如果說我們從技術點出發(fā)來建設運維管理平臺系統(tǒng)���、從業(yè)務應用的角度出發(fā)來設計應用管理策略,從整個IT管理出發(fā)來建設流程管理ITSM���。這些都是非常重要的工作�,但是這些都是建立在安全管理基礎上進行的��。沒有安全這一切都將很脆弱����。
傳統(tǒng)的網絡安全
我們來分析一下網絡的安全管理。目前大部分運維管理人員對黑客�、病毒攻擊的危險性都有了深刻的認識,所以很多網絡都大量投資了防火墻���、入侵監(jiān)測����、防病毒軟件等�。但一段時間運用下來���,發(fā)現(xiàn)效果并不理想,病毒依然時常泛濫�、重要信息常被泄露、網絡安全受到挑戰(zhàn)����,原因何在?關鍵在于安全并不是幾個產品就可以解決的問題����,而是一個完整的體系。運維人員往往只是單純的考慮某種安全問題并沒有從整體IT管理平臺的高度來考慮整體安全體系架構�����,這就是很多單位雖然耗費了大量的資金����,但是安全問題卻依然沒有有效解決的原因�。
傳統(tǒng)的網絡安全從時間來看,網絡安全解決方案往往只考慮事前防范�,缺乏必要的事后追蹤及審計能力,時間層面上并沒有端到端考慮��。空間層面并沒有端到端考慮����。從網路層面來看,往往側重于業(yè)務層的安全��,對網絡層和用戶層的安全缺乏必要關注�����。
很多用戶購買了大量的防火墻���、入侵監(jiān)測設備�、防病毒軟件�,目的是通過數據隔離、加密���、過濾�����、管理等技術����,加強整個網絡的安全性。
但這些都是在于防��,而對事后跟蹤能力考慮很少��,在安全事件發(fā)生前后����,要求網絡所能提供的支持也是不同的,其花費的代價與技術實現(xiàn)難度有非常大的差別從空間來看���,往往側重于考慮對來自外網的黑客防御�,對于內部的安全控制缺乏必要手段���。
任何的安全產品都不能保證自己可以100%的做到安全防范���,當安全問題出現(xiàn)的時候我們應該如何處理?這個時候我們就需要一個事后處理方案��。
事后跟蹤:通過對用戶上網端口�����、時間�、訪問地的記錄,全面提供用戶上網的追溯能力���,從而為后期的分析提供第一手的資料�����。
實際上日志記錄����、地址簿等功能是一個非常良好的追溯手段����,在出現(xiàn)問題時可以根據記錄迅速查找源頭,防止事態(tài)進一步擴大���;例如在發(fā)生未知病毒傳播或者是黑客攻擊的時候����,傳統(tǒng)的事前防范常常失效�����。怎么快速的確認問題,找到問題源��,解決問題�����。這在傳統(tǒng)的功能模塊很難完成��,基于平臺的網絡安全架構體系通過安全數據分析系統(tǒng)�、IP地址安全管理、配合設備的管理功能輕松解決這些問題����。
以往的安全體系側重在外網防范上下工夫,而對內網安全考慮很少�����。接入Internet的外網與辦工系統(tǒng)的內網所面臨的網絡環(huán)境��、安全防范的目標����、對用戶的管理力度都有很大的差異,所以必須針對外網與內網的不同特點制定有效的安全策略���。策略分為兩大部分����,第一部分是外網��,通過VPN��、加密等保證信息安全���,通過網絡防火墻���、病毒防火墻等防范網絡攻擊,側重的是防范����。第二部分是內網,通過對用戶的識別�,IP/MAC綁定等技術保證合法的用戶訪問合法接入,并做好訪問記錄�����,側重的是監(jiān)控�����。
在目前這樣一個人員高動流動的時代,大部分的泄密均源自內網���。原因是傳統(tǒng)網絡提供的是一個平等的數據交換平臺���,而實際上不同的人員其訪問的范圍應該是有所不同。比如普通員工只能談問本部門的辦工服務器��,而領導則可以訪問某些重要服務器����。如果不對人員訪問權限進行合理的控制,則必然對重要信息產生極大威脅����。原有的在應用層進行用戶鑒權與訪問控制的方案由于用戶已合法接入網絡,可以監(jiān)聽到相關信息�����,實施攻擊����,所以效果往往不盡如人意�����。也正是因為這個原因����,今天的安全已是一個涵蓋網絡級��、應用級的在內的完整概念���。從網絡級就對用戶進行訪問控制,使非法用戶接入網絡就成為聾子���、瞎子��,將大大增加非法用戶進一步實施盜取與攻擊的難度��,從而增強安全防護體系的效能��。
傳統(tǒng)的網絡安全比較容易疏忽的一點在傳輸的加密上��。網絡管理多以SNMP的方式進行取數和管理,這種管理存在安全隱患越來越受到管理人員的重視�。新的IT管理平臺在SNMPV3���、HTTPS等新的傳輸加密技術上的使用成為必不可少的功能。
基于平臺的網絡安全架構體系
從完整的安全體系架構的角度來看���,安全的威脅包括基礎網絡資源本身以及承載的數據兩大方面�����,而對安全的保障也應該是一個從發(fā)送端到接收端的完整的端到端的安全防護模型:這就包括了:數據傳送保證機密性����、完整性及正確性����,網絡資源防止路由欺騙�����、地址盜用���,對于帶寬和端口的占用可以有效的管理與控制,均是構成一個完整安全體系不可缺少的組成部分�。這些你會發(fā)現(xiàn)都是基于網絡整體架構的安全。
基于平臺的網絡安全架構體系并表現(xiàn)為傳統(tǒng)的某個安全模塊����,而是在網絡綜合管理平臺總無處不在��。在網絡層:保障網絡路由���、網絡地址、網絡傳輸加密等基礎網絡的安全�。用戶接入層:確保合法的用戶接入,訪問合法的網絡范圍����,并保障用戶信息的隔離等用戶接入網絡的安全。業(yè)務層:保證用戶訪問內容的合法性與安全性�。
隨著網絡上應用的進一步增多���,隨著網絡進一步深入人們的生活���,入侵與反入侵、盜用與反盜用的斗爭也必將升級�。而網絡的安全防護作為一個系統(tǒng)工程,其范圍與深度早已超出了我們原來的預料���,并還將進一步發(fā)展���。只有在整體平臺角度從網絡管理�、用戶管理�����、業(yè)務管理及管理制度等多層次����、多方位地多管齊下才能做到“天網恢恢,疏而不漏”��。
