè)備維護(hù)保養(yǎng)的能力,需每年向設(shè)備原廠購(gòu)買原廠維保服務(wù),但勒索病毒等網(wǎng)絡(luò)安全事件爆發(fā)時(shí)往往需要快速解決以保證業(yè)務(wù),原廠運(yùn)維人員趕赴醫(yī)院現(xiàn)場(chǎng)進(jìn)行維護(hù)往往需要一定時(shí)間,一旦發(fā)生網(wǎng)絡(luò)安全事件難免會(huì)造成業(yè)務(wù)在一定時(shí)間內(nèi)中斷,這對(duì)病患和醫(yī)療機(jī)構(gòu)都是不可接受的。
在醫(yī)療機(jī)構(gòu)的信息化發(fā)展中,網(wǎng)絡(luò)安全事件會(huì)隨著網(wǎng)絡(luò)規(guī)模不斷增大而同步增多,這就會(huì)導(dǎo)致信息科的日常精力經(jīng)常消耗在此類事務(wù)上, 難以讓信息科把主要精力放在提升醫(yī)療業(yè)務(wù)本身上。而自安全解決方案可有效解決此類問(wèn)題, 一方面,通過(guò)安全準(zhǔn)入禁止非授權(quán)終端接入,甚至可以在具體科室只允許匹配醫(yī)療業(yè)務(wù)模型的醫(yī)療終端接入;另一方面,通過(guò)安全檢測(cè)和安全防護(hù)第一時(shí)間發(fā)現(xiàn)并防護(hù)攻擊行為,保障醫(yī)療業(yè)務(wù)穩(wěn)定運(yùn)行。
3 結(jié) 語(yǔ)
隨著近年安全形勢(shì)的發(fā)展,網(wǎng)絡(luò)內(nèi)部安全問(wèn)題頻發(fā),網(wǎng)絡(luò)內(nèi)部的安全形勢(shì)不容忽視。自安全網(wǎng)絡(luò)秉持著讓網(wǎng)絡(luò)原生自安全的思路,在網(wǎng)絡(luò)設(shè)備上增加安全防護(hù)模塊,將安全防護(hù)邊界下移,使網(wǎng)絡(luò)安全由原來(lái)單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御,變成與基于網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng)。為各行各業(yè)的內(nèi)網(wǎng)安全提供了一套系統(tǒng)的解決方案,使網(wǎng)絡(luò)從數(shù)據(jù)傳輸?shù)耐ǖ雷兂砂踩尚湃蔚墓艿?,以更好地為用戶服?wù)。
引用本文:俞哲偉 , 劉書(shū)超 . 自安全網(wǎng)絡(luò),助力網(wǎng)絡(luò)原生自安全 [J]. 信息安全與通信保密 ,2021(6):68-75.
作者簡(jiǎn)介 >>>
俞哲偉,學(xué)士, 杭州迪普信息技術(shù)自安全產(chǎn)品經(jīng)理,主要研究方向?yàn)榫W(wǎng)絡(luò)安全、基于行為的攻擊檢測(cè)方式、計(jì)算機(jī)網(wǎng)絡(luò)交換技術(shù);
劉書(shū)超,學(xué)士,杭州迪普信息技術(shù)網(wǎng)絡(luò)產(chǎn)品經(jīng)理, 主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)、工業(yè)互聯(lián)網(wǎng)安全、現(xiàn)場(chǎng)總線技術(shù)。
選自《信息安全與通信保密》2021年第6期(為便于排版,已省去原文參考文獻(xiàn))
來(lái)源:信息安全與通信保密雜志社