2010年4月6日星期二

迷你倉安全管理無處不在自存倉

迷你倉-安全管理無處不在-storage

迷你倉安全管理無處不在自存倉

SEO搜索排名專家 - 儲存

mini storage

北塔網絡 徐弢

  如果說我們從技術點出發來建設運維管理平台系統、從業務應用的角度出發來設計應用管理策略,從整個IT管理出發來建設流程管理ITSM 。這些都是非常重要的工作,但是

  這些都是建立在安全管理基礎上進行的。沒有安全這一切都將很脆弱。

  傳統的網絡安全

  我們來分析一下網絡的安全管理。目前大部分運維管理人員對黑客、病毒攻擊的危險性都有了深刻的認識,所以很多網絡都大量投資了防火牆、入侵監測、防病毒軟件等。但一段時間運用下來,發現效果並不理想,病毒依然時常氾濫、重要信息常被洩露、網絡安全受到挑戰,原因何在?關鍵在於安全並不是幾個產品就可以解決的問題,而是一個完整的體系。運維人員往往只是單純的考慮某種安全問題並沒有從整體IT管理平台的高度來考慮整體安全體系架構,這就是很多單位雖然耗費了大量的資金,但是安全問題卻依然沒有有效解決的原因。

  傳統的網絡安全從時間來看,網絡安全解決方案往往只考慮事前防範,缺乏必要的事後追蹤及審計能力,時間層面上並沒有端到端考慮。空間層面並沒有端到端考慮。從網路層面來看,往往側重於業務層的安全,對網絡層和用戶層的安全缺乏必要關注。

  很多用戶購買了大量的防火牆、入侵監測設備、防病毒軟件,目的是通過數據隔離、加密、過濾、管理等技術,加強整個網絡的安全性。

  但這些都是在於防,而對事後跟蹤能力考慮很少,在安全事件發生前後,要求網絡所能提供的支持也是不同的,其花費的代價與技術實現難度有非常大的差別從空間來看,往往側重於考慮對來自外網的黑客防禦,對於內部的安全控制缺乏必要手段。

  任何的安全產品都不能保證自己可以100%的做到安全防範,當安全問題出現的時候我們應該如何處理?這個時候我們就需要一個事後處理方案。

  事後跟蹤:通過對用戶上網端口、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為後期的分析提供第一手的資料。

  實際上日誌記錄、地址簿等功能是一個非常良好的追溯手段,在出現問題時可以根據記錄迅速查找源頭,防止事態進一步擴大;例如在發生未知病毒傳播或者是黑客攻擊的時候,傳統的事前防範常常失效。怎麼快速的確認問題,找到問題源,解決問題。這在傳統的功能模塊很難完成,基於平台的網絡安全架構體系通過安全數據分析系統、IP地址安全管理、配合設備的管理功能輕鬆解決這些問題。

  以往的安全體系側重在外網防範上下工夫,而對內網安全考慮很少。接入Internet的外網與辦工系統的內網所面臨的網絡環境、安全防範的目標、對用戶的管理力度都有很大的差異,所以必須針對外網與內網的不同特點制定有效的安全策略。策略分為兩大部分,第一部分是外網,通過VPN、加密等保證信息安全,通過網絡防火牆、病毒防火牆等防範網絡攻擊,側重的是防範。第二部分是內網,通過對用戶的識別,IP/MAC綁定等技術保證合法的用戶訪問合法接入,並做好訪問記錄,側重的是監控。

  在目前這樣一個人員高動流動的時代,大部分的洩密均源自內網。原因是傳統網絡提供的是一個平等的數據交換平台,而實際上不同的人員其訪問的範圍應該是有所不同。比如普通員工只能談問本部門的辦工服務器,而領導則可以訪問某些重要服務器。如果不對人員訪問權限進行合理的控制,則必然對重要信息產生極大威脅。原有的在應用層進行用戶鑒權與訪問控制的方案由於用戶已合法接入網絡,可以監聽到相關信息,實施攻擊,所以效果往往不盡如人意。也正是因為這個原因,今天的安全已是一個涵蓋網絡級、應用級的在內的完整概念。從網絡級就對用戶進行訪問控制,使非法用戶接入網絡就成為聾子、瞎子,將大大增加非法用戶進一步實施盜取與攻擊的難度,從而增強安全防護體系的效能。

  傳統的網絡安全比較容易疏忽的一點在傳輸的加密上。網絡管理多以SNMP的方式進行取數和管理,這種管理存在安全隱患越來越受到管理人員的重視。新的IT管理平台在SNMP V3、HTTPS等新的傳輸加密技術上的使用成為必不可少的功能。

  基於平台的網絡安全架構體系

  從完整的安全體系架構的角度來看,安全的威脅包括基礎網絡資源本身以及承載的數據兩大方面,而對安全的保障也應該是一個從發送端到接收端的完整的端到端的安全防護模型:這就包括了:數據傳送保證機密性、完整性及正確性,網絡資源防止路由欺騙、地址盜用,對於帶寬和端口的佔用可以有效的管理與控制,均是構成一個完整安全體系不可缺少的組成部分。這些你會發現都是基於網絡整體架構的安全。

  基於平台的網絡安全架構體系並表現為傳統的某個安全模塊,而是在網絡綜合管理平台總無處不在。在網絡層:保障網絡路由、網絡地址、網絡傳輸加密等基礎網絡的安全。用戶接入層:確保合法的用戶接入,訪問合法的網絡範圍,並保障用戶信息的隔離等用戶接入網絡的安全。業務層:保證用戶訪問內容的合法性與安全性。

  隨著網絡上應用的進一步增多,隨著網絡進一步深入人們的生活,入侵與反入侵、盜用與反盜用的鬥爭也必將升級。而網絡的安全防護作為一個系統工程,其範圍與深度早已超出了我們原來的預料,並還將進一步發展。只有在整體平台角度從網絡管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢,疏而不漏」。

storage

没有评论:

发表评论