【IT168 评论】连日来,“棱镜门”引发了全球网络空间安全问题的大讨论,在围观或声讨“棱镜门”的同时,对于企业的IT掌舵人来说,则更需要评估自身的安全状况和弥补漏洞。为此,我们专门采访了锐捷网络安全产品总监王福光先生,王福光向企业用户建议,企业需要重新审视自身的网络安全防御系统,并及时纠正错误,回到正确的航线上来。
▲锐捷网络安全产品总监王福光
误区一:安全防御不能仅关注“安全设备”
“安全是一个木桶,要找出短板……”简单回忆最基础信息安全知识之后,都会想起木桶理论。但实际上,这一理论首先告诉我们的,就是要对安全有一个“完整的视野”,不能仅仅局限在安全设备上。
今天,病毒泛滥、操作系统漏洞“每日一补”,这些都让企业的网络管理人员在服务器、应用层的安全防护投入了太多的精力,致使网络设备本身的安全被遗忘或被忽略。然而,在棱镜门的带来的重要启示之一就是包括系统、网络设备在内的整体安全概念。
有人认为这项窃取技术非常复杂,但实际上如果在网络底层操作,便可以轻松地截获互联网上没有加密的任何数据。在技术层面上,处在互联网骨干节点的路由器或者交换机,任何一个互联网用户的信息都必须要通过这些节点。只要在这些路由器上启用数据镜像功能,就能简单地把需要的信息复制一份,发送到指定的位置进行存储,而后进行还原即可。
之所以要强调安全是一个整体,这是因为OSI/RM参考模型的每层都可能成为攻击的目标,因为在每层中运行的物理硬件、服务和协议都可能存一些安全漏洞。这里还要特别提醒一些“专网”用户,在一些涉密部门的内网和专网中,虽然核心网络设备虽然没有直接接触到互联网,但也有可能造成信息泄露,尤其是只采取了逻辑隔离措施的网络中。即使是采用了物理隔离的专网,由于经常需要厂商对设备进行软件升级或者硬件维修,一旦基础设施被人通过这种“维修或服务”的渠道进行“接触”,就极有可能产生被监控、泄密的风险。因此,建立完整的安全体系和策略十分重要。
误区二:信息加密费时费力
针对监控与窃取,最好的防御手段就是加密,但很多企业都以部署、管理、使用成本过高、看不到收益为由,没有制定或者推后了信息加密策略。存有侥幸心理的IT管理者让企业的机密信息在网络上“裸奔”是件非常危险的事,以黑客窃取信息系统的密码为例,最可怕的不是“暴力破解”,而是截获。这是因为,如果调用服务器或者网络设备的日志,我们会察觉到暴力破解的迹象,而密码截获之后,所有的访问都是正常的、自然的。
“棱镜门”中涉及的信息监控与窃取,不是一个特例,这项技术早已被黑客掌握。除了国家层面,企业层面其实早有很多相似的情形,商业间谍无孔不入,让很多企业为此损失惨重。通过“棱镜门”事件的反思,我们发现了不少重点行业网络中的“怪现象”:安全防护,在用不安全的产品,这包括安全审计、身份认证、网络过滤、数据加密等等。针对国际通用的加密算法,许多本土厂商还在推出的产品中还包含了国密商用算法,但这些安全措施并没有得到启用。
对此,锐捷网络安全产品总监王福光表示:锐捷网络推出3G、4G网络解决方案从接入端到汇聚端的全线路由器产品,都支持国家密码管理局发布SM1算法,并且RG-RSR77还是业内第一款,也是目前唯一一款在此算法基础上加密性能高达10Gbps的高端路由器。针对企业在加密工作中的误区,我们建议用户,虽然加密工作带来的价值短期内难以看到,但在数据越来越关系企业和国家安全的今天,重要企业和部门仍然建议在数据的存储层和传输层都要采取加密措施,防止数据丢失后的连锁反应。
误区三:BYOD不加节制
如果网络基础设施构成了安全木桶的底部,那么,BYOD很有可能成为木桶的缝隙。
美国情报机构拥有非常完备的信息保全制度,但仍无法拦住斯诺登将机密文件拷贝至自己的设备,这与BYOD不无关系。在毫无准备的情况下,默许或者提倡员工自带设备进行办公时,用户会访问个人社交网络、下载喜好的App程序、浏览网页,而同一个设备还会访问企业内部的关键数据。无节制的BYOD应用,会导致企业网络时刻处于高危状态,企业的商业机密随时可能被黑客、竞争对手窃取,或者通过员工的移动设备发送出去。
非常不幸的是,随着移动设备使用率的增加,很多企业却并没有一个更加完善的安全策略和工具来管理这些设备。因此,如果确实需要在自有终端上运营保密级别较高的数据和应用,那就需要对安全管理有预先的规划和部署,设置一定的门槛。王福光谈到,为了安全性与易用性的矛盾,锐捷网络的BYOD安全解决方案增加了“评估”和“入网”两个新的元素,所有自带设备要进入网络,须要先经过评估,然后入网,并严格审核这些自带设备的网络行为。同时,锐捷网络在BYOD方案中,提供无感知认证技术,即在保障高强度安全性的前提下,让用户发挥这些设备的易用性。
“棱镜门”事件的波及面非常之广,我们相信,很多国家和企业在这个事件之后,都会重新考虑自身信息的安全性问题,从这个角度讲,“棱镜门”也是针对企业信息安全误区一次最重要的课程。
