【IT168 资讯】互联网络的飞速发展和网络用户应用需求的不断提升,企业、机关、单位等都纷纷建设起了自己的内部办公局域网或者科研网。相对于广阔的国际互联网来说,这个内部网络可以视为一个高度集中的个体,而这些网络用户,就往往将自己的网络安全设备等部署在内网与外网连接的边界处或者骨干网络设备中,如硬件防火墙和IDS入侵检测系统等,这是对外部和内部网络可能发起的攻击和入侵行为进行防范,但却忽略了网络安全体系中最基本的单位——网络内部的每一台计算机终端。
因此,终端安全这一新的安全理念越来越受到业界和企业用户的重视,各家安全公司也纷纷推出终端安全方面的产品。对于终端安全的定义,各家安全公司和研究机构也各有表述,至今没有形成广泛认可的说法。IDF实验室的DCCI小组认为,终端安全指的是每一台计算机终端上的防病毒、防黑客、防泄密、主机审计等安全管理软件所追求目标的集合。
“水”“火”也相容
虽然终端安全涵盖的面非常广,已有的终端安全产品却大都只专注其中某个方面,还没有出现比较全面的终端安全产品。同时,防病毒、防黑客等方面的产品已经趋于饱和,在企业也得到了广泛应用,防泄密和主机审计自然就成了终端安全的重点。
为了与针对外网的防火墙相对应,2001年左右一个韩国人将桌面内网安全审计与防泄密系统称作防水墙,这一提法得到了业内的认可,国内也有一些安全厂商将他们的这方面产品称作防水墙。
“我们将网络看作一个河道,在网络里传输的数据信息看作是水流,那么防火墙阻止的,就是水流从外流向我们内部,但是不会管内部的水流倒灌到外部网络去。” IDF实验室DCCI小组负责人水波形象地说,“而防水墙所管理的,则是数据信息从内网流向外部的过程。通俗地讲,防火墙是管进不管出,防水墙是管出不管进。二者相互搭配,既管出又管进,相得益彰,从而形成了一个完善的内网安全体系。”
总体来讲,目前市场上的防水墙或者类似产品主要实现下面六个方面的功能。第一,失泄密的安全防护,包括计算机终端所有可能的失密途径,如网络、接口、打印机、移动介质等等,以保证保密信息不从这些途径流出,或者流出后自动加密不可读写,再或者流出后可以对失泄密行为进行审计。第二,文件安全服务体系,包括客户端的文件加密,以及加密文件在内网安全域内的保密传输等等。第三,运行状况监控体系,将终端计算机的所有运行情况和操作动作记录在案,包括在笔记本电脑带出网络之后,或者计算机断网离线之后对其实施的安全策略和操作审计。第四,系统资源管理体系,对单位内部的软硬件IT资源进行监控和统计。第五,身份认证扩展体系,可以将操作系统的身份认证功能接管或者将其加强,当然这个需要客户端能够跟操作系统做到底层的兼容。第六,日志审计体系,可以将以上五点功能的日志报表等进行整合与管理。
产品选择遭遇考验
目前,终端安全产品尚处在起步阶段,各大安全厂商虽然都推出了自己的产品,但是真正强势的产品却没有出现,这也给一些企业用户选择产品造成了困难。据悉,IDF实验室正在配合国家相关部门和业界同行设计这方面的产品评测标准,预计几个月之内会有参考方案出台。
“对于产品的选择,我觉得主要应该从产品功能、稳定性和操作性等方面考虑。比如可管理的终端数量,服务器端对系统资源占用的大小,产品本身的后续更新能力。”IDF实验室研究员苏樱认为,“因为各家厂商设计的产品形态不同,有B/S结构,也有C/S结构的。从目前的实际测试来看, B/S结构的问题很多,终端点多的时候策略下发效率下降很明显,安全性上我认为C/S比B/S好一些。但是目前国内以B/S为产品结构的小型终端安全管理产品相对较多。”
IDF实验室DCCI小组负责人水波认为,企业用户在选购产品时可以从下面四个方面综合考虑。第一,与客户端操作系统的兼容性。因为开源的Linux系统不存在这方面兼容性的问题,这里的兼容性主要是指和windows系统的兼容问题,一方面客户端必须尽可能与操作系统底层结合,另一方面与操作系统版本的兼容性也很重要,涵盖windows系列版本要尽量多。
第二,与客户端常见的单机杀毒软件、防火墙软件的兼容性。如何保证客户端不被杀毒软件误认为是病毒或者木马,这也是必须考虑的问题。水波认为还是应该尽量采用和微软公司技术合作比较深的安全厂商的产品,这样才能更有效保证安全产品的进程作为windows的系统合法进程而不被杀毒软件误报。第三,客户端策略功能的全面性、灵活性和开放性,控制台或者服务器端能在客户端执行的策略越多、越灵活、可以给用户依据自身管理需求定义的模式越丰富、可完成的功能越多、越稳定也就越好。最后,客户端与服务器端的通讯稳定性也需要特别重视。
安全要点面结合
在计算机进入企业之初,每台计算机通过独立拨号上网,企业尚没有内部局域网,那时候安全只需要考虑各个点的安全。随着计算机的普及和企业信息化建设的深入,很多企业已经形成了庞大的内部计算机网络,这时候安全重点自然就从先前的“点”转向了“面”,甚至很多时候只考虑整个网络系统的安全性而忽略了各个终端的安全。
“网络层面的防护考虑的是整个网络系统的安全,只有面,没有点,这本身就是不完整的防护体系。各个点是横向防御,每个面是纵向防御,两者贯穿才是交叉纵深的防御。” IDF实验室研究员苏樱认为。
目前来看,终端安全产品在军工制造业、政府机关、设计院所以及一些保存有敏感信息的单位用得比较多,对于内部信息安全管理才刚起步的用户来说,离普及还有很长一段路程要走。
“产品不成熟也是制约企业考虑终端安全的因素之一,从目前看来还没有真正比较全面的终端安全产品,这也给了安全厂商们足够的发展空间。” IDF实验室研究员苏樱说,“主要原因还是对终端行为的预计比较难,很难考虑周全,可能需要一段时间的市场磨炼吧。”
来源:《信息系统工程》
