返回
内网网络安全的解决之道

内网网络安全的解决之道

ID:11670737

大小:35.50 KB

页数:4页

时间:2018-07-13

内网网络安全的解决之道_第1页
内网网络安全的解决之道_第2页
内网网络安全的解决之道_第3页
内网网络安全的解决之道_第4页
资源描述:

《内网网络安全的解决之道》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、本文简要分析了企业内部网络所面临的主要分析,阐述了安全管理人员针对不同威胁的主要技术应对措施。进一步介绍了业界各种技术措施的现状,并提出了未来可能的发展趋势。内网网络安全问题的提出网络安全对于绝大多数人而言指的都是互联网安全(InternetSecurity),但是对于组织的安全主管而言却不尽然。他们的使命是负责保护企业的数字资产-信息和基础架构,对于这些保护对象而言,其外部都可能是风险源,而这里的外部风险源则既有可能是互联网Internet,也有可能是内部网络Intranet。内部网络并不等于可信网络。对于组织而言,来自内部的威胁有可能远大于外部的威胁。这

2、使得有必要对于内网的网络安全进行针对性的分析,并找出解决之道。内网网络安全风险分析分析的视角网络安全是一个非常复杂而庞大的研究对象,不同的研究视角可能会"看到"不一样的安全风险。例如针对单个数字资产,最常见的视角是关注其完整性、机密性和可用性。对于组织的安全架构,可以从物理层、网络层、数据层、用户层这样的视角进行分析。本文出于简化的目的,将内部网络的安全按其参与者进行分析,包括网络、通信方和信息。本文分析的模型是位于不同网络的通信方,在其信息交换的过程中所面临的安全风险。安全风险按照这一模型,需要关注的风险主要有:◆网络假设组织对于其内部网络进行了良好的规划

3、和管理,则来自不同的网络意味着处于不同的内部部门和/或不同的安全等级。这里主要的风险有:不同的部门可能不应跨网络访问资源;不同安全等级网络的通信可能包含潜在的攻击。◆通信方在参与通信的双方中,需要保护的是服务器一方的安全。由于服务器往往采取了必要的安全保障措施,客户端那一方的安全性则成为木桶理论中可能的短板。◆信息交换通信的目的是交换信息,对于通信方之外的安全管理员而言,主要关注交换的内容和通信的方式中可能存在的安全风险。主要的风险有:不符合企业安全策略的通信内容(主要指文件);不符合企业安全策略的通信方式(不应通信或带宽挤占)。其他的风险当然,真实世界远比

4、理论复杂。本文的视角选取并不能覆盖组织中内部网络的所有风险。其他可能存在的风险有:◆机密性对于某些组织而言,在内部网络中仍然要保证高度的机密性要求。这可能意味着对于数据的整个生命周期过程中,都需要考虑各阶段安全风险和防护手段。这部分内容一般不列入网络安全的范畴,本文并未展开讨论。◆完整性对于组织的某些特定信息资产,保障其完整性至关重要。对于该信息资产的存储、修改都需要考虑可能的安全风险,并通过技术手段进行保障。这部分内容往往通过安全设计和数据备份实现,不是传统的网络安全范畴。本文并未展开讨论。◆可用性网络安全主要考虑的是带宽挤占带来的可用性风险,本文并未对信

5、息资产的可用性进行全面讨论。◆风险的定义各组织对于风险的接受程度并不相同,这也导致了本文讨论的风险可能对于部分组织并不完整。内网网络安全的解决之道按照前文的分析结果,内网网络的安全主要关注的对象应该是网络、通信方和信息交换相关的安全风险。对于这三个对象,安全管理员可以采取相应的技术缓解风险。网络合理划分网络对于组织而言,传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外,也应考虑其包含信息资产安全等级,安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大

6、的信息资产划分在同一网络中。设置边界检查点对于来自不同的网络的通信应在其边界处设置检查点,过滤其中可能的安全威胁,包括未授权的网络访问和潜在的攻击。技术实现防火墙(Firewall)防火墙是最早出现的网络安全技术,也是相对简单的一种。防火墙作为网络边界检查点的主要作用是实现访问控制。防火墙作为一种安全技术,主要优势包括:◆性能:目前的防火墙已经有100G的产品。◆工作在网络层:可实现网络地址翻译甚至路由等功能。◆配置容易:防火墙配置较为容易。但是在实践中,防火墙并非是内网边界检查点最常用的设备,这主要是因为以下原因:◆内网往往并没有极高的网络吞吐量性能要求◆

7、防火墙对于通过ACL规则之后的数据包检查并不擅长,对于复杂的攻击无法防御◆添加工作在网络层的防火墙需要更改内部网络拓扑◆防火墙没有失效打开(FailOpen)功能。设备失效会影响网络可用性。当然,近年来防火墙技术也在发展。最主要的方向是解决其对于数据包的检查功能,使防火墙能够理解应用层的通信,成为基于应用的防火墙(ApplicationFirewall),国际上主要的应用防火墙厂商包括McAfee公司(收购SecureComputing获得技术)和PAN,还有一些专注于Web应用的公司,如Imperva和国内的绿盟等。这些应用防火墙很大程度上改善了应用层防护

8、能力,设置通过协议代理技术做到了非常精细的颗粒度,当

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。