在大部分的用户网络中,对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位,但是内部网络的安全层次却很低,往往很容易就可以进入到单位内部的信息系统中。在这样的安全状况下,不用说黑客,就是普通员工也会有意无意地干出一些惊天动地的事情。某上市公司,由于生产车间离运维部门比较远,有人私接hub入网,在无意中将hub的2个端口用网线连接后导致整个生产网络中断。Hub的存在是小事,但引发全网断网就是大事。
某地区重点医院,在内部不设防的情况下被外来人员用无线路由器接入内网,获取大量医药信息后进行贩卖。在没有发生安全事故的情况下,内部仿佛天下太平,但门户洞开的隐患却可以在一瞬间铸成大错。
无视内部漏洞和安全管理不规范,可以保持90%时间的表象正常,但10%的风险就足以造成200%的损失。这就是典型的“亚安全”现象。
- 企业通常采用的安全产品和方案
- 使用交换机的端口-mac绑定,可以获得比较严格的控制力度,外来的电脑基本无法随意接入内部,本地的电脑也不能轻易移动;有的单位部署了AD域,这也是很强势的一种管理方案,可以很好的满足内部认证及安全策略的强制要求;在早期的桌面管理浪潮中,一大批单位部署了桌管系统,内部用户的计算机在安装了桌面客户端的情况下,也可以通过强制派发的策略来应对很多的潜在安全问题。
- 安全选型趋势对于很多机构而言,采用AD域能够构建出一套强大的系统,但伴随的技术复杂度则是横亘管理者面前的难关,员工不加入域逃避管理也是一个逃避控制的偏方。另外,IT的发展正朝着开放性、多架构平台性的趋势演变,特备是当前BYOD的浪潮下,AD域将面临非windows系统所带来的严峻挑战。总的来说,无法确定现在网络中有多少各种设备、终端,是什么种类;无法确定入网终端的安全状况、合法性;无法确定此时有哪些人员入网访问,访问了何种资源;机构的安全规范无法得到有效遵从;私接hub及无线路由器无法进行有效的管理;无法迅速安全定位到终端设备和使用者。这就是我们网络中的“亚安全”。“亚安全”的出现往往不如其他网络安全问题来的那么激烈,常常不被人重视,但是其带来的安全隐患却非常严重。因此“亚安全”的存在严重影响了信息网络的正常运行。
- 桌面管理系统在经过了2010年之前的热潮后,发展速度趋缓。纯粹基于客户端安全管理类的产品在机构内正逐渐失去当初的魅力。其中包括员工抵触情绪、部署后的系统兼容性问题、后期的大量维护工作、ASR(Agent Survival Rate)等都提升了整个项目的TCO(Total Cost of Ownership)。对于异构终端,如:平板电脑、智能手机、字符终端系统,甚至于物联网终端,桌面管理系统无法良好的适应。
- 端口-mac绑定是更适用于小型单位或网络的简单方案,管理员可以逐台交换机手动配置过去,也可以在出现变更时再逐台进行改换,但在大型的网络中这样的方法不啻为一个噩梦,试想在有2000~3000台员工计算机的网络中,很可能一个管理员一天忙到晚就只能干这样重复的事情。另外仅凭mac地址这样单一的安全要素来进行管理已经无法满足管理者更高的安全要求。