您现在的位置是:首页 > IT基础架构 > 网络与安全 >

内网安全选型误区与准入控制的核心价值

2010-04-29 18:47:00作者: 来源:

摘要内网安全在国内的市场自从2000年左右启动至今,已经走过了10年的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网安全产品厂商的进入,造成了市场的混乱。与此相对应的是,各个高度信息化的单位...

内网安全在国内的市场自从2000年左右启动至今,已经走过了10年的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网安全产品厂商的进入,造成了市场的混乱。与此相对应的是,各个高度信息化的单位,对内网安全产品的需求凸现,如何选择一个合适的内网安全产品,已经成为众多网络管理员和CIO的棘手问题。

对内网安全认识上的误区

内网安全概念的提出和发展虽然经历了多年,但是目前尚没有形成统一的认识,究其根源,很大程度上在于众多企业仍然对内网安全认识上存在很大的误区,从而影响了企业对内网安全的重视程度。这些认识误区很大程度上因为缺乏相关的标准和政策指引所致。目前市场上对内网安全的认识误区主要分成以下三个方面:

1)监控审计就是内网安全:监控审计系统主要提供了内网安全用户行为和计算机使用的事后审计功能,同时针对部分计算机外设资源、移动存储设备和网络资源等的使用提供了一定的控制措施。

2)终端管理就是内网安全:终端管理系统主要提供了包括补丁分发、外设管理和网络管理等功能。

3)数据加密就是内网安全:数据加密系统主要提供对用户核心文档资料的加密和保护,防止用户内网人员有意或者无意将信息泄漏。

上述观点一直以来对内网安全体系的构建形成了误导,希冀通过单一的产品解决内网安全面临的问题。而事实上,内网的安全需要在事前的防范、事件发生时的监控以及在事件发生后的审计、数据防泄密方面层层把关才能构造一个完整的内网安全体系,因此,传统的安全产品很难构造如此完整的内网安全体系。

正是因为这种认识上存在的误区,才导致了在选择产品时严重偏离了实际的应用价值,结果是产品买回来部署上之后名不副实,不但没有解决实际问题,反而加重了网管员和CIO的工作负担。

我们常常会听到这样或那样的抱怨:

为什么部署了上网行为审计系统,网络维护量还是居高不下,甚至不降反升呢;

为什么通过终端管理软件升级了最新的补丁,加强了网络维护,但网络内的木马病毒还是泛滥、工作量仍然很大呢;

面对非法设备和计算机的接入,仍然不能主动告警,及时阻断,数据安全虽然得到了很好的保护,但是各种违规联网、任意的上传下载等得不到有效地管理,给正常业务系统造成了严重影响,员工工作效率低下;

花了很大的精力把这些软件部署上去,但是一段时间后,很多终端的Agent被卸载了。然而管理员却无法知道哪些用户的Agent已经被卸载了,使这些系统成了“纸老虎”;

单位总是有一些“IT牛人”,他们对抗IT,不希望被管理、被约束,总是想方设法通过各种手段绕开管理,最终导致内网管理系统无法得到全面的应用,久而久之,越来越多的人绕开了管理,系统的应用效果大打折扣;

由此可见,尽管越来越多的企业都已经深刻认识到部署内网安全产品的重要性,但真正实施并成功运用的却屈指可数。究其原因就是因为传统的内网安全产品在功能全面性、客户端保护、准入控制方面存在短板,这也成为了传统内网安全产品的阿喀琉斯之踵。

当前内网安全市场的需求

随着网络泄密和其他信息安全事件的日益频繁和严重,对现有内网安全产品提出严峻的挑战。一方面目前市场上的内网安全产品主要集中在电子文档的安全管理、桌面行为管理等方面,功能相对单一,各自为政,且不同产品之间的协同性、联动性很差;另一方面用户需求也越来全面,除了基本的电子文档安全和桌面安全外,对于身份认证与授权、文档保护、USB存储设备控制、行为审计等影响内网安全的关键因素方面的要求也越来越重视,这造成了目前内网安全产品需求旺盛与现有产品难以满足市场需求的矛盾。

针对混合式网络威胁的全面内网安全一体化管理系统逐渐成为内网安全技术领域的一大发展趋势。全面内网安全管理系统将文档安全、桌面行为管理、身份认证、移动存储管理、网络维护管理、网络带宽管理等多种安全功能有效集成在单一平台上。综合解决不同网络应用层次的安全问题。以替代多个独立的内网安全产品,既简化了网络部署、降低了成本,又提高了内网安全等级和管理效率。

针对上述问题,金盾软件公司从2004年就开始进行“全面内网安全管理系统”相关领域的研究,解决在保证用户整体网络性能的前提下,具备文档安全、桌面行为管理、准入控制、移动存储管理、网络维护管理、网络带宽管理等综合安全功能的内网安全技术。2007年底在国内首家推出了具有“全面内网安全”管理思想的金盾CIS5系统,并由此带动国内内网安全行业向全面内网安全系统技术革新的趋势,同时积极投入到基于软硬件结合的新一代全面内网安全系统的设计研究工作中。历经三年艰苦卓绝的工作,终于在2010年年初出推出了全新一代软硬结合的可信内网安全管控平台-金盾CIS7,其核心理念上升到了“准入控制保护、全面内网安全”的新高度,再一次站到了国内内网安全产品市场的最前沿。

16大金盾CIS7产品解决方案

金盾全面内网安全与网络行为管理系统V7.0(Gold Shield Comprehensive Intranet Security & Network Behavior Management System),简称金盾CIS7,是金盾软件公司自主研发的全新一代软硬结合的可信内网安全管控平台,属国内首创,国际领先,其可靠的性能和强大的全面内网管控能力位居国内内网安全市场竞争力第一。

金盾CIS7是在采用最新信息安全技术和“全面内网安全管理”及“终端统一威胁管理” 先进管理理念的基础上推出的具有划时代意义的革命性产品。她不但全面整合了监控软件、网管软件、加密软件、内网安全等产品的功能,同时吸取微软的网络接入保护(NAP, Network Access Protection)和思科网络准入控制(NAC, Network Access Control)技术的精髓,创造性的推出了软硬件结合的金盾网络接入控制保护系统GD-NACP(Network Access Control Protection)。

金盾CIS7提炼并升华了国内近5000用户的需求及应用,对症下药归纳出了16大解决方案,分别是:健康状态检查解决方案、外设管理解决方案、USB移动存储解决方案、桌面安全解决方案、行为规范解决方案、屏幕管理解决方案、行为监控解决方案、图档加解密解决方案、图档控管解决方案、IP地址管理解决方案、IT资产管理解决方案、补丁管理解决方案、端口流量管理解决方案、网管工具解决方案、准入控制管理解决方案、报警管理解决方案以及决策支持等,涵盖了全面内网安全的诸方面,用户可按需配置,模块组合,迅速搭建适合自己的安全管控平台。

没有准入控制的内网安全不是真正的内网安全

在内网安全管理中,安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能够对终端用户进行安全状态检查,将不合法的终端进行隔离、强制修复,从而有效促进内网的合规建设,提升客户满意度。

金盾CIS7产品的设计遵从了这一初衷,针对准入控制保护的功能和客户端被破坏后主动被发现并完全隔离这一软件产品几乎是不能实现完成的任务,金盾公司在全面研究了思科NAC的和微软NAP的技术,吸取其精髓,立足国情一举解决了困扰内网安全行业多年的诟病,成功开发了金盾准入控制保护(GD-NACP)。本功能的实现具有划时代意义,它不仅仅是给用户提供了一套硬件产品,更重要的是帮助用户制定了使用网络的规则和制度,建立了一套系统、全面、可信的内控管理体系。既保证了合法用户正常工作的可控、有序、高效运行,又将非法入侵用户隔离于可信网络之外。

江苏某大型制造业位于苏南重镇,主营为精密仪器和设备的开发与销售,属国内行业内一流企业,整个公司的信息化程度很高,早在2000年就部署了ERP、CRM、PDM等管理系统,2000年企业高管把内网安全的选型提上了日程,初期选择了北京一国内知名厂商为其部署了300多点的补丁管理和外设管理系统,经过近二周的部署后终于上线运行,系统管理员张某对于本套系统寄予厚望,本系统也发挥了其应有的价值,在外设规范管控和补丁的及时分发方面发挥了重大作用,但随着时间的推移发现客户端越来越少,最后能上线的机器仅有50多点,公司虽有制度,但扯皮现象严重,员工不承认是破坏了客户端程序,而网管张某又无计可施,随着客户端程序的丢失,外设管控又开始混乱,网络的病毒肆虐,公司把产品应用不力责任推到张某的身上,并追究了其责任。同时随着内网问题的日益突出,产品也越来越不能满足其要求,内网审计、文档保护等功能也越来越急迫,因此信息中心主任孙某决定重新选择一套功能较全面的管控系统,于是上海某国内知名厂商进入了高管的视野,本产品无论在客户端的运行稳定性和抗破坏能力以及功能全面性上较原来有很大的提升,孙主任决定亲自挂帅,经过测试,招投标后,最终选择了本产品。同样本产品在运行初期,部署的600点客户端运行稳定,效果良好,不久同样的问题出现了,客户端越来越少,在2008年产品就出现了70%客户端不能上线情况,厂商派工程师不断去协助安装客户端,但员工想方设法破坏客户端,而且部分技术牛人还专门找到了能一招制敌的绝招,在2分钟内就能完全卸载客户端程序。而软件产品不能有效杜绝客户端遭受恶意破坏,更严重的是不能对非法终端采取措施,于是公司部分中层管理人员和员工长期对安全产品的排斥情绪全面爆发,原来在高管的支持下孙主任制定的相关内网安全规范也被束之高阁,最后整个产品在2010年年初被全部终止,优秀的内网安全产品在这个优秀的企业身上宣告失败。

纵观国内内网安全系统应用失败的大小案例,不胜枚举,究其本质原因,软件功能再优秀,但是客户端丢失后,就失去了控制,更让网管无奈的是传统内网安全产品不能从根本上对非法终端采取措施。在我们这个人情甚至重于制度的国情下,如果厂商不从技术上协助网管制定一套严厉的、不可逾越的网络使用规范,恐怕没有几个人被管控,而你只能是束手无策、无计可施。

准入控制解决了内网安全的第一步的问题,也是一个最基本问题。通过准入控制一方面从根本上解决了客户端的安装部署及防卸载问题,另一方面有效的保证了全面内网安全软件安全策略的执行和相关网络管理政策的落实。

“没有准入控制的内网安全,不是真正的内网安全,在中国注定会失败”这句看似危言耸听的盛世格言已经成为广大客户普遍认可的观点!


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们