金融企业网络安全“标本兼治”
案例分析
今天企业的网络安全正在遭受严峻的挑战,病毒、外部入侵(黑客)、拒绝服务攻击以及各种灾难事故的发生,时刻威胁着企业网络的运转和信息安全。与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。网络安全是一个系统,它不只是防火墙,不只是入侵检测,不只是虚拟专用网,也不只是认证、授权以及记账,虽然这些技术在网络安全中扮演着重要的角色,但所有的网络安全都源于安全策略。
对于一个复杂的网络环境而言,不但需要专业的安全设备,也需要专业的安全策略来实施防范。只有在一个安全的、可控的内部网络中进行安全部署,才能更有效地防止外部攻击,下面就通过一个金融行业的实例来分析企业网络安全面临的问题与挑战。
金融企业内网面临的挑战
金融企业的内网不但面临着安全挑战,也面临着管理的挑战。病毒入侵使得金融企业的内网面临严重的威胁,设备瘫痪、信息泄露,对以处理“金钱”为主营业务的金融企业来说,这就意味着大量的经济损失。而网络用户多、应用多、设备多的特点,对金融企业的内网管理提出了很高的要求。
1. IP地址滥用导致业务中断
一些金融企业由于没有统一的入网管理,在网络设备上也没有绑定设置,客户机的IP地址分配混乱,IP地址盗用的事件频频发生。在IP地址划分不合理的区域,甚至会出现办公用PC滥用IP导致业务网络中断,大大影响了办公业务。而给办公人员配备笔记本电脑,在给员工带来方便的同时,也带来了问题,那就是员工在家里上网和在单位上网使用不同的方式和不同的IP,每天上班后都需要重新配置IP地址,因此经常会出现忘记IP,向邻座的同事询问后随便配置一个IP就上网的现象,这就带来了IP冲突的情况。而这样一个一个盲目尝试可用IP地址的行为,不但会带来很多的冲突情况,也可能使其他同事工作中断,甚至导致服务器的工作被中断(图1)。
2.非法外联带来危害
金融企业对员工外联及访问互联网制定了明确的规范,在企业网络出口处会有防火墙等安全设备以保证内网的安全。但如果用户通过拨号等方式自行外联互联网的话,将不受统一规范的控制,也得不到相应的保护,从而给外部的网络攻击和病毒进入内网提供了机会。一旦外部攻击进入金融企业内部网络,将给生产和办公造成巨大的影响。
病毒入侵大多是由于私自拨号(如通过手机无线上网等)、非法架设代理服务器等非法外联行为导致的,正是这些不受控的网络访问行为,给企业内网安全带来了无穷的安全隐患(图2)。
3.发生安全事件无法追查
在目前的二级办公网络中,还没有入网身份认证的机制,也没有相关的安全管理日志,加上现在ARP欺骗、IP地址盗用等手段横行,使得发生安全事件后,无法确认责任人,无法找到攻击源或病毒源,无法迅速消除安全事件带来的影响,这对于金融企业的网络管理来说无疑是非常不利的(图3)。
4.违禁软件影响正常办公
上班时间炒股、聊天、进行BT下载、玩游戏,这些与工作无关的行为大大降低了员工的工作效率。同时从信息安全的角度来说,这些软件也是犯罪分子攻击的对象,使金融企业的信息安全受到威胁。而作为网络管理员,不可能时时守在每个员工的身边,如何有效地限制这些软件的使用,是对网络管理的又一大挑战。
传统安全解决方案不能“治本”
金融行业的信息化建设一直走在其他行业的前面,对于企业网络安全,金融企业一直在寻找最佳的解决方案。所有的金融企业都有自己的一套完善的安全解决方案,从硬件的部署到软件的安装,规范中都有很详细的规定,可是为什么金融企业的网络安全现状依然不容乐观呢?
1.软件防护依赖于用户的自觉性
防病毒软件、防间谍软件、网络防火墙、ERP管理……金融企业会购买许多诸如此类的大型软件来加强企业的管理,可是这些软件的安装使用在很大程度上依赖于用户的自觉性(图4),网络管理员只能保证所有入网的终端都安装过这些软件,但安装之后是否使用或者是否已被卸载掉了,网络管理员都不能实时监控,这就使得这种依赖于软件的管理方式的有效性大打折扣。
注:服务器系统下有很多安全软件和策略,是否安装及是否开启要靠客户端自觉,即便不装或不开依然可以上网,为企业网络带来安全隐患。
2.硬件防护面临升级问题
在金融企业的网络中,在网络出口、外联平台这种“高危”地带部署安全设备有明确细致的规范,防火墙、防水墙、防毒墙、流控管理、IPS、IDS、代理服务器等形形色色的安全设备如糖葫芦一般串在一起(图5),构成了金融企业网络的一道独特“风景”,但这些设备堆砌起来真的可将外部攻击和病毒拒之门外吗?其实这些设备的最大作用还是在于“防”,如果升级或更新不及时,总有一天会有新的外部攻击和病毒让这些设备形同虚设。
注:大量安全设备的堆砌,看似足够安全,却只是在被动地防御,依然无法防止网络安全事件的发生。
主动和联动才能“标本兼治”
投入了很多资金和精力在各种软件防护和硬件防护上却收效甚微,该想一想为什么了,其实要彻底解决金融企业的网络安全问题,关键就在两个词,那就是主动和联动。
主动,就是一改过去被动防御的方式,寻找攻击发起的源头,准确定位攻击源,并对它进行相应的处理,找出发起攻击的原因,才是一劳永逸的解决方法。
联动,就是让软件和硬件联动,让安全和网络联动,利用生产、办公对网络的依赖,通过网络的通与断来加强现有的安全防范手段,从而保证安全策略、安全手段的彻底执行。
1.身份验证
可以使用802.11x协议实现用户接入的身份验证(图6),并通过使用AAA进行授权、认证和审计,保证入网用户身份的合法性,拒绝非授权用户访问网络,这的加强网络的安全性,在发生安全事件时也可以在第一时间找到事件责任人。
合法的用户通过身份验证后,将其IP地址和MAC地址绑定,与该用户的身份对应起来,就可以有效地杜绝IP地址冲突现象的发生,用户只有用自己的IP地址才能登录上网。通过这种身份认证机制还可防止非法外联事件,防止不受控的上网行为发生,将危险置之于网外。
2.终端完整性检测
通过获取接入网络的终端信息(软件安装情况、硬件配置、网络信息)来了解终端的情况,管理员通过对终端的安全状态进行判断后,即可制定出对应的终端上网规则(即HI规则),以保证终端必须/禁止安装哪些软件、必须/禁止开启哪些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值。通过这些检测,对该终端的安全情况有一个细致的了解,如检测失败,则给出如何修复不安全因素的解决方法,同时对该终端用户的上网行为进行限制,例如只允许访问服务器去下载补丁或相关软件。
注:HI即Host Integrity,是对终端安全情况的一种定义,其内容包括是否具备了必备的安全软件,安全软件是否开启,不安全的后台服务是否关闭,关键注册表项是否被窜改等。
通过终端完整性检测功能的启用,保证用户安装并开启必需的防范软件和服务,同时对病毒所引起的注册表修改等行为也可以有效地防范。更重要的是,通过这些行为与网络控制的结合,使得用户必须通过终端完整性检测才能入网,否则就无法上网办公,这样就将不安全因素排除在企业网外。
3.安全联动防范网络攻击
在企业网络中除了需要部署入侵检测设备(IDS)外,还要让IDS与防火墙联动,更重要的是,要将IDS与SNMP协议进行联动。这样在发生安全事件之后,可以及时准确地定位到攻击的发起者,并能通过网管协议来通知网络管理员,管理员通过下发安全策略、警告消息和修复程序来制止攻击者,保护被攻击者,必要时可以定位攻击者,然后采取行政手段。
在ARP病毒防范方面,可实行网关绑定策略、ARP表的静态维护、客户端IP-MAC的绑定,通过这三重立体ARP防护方法,可解决ARP欺骗中的网关型欺骗、中间人欺骗以及ARP泛洪攻击,让金融企业的局域网变得“干净”起来。
4.有效制止违禁软件
通过终端完整性检测,管理员可以对用户已安装的软件进行检测,并可以通过设置规则来限制用户安装/运行某些软件,通过隔离策略来限制用户。如果终端用户安装了违禁软件则不允许入网,这样即可实现对违禁软件的有效限制。
总之,要保证金融企业的网络安全,通过软件与硬件的联动、网络与应用的联动,才能保证正确的人使用安全的终端,访问规范的网络,做正确的事。对网络访问的各个环节都做了有效的防护,才能保证企业内网全局的安全!
