浅谈内网网络安全(下)

日期: 2011-01-18 作者:李明 来源:TechTarget中国 英文

  技术实现

  网络准入控制(Network Access Control)

  网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件,组织可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。这一技术的主要优点包括:

  • 可基于客户端的身份控制准入
  • 可基于客户端的安全状况控制准入
  • 方便实现公司的安全策略。

  网络准入控制技术也存在一些实现的难点,主要包括:

  • 对于网络环境复杂的组织,技术方案设计较难
  • 客户端软件会一定程度上影响客户端性能
  • 对于规模较大的组织,部署工作是一个挑战

  虽然网络准入控制技术有着这些实现困难,但是目前还没有其他更好的技术实现对于客户端的安全控制。尤其是对于大规模的组织而言,通过网络准入控制技术来保障网络安全,仍是一种极为常见的选择 。

  信息的流动

  组织的网络安全管理人员需要关注通信方之间的信息流动。包括应用层的相关信息(哪些文件,哪些协议)和网络层的相关信息(流量模型,异常流量),并根据这些信息结合组织的安全策略,判断网络中信息流动的正常与否。

  信息

  网络安全管理人员可能关注的信息包括:

  • 当前传输次数最多的文件
  • 当前主要访问的URL地址
  • 最忙碌的服务器
  • 各种协议所占网络通信的百分比
  • 异常流量信息
  • 拒绝服务攻击信息
  • 蠕虫爆发信息

  技术实现

  网络行为分析(Network Behavior Analysis)

  网络行为分析是一种基于“流(flow)”的分析技术,通过对于Net flow 信息的采集,可以呈现出组织网络中的各种流量信息。网络行为分析技术的主要优点有:

  • 通过对流信息的理解和整理,可以显示网络的流量异常
  • 通过建立网络访问模型,可以显示网络滥用
  • 显示网络协议百分比等信息,帮助分析网络带宽使用情况
  • 可显示文件、URL等应用层信息
  • 离线部署

  网络行为分析技术多用于规模较大的组织,它可为网络管理员和安全管理员提供有积极价值的流量信息。它的主要限制在于需要网络设备(路由器和交换机等)支持流信息的导出,并非所有的网络设备都支持这一功能。

  内网网络安全的管理挑战

  对于组织而言,确定安全风险和部署安全产品之后,最艰巨的挑战来自如何管理这些安全产品。攻击或违反策略的行为往往会被多个不同的安全产品监测到,这就需要安全产品之间的整合;同样的,出于管理的需要,安全产品也应与组织的IT基础架构和流程融合。

  整合

  内网网络安全产品

  本文介绍的用于内网网络安全的产品之间都将需要协同工作。

  防火墙和网络入侵防护系统这两种产品都承担着网间检查点的重任,未来的趋势必然是整合为单一的产品。最重要的功能将是检测和阻断攻击,以及应用层协议的细颗粒控制。

  网络行为分析和网络入侵防护两者相似而并不相同,前者看到的是Net flow,后者检查的是数据包 。前者用于宏观分析,后者用于微观分析。前者为离线设备,后者为在线设备。前者目的在于分析,后者的作用是防护。但是两者却又相得益彰,互为补充。以迈克菲为代表的厂商已经着手整合这两种产品,通过网络入侵防护系统提供Net flow v9信息给网络行为分析。使得两者之间可以共享网络安全信息。

  网络准入控制和网络入侵防护系统的整合也非常必要。某种意义上,前者保障的是安全的系统准入,后者保障的是安全的数据包准入,二者的结合方可保证在系统层面和网络层面的安全。对于较小规模的组织,可以选择二合一的产品 。对于较大规模的组织,选择单独的产品,最好可通过统一管理平台查看相关信息。

  融合

  和管理软件协作

  网络安全产品作为一种网络设备,需要与网管软件协同工作。向网管软件报告自身的重要系统事件,如系统错误、资源耗尽告警等等。两者的协作多通过标准的SNMP协议实现,网络安全产品应设计为提供必要的系统状态信息用于通知网管软件其状态。

  有的组织也需要网络安全产品和流程软件协同工作,在安全产品的管理平台上可定义工单和对象,并可配置事件触发工单指派给某一对象,实现工单管理的全过程。

  信息融合

  对于组织而言,各种安全产品会产生大量的安全日志,组织的真实安全状况就存在这些日志中。目前常见的方式是通过安全事件管理系统集中各不同安全产品的日志,采用数据挖掘技术分析这些事件的相关性,从中找出应关心的安全事件。日志集中相对而言容易实现,而日志的相关性分析仍没有突破性的技术 。

  近年来,很多安全厂商在产品中集成了更为强大的分析系统,通过已建立的遍布全球的各式各样的传感器和多年的信息安全知识积累。可为用户提供更为准确更具参考意义的安全事件信息。防毒软件的云安全技术是这种趋势的成功示例,迈克菲公司更进一步在其网络安全产品中集成了全球智能威胁感知系统,可反映攻击源的地理位置,安全声誉信息等,使得安全管理员能够更容易判定和处理安全事件。

  总结

  内网网络安全需要管理者对其网络进行全面准确的风险评估,并根据评估结果选择合适的安全产品以降低风险。在选择产品时,除主要功能外,也需要注意该产品与其它产品的整合能力以及信息融合能力。

  上一篇文章 浅谈内网网络安全(上)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐