随着网络承载的业务日益丰富,网络的部署也日益复杂和庞大,网络的稳定性和可靠性要求也越来越高。网络从没有像今天一样面临多重安全挑战,为此网络需要由内网安全到边界安全构成整体安全防护体系。
从事故发生根源看,内网安全先于网络边界安全,大多数网络安全事件都是先由内网爆发引起,后影响到网关。但一直以来,大部分人的网络安全防护理念还停留在网关处,如:防火墙,IPS,防毒墙,这些重要的安全设备集中于机房,网络出口,但在这些设备的监控下,互联网的威胁非但没有减少,相反却日渐频繁与复杂。
究其原因,是网络内部的安全一直没有得到重视。如今,网络管理员每日的工作量大多都集中在终端的维护上,如果不对这些终端的系统安全,网络安全进行严格的管理和控制,不对终端的操作行为、网络行为进行规范与审计,这样网络中的安全隐患将完全不可预知和控制。若想使问题从根本上得到缓解,减少安全隐患,降低各种不可控的威胁与意外的频发,以及对员工进行安全规范和操作实现监管,做到明确的人员责任定位,我们就需要在边界防护之前做好准备。
实现内网安全的防护,需要按阶段、系统化的设计与实践,需要从终端接入到应用管理到服务整个环节考虑周全,每一步都需要进行严格的管控和策略规范。ProVisa内网安全管理系统经过5年多的设计和研发,从系统及网络的基本特性,安全事件频发原理,网管员疑难点汇总等用户的实际情况出发,在各种威胁接入网络之前做好充分的准备,形成主动的防御体系,使各种网络威胁在内网毫无可乘之机。
ProVisa整体防护按照以下四个步骤进行设计部署,实现严格的内网安全策略:
第一步:终端入网前的强制安全准入策略。安全准入又分为两个阶段:第一阶段,身份认证。ProVsia采用多种方式有效便捷的对终端的身份进行认证,域认证结合方式,五元素绑定方式,USBKEY多因素绑定方式等多种认证方式确保了认证的准确性,对于不认证的客户端进行及时发现并强制隔离。第二阶段,安全检测。对认证通过的终端进行再次多重安全检测,对终端的安全性进行评估。不符合安全规范的终端将被强制进入修复区,修复完毕后方可正常接入和使用内网或外网。与此同时,对于正常接入网络的终端,ProVisa会为其打上了XX公司XX人员的标记,今后此终端的一切系统行为和网络行为将被详细记录,明确责任定位。
第二步:网络特征绑定和安全性保障。守护好终端的网络安全是守护整体网络安全基础,对于正常接入网络的终端,已经进行第一步实名制的身份绑定和系统安全性检查,已确立了身份和系统安全。第二步,就需要对其的进行网络特征的绑定和网络安全性保障。这需要进行几方面的策略:
l部署统一的终端防火墙策略。解决终端防火墙无法统一管理的难题,解决利用恶意端口传播病毒和网络攻击的可能。
l进行ARP,蠕虫等网络型病毒的防护策略。利用ARP原理及特征分析,主动防御,行为识别等技术。
l异常流量的控制策略。如广播风暴,流量阀值告警。
ProVisa采用以上安全策略,利用中间层驱动技术和启发式分析技术,实现了对网络病毒,内网攻击的有效抑制。特别值得一提的是,ProVisa采用自防御联动系统(Self Protection Association System),可以实时阻断ARP欺骗和各种网络工具的干扰(如:P2P终结者,网络执法官等)。自防御又称主动防御,是目前国际前沿的安全技术,自防御可以针对各种网络型威胁进行预先的行为定义,不需要用恶意程序的特征码来进行阻止。实际上,特征码总是来不及防御各种恶意威胁的新变种,如ARP病毒变种,蠕虫变种,这些病毒类型都可能存在成千上万的变种版本,用特征码防御是不现实的。然而通过分析这些网络型病毒的行为模式,并将这些行为进行识别和阻止,可以从根本上阻止这类威胁的爆发,由根源上杜绝此类攻击的发生。智能联动技术是一项人性化的设计,当用户中了ARP病毒或蠕虫后,ProVisa可以不需要人为干预,自动对中毒终端下发专杀工具,并进行及时查杀。ProVisa自防御联动系统,不仅对复杂多样的网络威胁进行深层次扫描和阻止,而且可以对中毒机器可以进行自动的病毒清除,系统化解决了ARP欺骗,蠕虫爆发等内网难题。