6月是球迷的节日,在一个个欧洲杯不眠之夜的时刻,我们仍然记得还有管理员在半夜坚守在机房中解决网络安全问题。2012上半年,充满发展机遇的网络准入控制行业也给内网的各种安全危机提供了更多的思路和支持。
技术篇:
您看到“亚安全”了吗?
内部网络“亚安全”问题无疑是上半年的安全市场主角。边界无法管控、不清楚多少用户接入内网,无法验证接入设备安全性均是“亚安全”的矛头所指。在2012年4月举办的政府机关及企事业单位信息安全论坛上,以“边界”、“人员”、“设备”3因素为突出表象的内网“亚安全”论辩成为会议主题,在全部10家参会的安全厂商中,涉及到以网络准入控制解决“亚安全”难题的演讲就占到了4席,更是有2个完全以准入控制为主题的演讲,足见NAC在机构“亚安全”大环境下的影响力——在2012的上半年,网络准入控制的安全大旗就已经成为了行业的焦点所在。
医疗机构,请疗治您的内网
2012年1月,美国加州罗马琳达大学医学中心(LLUMC)对外宣称,其机构一名前雇员利用未消除的身份账号潜入医院数据中心,累计窃取了1336例患者的病历,其中包括了病人的姓名,地址,出生日期,驾驶执照,医疗记录号码,社会安全号码等信息。无独有偶,2012年5月,浙江省温州市多家医院的信息系统从内部被黑客入侵,共18家医院的医药信息被非法窃取。
在上半年频发于医疗机构的信息窃取事件中,焦点无非是后台所存储的大量的患者个人信息(公共账号),以及药品处方信息(参见2011年统方事件)。在医疗机构外部边界不断加固的同时,内网的混乱无序却给了外贼无限的想象空间,甚至在温州事件中我们看到,只需要通过一台简单的无线路由设备就能够进入内网,以上恐怕还仅仅是医疗卫生机构内部安全问题的一个缩影。作为DLP体系首道关卡的网络准入控制,何时才能成为医疗单位的必备安全准则,成为缓解医患矛盾的另一方阿司匹林?
BYOD,我们来了
当员工们不断通过自己的设备接入工作场所的时候,我们仿佛看到了网络管理者的满面愁容。2012年5月,美国某州就削减州政府计算机资产进行了辩论,鼓励公务员携带自有计算机进行远程办公,从而为政府降低近40%的预算。而据2012旧金山RSA大会调研的结果,有四分之三的IT专业人士认为,个人移动设备将对其机构所在网络造成不可预估的风险,与此相对的是,其中只有39%的机构具备对移动设备必要的安全控制能力。
事实上,从2011的初露头角,到2012的来势汹汹,BYOD已经越来越展现出其清晰的面孔,而不仅仅是一个停留在概念阶段的趋势。如果机构没有进行适当的虚拟化工作,那么可以预见的是越来越多的重要数据会意外地出现在某员工的iphone娱乐文件夹中,并在某个时间在贴吧中被板砖拍的一塌糊涂。
做为帮助机构过渡到云计算与虚拟化的必备安全平台,网络准入控制对BYOD的控制是很多机构的管理者乐于看到的,通过控制个人的notebook、iphone、ipad、小米手机等移动设备并引导到有限访问区,准入控制能够提供区别于外来访客与内部计算机的“第三类区域”,这样的安全保障将十分有助于管理者降低对于BYOD的恐惧感,并将注意力放到BYOD所带来的费用降低的收益中去。
无线不能“无限”
谈到BYOD,一个避不开的话题就是无线网络。由于传统的观念和安全手段所限,管理者对无线安全的专注度短期内必定无法达到等同于有线网络的强度,因此无线网络更容易成为一个“无限”的蜜罐,成为最容易获取资源的“潜规则”。
在SANSInstitute 2012年上半年对500名IT专业人员所做的一次调研中,只有9%的管理者对无线网络中的移动设备给予了充分的关注,而有14%的管理者完全不清楚在他们的无线网络中到底接入了些什么,即便是UFO飞进来了也无所谓。无线安全最前端的手段首推准入控制,早在年初的一篇《2012网络准入控制行业5大趋势预测》文章中就已经提及这个趋势,而面对目前无线网络建设的发展,以及诸多省份智慧城市体系的建设,利用准入控制树立一个无线接入的有限访问区必须成为行业的一个重要安全标准。
管理篇:
认证“之前”的事情
认证(Authentication)在3A(Authentication、Authorization、Accounting)中排行老大,也是最原始的安全手段,但当我们埋下头潜心研究技术的时候,为什么不抬起头来熏陶一下管理的空气?“Changing culture to be more risk-aware cannot be achieved overnight.”当安全意识无法一蹴而就的时候,认证能起到多大的安全效力是颇为可疑的。责任分离、最小权限、轮岗等管理性的安全法则如果能够成为普通员工熟悉ukey前的职业道德圣经,那么认证也将升级成为审计的手段而非控制的工具。
“攻城为下,攻心为上”,当我们觉得《孙子兵法》中老祖宗的思维在21世纪仍然不过时的时候,诸位做安全时请默念下面这句《准入控制圣经》中的名言:“技术为下,管理为上”。
