业务导向甲方网络安全策略设计#4安全防护
笔者:国际认证信息系统审计师、软考系统分析师
继续探讨网络安全策略设计,来到第五部分:安全防护。
安全防护指的就是等级保护要求里面的各种技术防范手段。安全防护手段包括各种软硬件手段,软件的包括各种反病毒软件、反间谍软件、SSLVPN等,硬件包括日志机、堡垒机、入侵防护、WAF等等。安全防护手段的软硬件界线越来越模糊,日渐融合。
安全防护的对象,从业务运行角度看,可以区分为三大类:
-
企业内部设备
-
远程接入设备
-
物联网和智能设备
按这个分类方法,对不同类型的设备需要应用不同的保护策略。
内部设备进一步区分为用户设备和后端设备。后端设备需要重点防护、加固,按需要设置各种访问限制。
用户设备方面,不仅要防护设备,更要注意使用人的因素。设备本身的防护手段已经非常丰富,但使用人方面,培训教育,监督提醒,演练测试,这些都是要常态化进行的工作,而这些工作是相当之耗人耗时。
如果读者是长期关注网络安全、等级保护要求的话,以上内容都是耳熟能详的事情。所以本文不展开。
远程接入的需要在疫情期间变得无比总要。需要通过远程方式接入企业内网的计算设备的管理和企业内部设备的管理是完全的两码事。
为了能安全地让远程设备接入企业内网,企业需要配置专门的网络安全设备,实现对远程接入的管理。而进一步地,还可以由企业向远程工作的员工提供武装到了牙齿的专用计算机终端设备。
什么叫武装到了牙齿呢?最起码包括:
-
全封闭的输入,除了键盘鼠标之外不响应任何其它输入和外部存储;
-
可追踪的输出,强制的屏幕水印,严格限制的网络接入等;
-
严格的终端保护,预先安装且不可卸载的终端安全软件。
同时,要对远程接入的用户进行时间和访问资源的日志跟踪,以实现能事后审计。
3.物联网和智能设备
物联网概念发展了这么多年,但迄今为止,各种物联网设备、智能设备的安全性能平均而言是低于常规计算机终端设备的。而且,还难以进行防护。
最直接的做法当然是企业内网的这类设备越少越好,但这属于因噎废食,不是一个解决办法。
正确的做法包括:
1、及时升级设备固件,补上安全漏洞;
2、及时淘汰已无厂家支持的设备;
3、物联网设备一律实施MAC地址绑定到端口和IP地址,防止欺骗;
4、分离独立组网,不要和业务网络混合使用同一张网;
5、物联网网络和业务网络之间要做物理隔离;
6、物联网网络不设置常态运行的互联网出口,如果必须设置,部署好必须的安全防护设备;
7、禁止任何常态化远程接入物联网网络的方式。
在以上分类的防护措施上,再返回到从技术防护角度,按覆盖范围类似于“点、线、面”的区分,也就是从核心设备、网络边界、终端设备的范围,实施相应的防护。这样就实现了双管齐下的安全防护策略。
虽然为投入的各种成本并不能直接和安全的可靠性划等号,但不投入成本就一定没有可靠的安全性。
在安全上,人的因素比技防更重要。企业的网络安全管理,需要充分注意通过业务渠道对基层一线员工实施的社交工程攻击。而要防范社交工程,除了对企业员工进行反复的培训教育提醒和演练之外,并没有别的更好的办法甚至捷径。
本页网址二维码: