缺少内部控制机制
为了进一步证实内忧大于外患这一结论,记者实地调查了几家跨地域的交通、金融企业的安全现状。走访发现,这些企业的网络业务系统基本上是采用TCP/IP作为主要的网络通信协议,通过路由器搭建覆盖全国各大城市节点的骨干网络,与数据中心进行开放式互联。在这些庞大的企业网络中,许多潜在的安全隐患和安全威胁也因网络结构过于复杂化而被催生出来。突出地表现在:首先,在数据中心所在的核心网内,办公网、用户接入网和核心数据网没有很好地进行隔离,各子网之间互联缺少相应的防火墙保护,容易造成非法数据或网络病毒入侵核心数据网络;其次,内部网络存在许多不可控制的因素,这些广域网动辙覆盖全国几十个节点城市,许多节点根据自身的需求,将连接Internet的专线、办公网络与生产数据网络进行融合,造成全网安全性能的下降;此外,节点维护人员能够随意修改接入路由器的配置,由此造成一些人为因素的安全隐患;第三多数企业缺乏对全网应用的安全监控和有效管理,多数企业的商务数据网上跑着种类繁多的应用,既有业务系统的,也有办公系统的,甚至还有测试系统的,并且缺少针对不同应用的管理措施。
在采访中,记者发现也有少数企业在建设内部安全机制方面做得非常出色。一家在全国50多个城市均设有分支机构的某交通运输企业,针对网络各个部分重要程度的不同,分别有针对性地采取相应级别的安全措施,收到明显的效果。首先,这家企业将复杂的网络根据安全级别进行划分,实现重点区域重点保护,基于网络层安全因素考虑,根据网络安全级别和可控性,将数据中心所在的核心网划分为核心数据网、办公测试网和用户接入网三个子网络,各子网内的设备分别连接到不同的交换机上,实现物理隔离,并通过路由模块实现一些第三层和第四层的安全访问控制,在核心数据子网与其他子网的连接处架设防火墙和入侵检测设备,用于保护和实时监控安全级别最高的核心数据子网。其次,该企业通过加强管理和控制手段进一步增强对节点网络设备的管理控制力度,将外地节点连接数据中心的路由器纳入统一网管体系,进行统一的分级认证管理,严格限制节点维护人员对于骨干接入路由器的配置权限,通过行政手段完成部分节点Internet专线、办公网络与生产数据网络的分离改造,增加相应的安全防护措施,避免对全网产生新的安全隐患。最后,企业IT负责人牵头协调公司内部其他部门,完成全网应用的统计,并根据重要级别实施分级管理措施。根据应用的种类以及重要程度,在全网实现QoS策略,使业务数据在受到流量攻击时能够优先享有带宽进行传送,从而尽可能减少因遭受网络攻击而损害业务运行。
内部管理存在漏洞
有效的访问控制和安全加固措施能够显著提高企业防范内部风险的安全机制,但是技术手段并不能解决所有的安全问题,安全问题还是一个企业内部管理问题。在接受采访的企业中,有不少企业有过安全教训,这些企业不是没有采取安全措施,相反许多企业在安全保障方面已经做得相当全面,几乎该有的保护手段都有了,然而仅仅因为缺少一个有效的管理制度就有可能使所有的技术保障功亏一篑。制定并执行有效的管理制度是为了规范员工行为,减免由于管理不善而引发的安全问题。
一家电信企业的CIO向记者讲述了该企业三次由于口令保管不善而导致的泄密事件。第一次是由于操作人员不按规定定期更换密码,而一直使用系统安装时的默认值;第二次是因为网管员为检查通信线路是否畅通时,使用Ping命令,经常把IP地址暴露在显示屏上;第三次是因为网管员将主机IP地址记录下来,却把纸条随处乱丢。这三次泄密都给该企业网络运行带来了不小麻烦,也使这家电信企业开始重视内部管理。
无独有偶,除了口令泄密外,许多企业还不同程度地存在内部员工“作案”现象。除去纯属意外的误操作之外,蓄意的内部攻击和权利滥用往往会给网络安全造成致命一击,由于内部人员对业务流程、应用系统、网络结构甚至是网络系统管理都非常熟悉,攻击网络的成功率和造成的损失之大是外部黑客无法比拟的。在去年11月,一家著名券商的客户资料被盗案就是由内部员工攻击所为。这样的例子其实有很多。
内部管理不善造成的后果不仅仅表现为泄密和员工作案,还可能延误控制安全事件的时机,造成势态扩大。例如,一家银行的地市级支行,在冲击波第一次袭来时,只有一台主机受到感染,当时网管员只对这一台主机进行了隔离,而没对其他没被感染的存在漏洞的主机采取措施,结果在冲击波第二次袭来时,该支行的网络全部瘫痪。冲击波事件暴露出这家支行在管理方面所存在的不足:对系统漏洞监管不够以及缺乏应对突发事件的应急管理机制。由此看来,蠕虫病毒在企业网络中的泛滥成灾归根到底也是管理不善所致。由于蠕虫病毒已不是传统意义上的病毒,往往会利用系统漏洞(尤其是应用广泛的微软操作系统),具有黑客攻击行为,导致网络设备因资源耗尽而瘫痪。红色代码、SQL Slammer、冲击波都属于这种类型的蠕虫病毒。很多企业在应对突发性的蠕虫事件时都表现得束手无策,使原本可以控制的局面变得失控了。加上仅仅依靠防病毒软件很难清除它们,用户需要及时有效地给系统打补丁、有效约制员工上网行为,这样才能从根本上杜绝这些蠕虫病毒,而这些措施均属于管理范畴。
无线网络、即时消息、移动存储、远程办公等新技术、新应用的出现,进一步使企业网络面临的风险复杂化。而恶意代码、蠕虫病毒以及攻击者也瞄准了这些新技术、新应用,企图找到一条攻击企业网络的新途径,因此用户需要尽快把这些新技术、新应用连同使用它们的员工纳入一个有效的管理机制中。
