无数个地方引用了这样一句话:85%以上的安全事件出自内网;可口可乐也有一句话保住了秘密就保住了市场;力拓案、彩票门引起了全国上下和的关注…… 买了防火墙、防病毒、入侵检测就可以高枕无忧? 无论是还是企业,相对于门户网站被等而形象工程被,内鬼造成的损失往往请看如下
无数个地方引用了这样一句话:85%以上的安全事件出自内网;可口可乐也有一句话保住了秘密就保住了市场;力拓案、彩票门引起了全国上下和的关注……
买了防火墙、防病毒、入侵检测就可以高枕无忧?
无论是还是企业,相对于门户网站被等而形象工程被,内鬼造成的损失往往更大:U盘拷贝机密文档、文件打印测试报告、管理员对服务器的文件任意操作、数据库被非法复制、涉及单位核心机密的信息资产消失于无形,却无处追踪。。。。。。
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!
本期技术门诊我们邀请到网络安全专家、资深安全顾问张百川专家,以内网安全建设为讨论点,和大家讨论交流内网安全管理中遇到的问题及相应的解决方案。希望本次门诊能引起大家对内网安全的关注,共同为企业核心资产而努力!
本期专家:张百川
擅长领域:网络安全
专家简介:陕西电信实业公司资深安全顾问,曾任汉邦软科集团西北大区技术经理。MCSE、MCDBA、Linux网络管理工程师,多年信息与网络安全从业经验,对涉密网建设有深刻理解和认识,参与或主持了超过50个涉密网项目,客户遍及、航空、航天、兵器、电子等行业,具有丰富的安全理论和实践经验。对桌面终端安全、漏洞扫描与评估、WEB安全、数据库安全、运维操作管理等有深入研究。以A:为名在《黑客防线》《黑客X档案》《电脑安全专家》等专业安全发表文章30余篇。
查看本期门诊精彩实录:
参与最新技术门诊:
精选本期网友提问与专家解答,以供网友学习参考。
Q:张老师,您好!很高兴有机会向您讨教。先简单叙述一下目前我所在公司的现实:
公司分有五个主要的部门,各部门网络相对,内网外网相结合,除了每台机器装有单机版的杀毒软件没有其他任何安全。对于所谓的公司核心机密,主要是采取一小部分USB接口。也许管理层应了这句话:用人不疑,疑人不用。
用几个字概括一下:很险很。各部门文件共享主要是工作组形式,现在已经出很多的问题。但是禁用USB员工说输出文件不方便,采取域管理或许能稍微缓解。员工行为管理及相关知识培训做过,并且每期的公司内刊都刊登了相应文章,但是效果不明显。可否请问老师:我需要从哪方面下手?或者着重解决哪方面?谢谢!
A:看您单位所处的行业和对资料的重视程度,每个单位的实际情况都不同,因此不可能有一个通用方案适合所有的单位。另外安全性和便捷性总是有些相悖的,关键看信息资产的重要程度,如果十分重要,则老板看中,员工也都看重。内训是要做的,但是尽量采用现场操作的方式,毕竟影像比嘴说更有效果。个人评估下资产重要性,按照重要性进行安全防护,如果有兴趣,可以搜一下等级,网上相关资料很多。常见内网控制手段:主机审计、介质管理、文档加密、分发控制。
Q:当企业内部都部署来防火墙、防病毒、入侵检测等设备之后,还是存在等一些内部资料外漏的情况,我们需要怎么来解决这类情况呢。
A:企业部署了fw、av、ids,虽然可以、检测一些行为和恶意代码,但对于主机而言,usb端口、红外、蓝牙端口无任何防范措施,U盘、移动硬盘、智能手机还是可以随时使用,因此依然不安全。现在内网安全的几个热门产品是:终端安全管理系统、移动存储介质管理系统、计算机端口控制系统、文档加密系统、文档权限分发控制系统,另外,针对通过网页提交、电子邮件发送、Telnet、FTP方式的信息丢失,可以通过上网行为管理系统、网络审计系统来实现。
Q:小型企业必需具备的安全设备有哪些呢?
A:规模、应用、需求,这几个都得知道。因为我不知道您说的小型企业具体规模多大,10台?100台?500台?另外也和行业有关,不同的行业有不同的业务(应用)系统和实际需求。不过防火墙、防病毒是必须的。内网如果担心核心资料外泄,那么数据防泄漏产品也是需要的。
Q:windows2003WRM要怎么去部署来邮件的安全?(内网数据安全)
WRM我们一般都部署来对OFFCIE文档的权限进行设置,比如只充许域中某个用户只有只读,而对文档没有复制的权限,它也可以用EXCHANGE。通常我们内网中邮件传输是不加密的,通过一些手段可以获取得到。通过WRM我们可以对邮件及附件进行加密和权限设置。它与证书加密有什么区别,具体要怎么去部署?
A:据我所知,WRM可以利用Windows自己架设的CA实现邮件安全,而现在《中华人民国电子签名法》认可了第三方数字证书,当然这个有个名单。有个资料可以参考:
Q:如果用IPSEC对内网传输进行加密的话,传输效率有多大影响?
A:加密后效率为正常的70-80%,但是如果采用加速方案,效果好一些。如思科、服的产品,有加速效果。
Q:如果用ISA2006做为内网的防火墙,一般要怎么样来配置比较好?(策略配置多了,影响效率,少了就不安全了。所以感觉很矛盾)
A:安全产品的配置应遵循最小授权原则,安全和效率、易用性总是不成正比的。由于ISA基于Windows,因此系统自身的安全性也对其有影响,如果可能尽量采用有国家相关资质的硬件防火墙。安全总是相对的,可以根据具体的业务,适当调整策略。
Q:我想问我要公司的人上某些网站,例如开心网,但如果里面的人会用代理去登陆,那我的ACL就起不了作用了,而且代理的网站那么多,我不可能全部手动封完,请问有什么好方法?
A:禁用代理,这个上网行为管理系统可以实现,并且比用ACL强大的多。您可以在百度或Google搜下,百度首页都几乎全部是推广的了。呵呵
Q:对于内网安全这块,如何选择实用的网管软件?请专家推荐几个(像聚生网管这类通过ARP的不要)
A:您提到了聚生网管,应该是上网行为管理、流量控制之类的了。软件用的相对少一些,要做的更彻底,选用硬件产品:网康、服、AceNet、L7都是不错的选择,不但可以对单个用户进行流量限定,亦可对某种应用限速,如对迅雷限速,或者给某个用户限定多少次请求,或每个用户每天能有多少流量可用。对各种迅雷、电驴等有良好的效果。你可以搜一下我说的这几个产品。
Q:我的是有一台ISA服务器,一台DC,安装了IAS服务。在ISA启用了WEB代理,并且启用了RAIDUS身份验证。但身份验证都没成功,DC上的日志如下:
tags:win7局域网限速工具