建設(shè)工程教育網(wǎng) > 建筑文苑 > 工程管理 > 正文
2010-04-15 11:58 【大 中 小】【打印】【我要糾錯】
如果說我們從技術(shù)點(diǎn)出發(fā)來建設(shè)運(yùn)維管理平臺系統(tǒng)、從業(yè)務(wù)應(yīng)用的角度出發(fā)來設(shè)計應(yīng)用管理策略,從整個IT管理出發(fā)來建設(shè)流程管理ITSM。這些都是非常重要的工作,但是這些都是建立在安全管理基礎(chǔ)上進(jìn)行的。沒有安全這一切都將很脆弱。
傳統(tǒng)的網(wǎng)絡(luò)安全
我們來分析一下網(wǎng)絡(luò)的安全管理。目前大部分運(yùn)維管理人員對黑客、病毒攻擊的危險性都有了深刻的認(rèn)識,所以很多網(wǎng)絡(luò)都大量投資了防火墻、入侵監(jiān)測、防病毒軟件等。但一段時間運(yùn)用下來,發(fā)現(xiàn)效果并不理想,病毒依然時常泛濫、重要信息常被泄露、網(wǎng)絡(luò)安全受到挑戰(zhàn),原因何在?關(guān)鍵在于安全并不是幾個產(chǎn)品就可以解決的問題,而是一個完整的體系。運(yùn)維人員往往只是單純的考慮某種安全問題并沒有從整體IT管理平臺的高度來考慮整體安全體系架構(gòu),這就是很多單位雖然耗費(fèi)了大量的資金,但是安全問題卻依然沒有有效解決的原因。
傳統(tǒng)的網(wǎng)絡(luò)安全從時間來看,網(wǎng)絡(luò)安全解決方案往往只考慮事前防范,缺乏必要的事后追蹤及審計能力,時間層面上并沒有端到端考慮?臻g層面并沒有端到端考慮。從網(wǎng)路層面來看,往往側(cè)重于業(yè)務(wù)層的安全,對網(wǎng)絡(luò)層和用戶層的安全缺乏必要關(guān)注。
很多用戶購買了大量的防火墻、入侵監(jiān)測設(shè)備、防病毒軟件,目的是通過數(shù)據(jù)隔離、加密、過濾、管理等技術(shù),加強(qiáng)整個網(wǎng)絡(luò)的安全性。
但這些都是在于防,而對事后跟蹤能力考慮很少,在安全事件發(fā)生前后,要求網(wǎng)絡(luò)所能提供的支持也是不同的,其花費(fèi)的代價與技術(shù)實(shí)現(xiàn)難度有非常大的差別從空間來看,往往側(cè)重于考慮對來自外網(wǎng)的黑客防御,對于內(nèi)部的安全控制缺乏必要手段。
任何的安全產(chǎn)品都不能保證自己可以100%的做到安全防范,當(dāng)安全問題出現(xiàn)的時候我們應(yīng)該如何處理?這個時候我們就需要一個事后處理方案。
事后跟蹤:通過對用戶上網(wǎng)端口、時間、訪問地的記錄,全面提供用戶上網(wǎng)的追溯能力,從而為后期的分析提供第一手的資料。
實(shí)際上日志記錄、地址簿等功能是一個非常良好的追溯手段,在出現(xiàn)問題時可以根據(jù)記錄迅速查找源頭,防止事態(tài)進(jìn)一步擴(kuò)大;例如在發(fā)生未知病毒傳播或者是黑客攻擊的時候,傳統(tǒng)的事前防范常常失效。怎么快速的確認(rèn)問題,找到問題源,解決問題。這在傳統(tǒng)的功能模塊很難完成,基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系通過安全數(shù)據(jù)分析系統(tǒng)、IP地址安全管理、配合設(shè)備的管理功能輕松解決這些問題。
以往的安全體系側(cè)重在外網(wǎng)防范上下工夫,而對內(nèi)網(wǎng)安全考慮很少。接入Internet的外網(wǎng)與辦工系統(tǒng)的內(nèi)網(wǎng)所面臨的網(wǎng)絡(luò)環(huán)境、安全防范的目標(biāo)、對用戶的管理力度都有很大的差異,所以必須針對外網(wǎng)與內(nèi)網(wǎng)的不同特點(diǎn)制定有效的安全策略。策略分為兩大部分,第一部分是外網(wǎng),通過VPN、加密等保證信息安全,通過網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊,側(cè)重的是防范。第二部分是內(nèi)網(wǎng),通過對用戶的識別,IP/MAC綁定等技術(shù)保證合法的用戶訪問合法接入,并做好訪問記錄,側(cè)重的是監(jiān)控。
在目前這樣一個人員高動流動的時代,大部分的泄密均源自內(nèi)網(wǎng)。原因是傳統(tǒng)網(wǎng)絡(luò)提供的是一個平等的數(shù)據(jù)交換平臺,而實(shí)際上不同的人員其訪問的范圍應(yīng)該是有所不同。比如普通員工只能談問本部門的辦工服務(wù)器,而領(lǐng)導(dǎo)則可以訪問某些重要服務(wù)器。如果不對人員訪問權(quán)限進(jìn)行合理的控制,則必然對重要信息產(chǎn)生極大威脅。原有的在應(yīng)用層進(jìn)行用戶鑒權(quán)與訪問控制的方案由于用戶已合法接入網(wǎng)絡(luò),可以監(jiān)聽到相關(guān)信息,實(shí)施攻擊,所以效果往往不盡如人意。也正是因?yàn)檫@個原因,今天的安全已是一個涵蓋網(wǎng)絡(luò)級、應(yīng)用級的在內(nèi)的完整概念。從網(wǎng)絡(luò)級就對用戶進(jìn)行訪問控制,使非法用戶接入網(wǎng)絡(luò)就成為聾子、瞎子,將大大增加非法用戶進(jìn)一步實(shí)施盜取與攻擊的難度,從而增強(qiáng)安全防護(hù)體系的效能。
傳統(tǒng)的網(wǎng)絡(luò)安全比較容易疏忽的一點(diǎn)在傳輸?shù)募用苌稀>W(wǎng)絡(luò)管理多以SNMP的方式進(jìn)行取數(shù)和管理,這種管理存在安全隱患越來越受到管理人員的重視。新的IT管理平臺在SNMPV3、HTTPS等新的傳輸加密技術(shù)上的使用成為必不可少的功能。
基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系
從完整的安全體系架構(gòu)的角度來看,安全的威脅包括基礎(chǔ)網(wǎng)絡(luò)資源本身以及承載的數(shù)據(jù)兩大方面,而對安全的保障也應(yīng)該是一個從發(fā)送端到接收端的完整的端到端的安全防護(hù)模型:這就包括了:數(shù)據(jù)傳送保證機(jī)密性、完整性及正確性,網(wǎng)絡(luò)資源防止路由欺騙、地址盜用,對于帶寬和端口的占用可以有效的管理與控制,均是構(gòu)成一個完整安全體系不可缺少的組成部分。這些你會發(fā)現(xiàn)都是基于網(wǎng)絡(luò)整體架構(gòu)的安全。
基于平臺的網(wǎng)絡(luò)安全架構(gòu)體系并表現(xiàn)為傳統(tǒng)的某個安全模塊,而是在網(wǎng)絡(luò)綜合管理平臺總無處不在。在網(wǎng)絡(luò)層:保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)傳輸加密等基礎(chǔ)網(wǎng)絡(luò)的安全。用戶接入層:確保合法的用戶接入,訪問合法的網(wǎng)絡(luò)范圍,并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全。業(yè)務(wù)層:保證用戶訪問內(nèi)容的合法性與安全性。
隨著網(wǎng)絡(luò)上應(yīng)用的進(jìn)一步增多,隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而網(wǎng)絡(luò)的安全防護(hù)作為一個系統(tǒng)工程,其范圍與深度早已超出了我們原來的預(yù)料,并還將進(jìn)一步發(fā)展。只有在整體平臺角度從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢,疏而不漏”。
1、凡本網(wǎng)注明“來源:建設(shè)工程教育網(wǎng)”的所有作品,版權(quán)均屬建設(shè)工程教育網(wǎng)所有,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、鏈接、轉(zhuǎn)貼或以其他方式使用;已經(jīng)本網(wǎng)授權(quán)的,應(yīng)在授權(quán)范圍內(nèi)使用,且必須注明“來源:建設(shè)工程教育網(wǎng)”。違反上述聲明者,本網(wǎng)將追究其法律責(zé)任。
2、本網(wǎng)部分資料為網(wǎng)上搜集轉(zhuǎn)載,均盡力標(biāo)明作者和出處。對于本網(wǎng)刊載作品涉及版權(quán)等問題的,請作者與本網(wǎng)站聯(lián)系,本網(wǎng)站核實(shí)確認(rèn)后會盡快予以處理。
本網(wǎng)轉(zhuǎn)載之作品,并不意味著認(rèn)同該作品的觀點(diǎn)或真實(shí)性。如其他媒體、網(wǎng)站或個人轉(zhuǎn)載使用,請與著作權(quán)人聯(lián)系,并自負(fù)法律責(zé)任。
3、本網(wǎng)站歡迎積極投稿。