审计机关计算机内网安全管理分析,本文主要内容关键词为:安全管理论文,内网论文,机关论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、计算机内网安全概述 说到网络安全,大多数人自然就会想到网络边界安全,但实际上网络的大部分安全风险来自于内部。常规安全防御手段往往局限于网络边界,如防火墙、IDS、漏洞扫描等方面的防御,重要的安全设施大致集中于机房或网络出口处,在这些设备的严密监控下,来自网络外部的安全威胁已经大大地减小。相反,来自网络内部的计算机终端的安全威胁已经成为是众多安全管理人员所面临的最棘手的问题。自2003年来,以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,使政府机关和企事业单位的网络管理人员头痛不已。因此,要使计算机资源能够得到有效的利用,首先需要解决的就是网络安全威胁。值得欣喜的是,网络安全得到越来越多人的重视,已经有许多政府机关在网络边界部署了防火墙,网络中安装了杀病毒软件,部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。但这些安全措施并没有对我们的内部计算机网络,尤其是没有对各个计算机终端进行有效监控,无法避免内部计算机资源滥用、内部网络信息泄露、内部员工的故意攻击等问题,更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。事实上,堡垒最容易从内部攻破。 目前,比较流行或者说应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,而不管内部网络行为和设备的应用等等。 我们都知道,进行网络安全体系建设,要综合考虑、注重实效,在我们考虑防火墙杀病毒、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,必须同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,因为这些才是网络安全面临的最大威胁,也是网络安全的最大挑战。最理想的状态是,我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁,并组织相应的技术、产品以组合方案的方式统一解决。 二、审计机关计算机内网安全管理存在的主要隐患 随着审计机关信息网络不断发展,内部泄密和内部攻击破坏已经成为威胁审计内网或审计专网网络安全应用的最大隐患。在众多的内部网络安全威胁中,最主要和最应关注的有以下几个方面。 一是内部人员或设备的主动或者被动泄密。近年来,各级审计机关为适应信息时代审计工作需要,在审计内网基础上建设了财政、社保、住房公积金、地税等行业的联网审计系统或数字化审计平台,存储着财政以及多个行业重要的经济、个人信息数据,同时还存储着审计工作过程中从被审计单位采集的涉及国家机密或者事关企业生存和发展的核心秘密,如国防、军工单位和政府行政办公的有关信息,设计行业的设计方案信息,数据提供企业和商业企业的关键数据及战略竞争信息,审计工作中产生的重要数据等等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大,泄密的途径主要有两个,一是人员,二是机器设备。从主观态度上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会带来不可预估的损失,有的甚至侵犯到国家的安全和利益。因此内部网络数据泄密就成为审计机关须高度重视的问题,我们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。 二是内部人员主动或被动的制造、传播病毒等恶意代码。目前,网络技术应用在审计机关已非常深入,审计人员中总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,使得部分甚至全部的网络资源不可用,从而影响审计机关的正常审计工作以及办公。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网络运行造成了不良影响。这些病毒、木马等恶意程序往往都是利用系统漏洞进行破坏。 三是非授权使用或者授权滥用。大部分审计机关都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点、做什么类型的事情,也就是说,区分了授权和非授权操作。但事实上往往不是这么简单,众多内网用户会探测、尝试进入非授权的领域,例如某审计机关规定了审计人员从事审计工作的电脑不允许上互联网,但有的人却能想出很多办法,一边上内部网络,一边又联上了互联网,从而使审计机关整个内部网络间接地连接到互联网。比如,某审计人员无权访问单位的某业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的权限。至于网络资源滥用的实例就不胜枚举了,非工作需要拷贝、修改关键数据等等。大部分审计机关都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的网络问题。 四是内部人员、设备主动或者被动攻击。从网络诞生的那一天开始,黑客就存在,发展到今天已经到了无孔不入的地步,而且还在进一步蔓延,许多黑客攻击行为已经不需要太多的网络攻击知识,只需简单的攻击程序和设置就可以实现。在我们审计人员人员和使用的设备中,也不乏这样的角色,他们本身不具有很高超的攻击水平,而只是应用现成的攻击程序来实现“黑客”目的,主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。黑客技术正在不断的迅速发展与变化,从一个漏洞发现到攻击代码实现,到蠕虫病毒产生,几年前可能是几个月甚至半年多,而现在几周甚至一天就可以完成。在微软发布MS04-011公告时,NGS的David在看到公告的8分钟后写出了攻击代码,Xfocus成员也在6小时内写出了通用的攻击代码。 五是安全管理不善,引发的网络资源不可用或者资源损失。管理不善主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。比如,我们规定在某一些工作计算机上,不能安装运行某些软件,可是还是有人安装了,对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改,任意的将非本网络的设备接入内部网络,任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的规范。 六是客户机自身存在安全缺陷,导致网络内部安全隐患。网络当中的客户机很多,终端的存在安全隐患容易导致网络安全事件,如客户机存在安全漏洞,可能会引发蠕虫病毒等威胁。如果配置不完善,则容易导致信息泄露甚至黑客攻击事件的发生,因此,维护每台客户机自身的系统安全性,也是应该予以考虑的。 三、加强审计机关内网安全管理的建议 根据审计机关内部人员违规特点,要加强内网安全必须遵循“事先预防、事中监控、事后审计”的方针,从严管理,坚持内网安全工程与计算机内网工程同计划、同实施。 事先预防就是要防患于未然。利用漏洞进行攻击已成为黑客最常用的手段之一。攻击者首先通过扫描工具发现漏洞,然后利用相应的攻击工具实施攻击;这种攻击模式简单易行,危害极大。由此可见,操作系统或者应用程序的漏洞是导致网络风险的重要因素。 消除漏洞的根本办法就是安装软件补丁,补丁分发管理越来越成为安全管理的一个重要环节。补丁管理也需要有很强的及时性,由于黑客技术的不断积累和发展,留给网络管理员进行漏洞修补的时间将会越来越少。因此补丁管理也就需要有很强的及时性,如果补丁管理工作晚于攻击程序,那么审计机关内网就有可能被攻击,造成机密信息泄漏。然而,在一个较大的局域网中,普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题,网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序,几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行,不对整个网络系统造成其它破坏和隐患,更是完全不可想象的。因此对于终端节点众多的用户,繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补;自动化的补丁分发管理工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。 同时,除以上技术手段外,还应该从制度入手,严格规定人员、设备、数据资源的安全级别,制订明确的规章制度并严格执行;严格限制重要信息数据的传播范围,限制能够接触重要信息的人的行为。例如,对于数据传输、复制设备要控制使用,避免造成信息泄露;对于接触重要信息数据的设备和人员进行严密监控,防止非法操作;对于执行的程序和上网行为进行限制,防止运行危险软件和对非法网站的访问;禁止非法外联和非授权主机接入,防止来自外部的威胁。 事先预防要通过必要的技术手段来实现,包括设备使用、应用程序、上网行为、文件操作、网络访问等的监控,使具有一定权限的人员只能使用指定的设备,完成指定的操作;将机密信息完全封闭在有限的网络区域内,防止信息被无意泄露和有意窃取。 事中监控仅次于事先预防,对于违反安全策略的行为要及时报警,通过策略机制进行响应,将损失减到最小。如通过内网安全管理软件,监控非法的计算机和存储设备随意接入内网、内网设备非法外联、内部机密信息的泄露,对终端应用软件进行统一监控和管理,快速有效的定位网络中病毒、蠕虫、黑客的引入点,及时、准确的切断安全事件发生点和网络。 事后审计是内网安全的必要措施,所有网络、终端的用户重要行为都应严格记录、存储,便于事后追溯,做到有据可查,不可抵赖。 总之,对于审计机关内部网络的安全建设,需要从管理和技术两个方面入手,管理和技术合二为一,才能达到网络安全目的,用技术来实现管理目标,用管理来保障技术应用。标签:网络安全论文; 计算机安全论文; 安全审计论文; 网络攻击论文; 审计软件论文; 内网安全论文; 审计计划论文; 网络行为论文; 审计目标论文; 管理审计论文; 黑客论文;