边界安全产品失效之后

网络边界线的日渐模糊,使数据安全问题越发棘手,以数据为核心的深度安全防御日益成为绘制未来安全蓝图的关键。

随着用户网络访问量的增加,尤其是输出信息量的激增,面对当前信息网络错综复杂的安全威胁,单纯依靠防火墙,抑或其他更高级别的边界类安全产品,已经难以保护用户现有的IT系统了。尤其在用户日益依赖和习惯于交互式网络访问的趋势下,未来很多安全风险将会来自用户的桌面系统和应用系统,相应的,发生安全事件的概率也会更多地出现在桌面和应用系统。

因此,对于用户IT网络而言,单一的边界安全产品正在失效,而全面的数据保护则成为紧急课题。

跨平台权限管理

无线通信在改变人们生活方式的同时,也带来了前所未有的安全隐患。这也为安全工作者带来了新的挑战。

如今,攻击者可以通过Wi-Fi网络进行互联网访问。从表面上看,这些攻击者都是"友好"的访客,但实际上却会使其他互联的合法机器受到恶意程序的监控。虽然说允许或拒绝对应用系统的访问,依然是最基本的安全策略,但在新的网络访问方式下,更重要的防护思路应该是,用正确的时间和方法限制信息的使用权限。例如,在一天中只能有一个用户可以对数据进行编辑,同时只能有3个人可以查看这些数据,并且无论是在用户编辑还是查看时,系统都需要具备及时跟踪和记录的功能。

事实上,对权限的管理早已被应用到各种应用系统中了,但遗憾的是没有实现跨平台和跨应用系统的权限管理。通常来讲,提供那些权限的管理需要彻底革新数字权限管理的技术,以及运用更精准的可信计算平台技术。

智能访问控制

设置数据访问的策略是一种智能的访问方式,它将使本地或远程应用的网络访问更加合规。诚然,大部分IT厂商都曾推出和发布过基础设施类产品,其中包含有一些访问控制的策略,但这类产品只是允许用户使既有的网络设备符合管理。甚至有一些安全厂商还认为,自动分发更新或补丁就能解决安全访问的问题。但用户面临的真正问题却是,如何通过用户的登录和系统追踪确保网络的安全。

此外,用户也认为,IT需要一些聪明的网络基础设备,这种聪明不能仅表现为按部就班地对系统进行配置,而应该更加聪明,以至于基于用户身份识别技术实现网络访问。

在对应用程序的访问权限方面,通常有两种方法可以实现。一种方法是在桌面系统上建立应用程序的许可访问数据库,但它只列出了哪些程序可以被访问,却未改变用户的访问权限;另外一种方法则是通过虚拟机技术实现基于一个终端的多种应用程序访问和运行。这种访问权限的设置不仅使用户不再依赖某个终端的硬性配置,而且具备了以用户为对象的访问权限。

整合主机保护

通常情况下,访问者首先需要经过网络的访问许可。一旦进入,用户将无权访问没有访问权限的网络资源,更不能有任何违背限制策略的行为。随后,用户在相应的策略管理下实现对终端及应用程序的访问。基于IPS(主动防御)的安全策略将凭借更有效的防火墙机制阻止用户对系统敏感数据的访问,从而更有效地维护数据安全。

如今,用户终端充斥着各种安全防护功能的产品,有的是单机产品,有的是客户端产品,凌乱的安全产品甚至激发了用户的反感。此外,多种网络接入平台的出现和终端虚拟化应用的出现,都使得终端的安全风险变得透明,用户迫切希望有一个整合的主机安全策略来取代现有所有的安全管理机制。