返回列表 回復 發帖

“內控堡壘機”的前世今生(1)

在所有內部隱患中,一種由IT系統“權貴”人員及其操作引出的非傳統的安全隱患日益凸顯,是所有安全事件中最主要的安全威脅……內控堡壘主機(堡壘機)作為內網安全治理的一種有效技術手段應運而生。




  當資訊技術在企業中的地位,從一個僅在局部起支撐作用的工具,變成企業賴以日常運營的基礎平臺;毫無疑問,內網資訊安全問題,也就從一個僅是影響企業運營效率的小問題,變成了直接影響到企業生死存亡的大問題。

  甭管什麼企業,概不例外。據相關調查數據顯示,世界上每一分鐘就有2個企業因為資訊安全問題倒閉,有11個企業因為資訊安全問題造成大約800多萬美元的直接經濟損失。在資訊化的列車將人類帶進資訊科技為主要特徵的時代,企業內網資訊安全問題,已經成為企業生死榮辱的“命門”。

  經過數十年的資訊安全技術產業的高速發展,從防病毒、防火牆、IDS老三樣,到身份認證、數據加密、應用安全、終端加固等各種新技術,企業內網各種資訊安全問題,有了很多全面解決方案。然而,一個危害甚重的資訊安全軟肋,卻一直不為人們所重視,這就是企業資訊網絡中的所謂“權貴”人員和操作,即擁有各系統設備的高級管理權限的人員及其日常對系統維護管理工作。他們可謂對內網系統和數據,擁有最高的許可權,一旦這些人員和操作出現安全問題,其後果將不堪設想。尤其在資訊化程度特別高的一些大型機構和企業內網中,這個安全“軟肋”體現得越加明顯。

  毫無疑問,這是內網安全最後,也是最根本致命的威脅,如何防範這個日益明顯的威脅,成為內網安全和企業內控的新課題。有人說,最新在全球流行的內控堡壘主機(簡稱“堡壘機”)將成為這個威脅的“終結者”,能夠很好幫助系統管理人員高效率安全地進行內網複雜的後臺系統設備管理,同時防範管理過程中可能出現的各種安全問題。

  那麼,堡壘機是否真如其名一樣穩固可靠,它技術和原理又是如何呢?國內主流的堡壘機產品產業現狀又是怎樣?請看筆者的採訪和調查。

  內網資訊安全

  “權貴”人員和管理操作成短板

  隨著全球資訊技術的不斷發展和資訊化建設的不斷進步,一些重要機構和大型企業資訊化水準得到飛速提升,其辦公系統、 商務平臺的不斷推出和投入運行,資訊系統在企業的運營中全面滲透。尤其是電信、財政、稅務、公安、金融、電力、石油等重要行業的大型機構和企業內網中,更是使用數量較多的伺服器主機來運行關鍵業務。

  這種情況下,企業對IT系統的依賴程度也越來越高,各類業務系統也變得日益複雜。就一個資訊化程度很高網路資訊系統而言,其針對傳統的資訊安全問題防護,已經比較完善,其最大的威脅和破壞來自企業內部。據國內領先的專注內網安全的極地安全公司技術團隊對用戶調研數據顯示,8.5%的安全問題導致網路數據破壞,11%的安全問題導致數據失密,23%的病毒程式感染問題導致系統短暫故障,而從惡意攻擊的特點來看,70%的攻擊來自組織內部。



  在所有內部隱患中,一種由IT系統“權貴”人員及其操作引出的非傳統的安全隱患日益凸顯,是所有安全事件中最主要的安全威脅。所謂IT系統“權貴”人員,即擁有企業內網各種IT系統軟硬體設備管理權限的人員,這些人員可能包括:系統管理員、系統運維人員、系統應用高許可權用戶、第三方廠商的維護人員以及其他臨時高許可權人員等。這些人員本身所擁有的高許可權帳號和其在操作過程中的各種動作,都帶來日益明顯的安全隱患。



  這些隱患所產生的新問題,歸結起來包括以下五個主要的問題。

  其一,共用帳號帶來的安全問題。在企業內網IT系統管理中,共用帳號是很常見的管理方法,其好處顯而易見,既能節約了帳號管理成本,又降低了本地溢出的風險……但是,隨著IT系統複雜性幾何級提升,共用帳號帶來明顯的隱患,這是因為等。這就是說,很多人共用一個帳號,就使得帳號不具有唯一性,而且密碼難以有效管理,最關鍵的是一旦該帳號出現安全問題,責任難以認定到人,這就不符合國家關於資訊安全“誰使用,誰負責”的原則。

  其二,許可權控制帶來的安全隱患。大多數企事業單位的IT運維均採用設備、操作系統自身的授權系統,各系統分別管理所屬的系統資源,為本系統的用戶分配權限,無法嚴格按照最小許可權原則分配權限。另外,隨著用戶數量的增加,許可權管理任務越來越重,當維護人員同時對多個系統進行維護時,工作複雜度會成倍增加。安全性無法得到充分保證。

  其三,訪問控制帶來的安全隱患。目前的常見對系統管理員帳號管理中,沒有一個清晰的訪問控制列表,無法一目了然的看到什麼用戶能夠以何種身份訪問哪些關鍵設備,同時缺少有效的技術手段來保證訪問控制策略有效地執行。尤其是針對許多外包服務商、廠商技術支持人員、專案集成商等在對企業核心伺服器、網路基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護內容,極容易洩露核心機密數據或遭到潛在的惡意的破壞。

  其四,系統審計帶來的安全隱患。企業內網各IT系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。審計的機制、格式和管理都不盡相同,就會帶來各種問題。例如,每個網路設備,每個主機系統分別進行審計,安全事故發生後需要排查各系統的日誌,但是往往日誌找到了,也不能最終定位到行為人。

  其五,面臨安全合規性法規遵從的壓力。為加強資訊系統風險管理,政府、金融、運營商等陸續發佈資訊系統管理規範和要求,如“資訊系統等級保護”、“商業銀行資訊科技風險管理指引”、“企業內部控制基本規範”等均要求採取資訊系統風險內控與審計。

  這些法規的要求和遵從,對於大型企業上市或者跨國經營,有著極大的影響。2002年由美國總統布希簽發的薩班斯法案(Sarbanes-Oxley Act)開始生效。其中要求企業的經營活動,企業管理、專案和投資等,都要有控制和審計手段。因此,管理人員需要有有效的技術手段和專業的技術工具和安全產品按照行業的標準來做細粒度的管理,真正做到對於內部網路的嚴格管理,可以控制、限制和追蹤用戶的行為,判定用戶的行為是否對企業內部網路的安全運行帶來威脅。

  綜上所述,隨著資訊化的發展,企事業單位IT系統不斷發展,網路規模迅速擴大,設備數量激增,建設重點逐步從網路平臺轉向深化應用、提升效益為特徵的運維階段;IT系統運維與安全管理正逐漸走向融合。面對日趨複雜的IT系統,不同背景的運維人員已經給企業資訊系統安全運行帶來較大的潛在風險,因此,內網資訊系統安全治理在加大網路邊界防護、數據通信安全、防病毒等基礎上,不能忽略網路後臺運維安全治理和對於系統操作人員的審計監控方面的管理,而內控堡壘主機(堡壘機)作為內網安全治理的一種有效技術手段應運而生。

  堡壘機現身

  企業內控運維安全“終結者”

  堡壘機,聽起來就是一個夠酷的名字,有用戶笑言,聽著名兒就覺著安全,就像大塊頭施瓦辛格一出現在電影鏡頭裏就像終結者一樣。那麼,作為內網安全的“終結者”,堡壘機究竟是個什麼摸樣。

  所謂“堡壘主機”(簡稱“堡壘機”),就是一種被強化的可以防禦進攻的電腦,具備很強安全防範能力。“堡壘主機”這個詞是有專門含義的概念,最初由美國Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。他提出堡壘主機“是一個系統,作為網路安全的一個關鍵點,它由防火牆管理員來標識”,“堡壘主機需要格外的注意自己的安全性,需要定期的審核,並擁有經過修改的軟體”。通常,堡壘主機是一台獨立應用的主機。(這有點類似單用戶的單機操作),它有極大的價值,可能蘊含著用戶的敏感資訊,經常提供重要的網路服務;大部分時候它被防火牆保護,有的則直接裸露在外部網路中。其所承擔的服務大都極其重要,如銀行、證券、政府單位用來實現業務、發佈資訊的平臺。“堡壘主機”的工作特性要求達到高安全性。

  早期堡壘主機,通常是指這樣一類提供特定網路或應用服務的電腦設備,其自身相對安全並可以防禦一定程度的攻擊。作為安全但可公開訪問的電腦,堡壘主機通常部署於週邊網路(也稱為 DMZ、網路隔離區域或遮罩子網)面向公眾的一端。這類堡壘主機不受防火牆或過濾路由器的保護,因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web伺服器、功能變數名稱系統(DNS)伺服器或檔傳輸(FTP)伺服器等。通過將這些將必須開放的服務部署在堡壘主機而不是內部網路中,可以換取內部網路的安全。因為這些主機吸引了入侵者的注意力,也就相應地減少了內部網路遭受安全攻擊的可能性和隨之帶來的風險。

  堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務、協議、程式和網路介面來實現的。也就是說,堡壘主機往往僅提供極少的必要的服務,以期減少自身的安全漏洞。另外一些可以提高自身安全性的手段則包括:採用安全操作系統、採取必要的身份認證和嚴格的許可權控制技術等。



  後來,堡壘主機被部署在外部網路和企業內部網路之間,提供對內部網路特定資源的安全訪問。這類堡壘主機本身不提供網路層的路由功能,因此可以過濾對內部網路的非授權訪問。對內部網路特定資源的訪問則必須先登錄到堡壘主機上方可完成。SSL VPN可以視為這類堡壘主機的一個成功應用。這類堡壘主機是進入內部網路的一個集中檢查點和控制點,因此很容易將整個網路的安全問題集中在自身解決,為內部網路其他主機的安全提供了一道天然的安全屏障。
返回列表