访问控制
对于内部网络的终端,要访问的资源要么位于企业内部,要么位于企业外部的Internet网络上。除了要确保终端是可信的以外,还需要对终端的访问行为实施控制。访问企业内部资源,一般可以通过802.1x认证终端;访问企业外部资源,在网关上通过认证授权模块对终端进行认证。
实时监控
部署在企业内部网络中或者在企业网络边界网关上的安全设备可以实时地监控网络中终端的行为和内部网络的流量,如果流入或者流出某个终端的流量出现异常,安全设备将自动进行分析并启动安全策略实施相应的安全防护措施,要么警告终端,要么主动阻断有关此终端的所有连接。
终端可信度评估
终端可信度对内网是否安全影响很大,所以对终端的可信度管理非常重要。在安全设备中可以对内网的终端的可信度进行评估并纳入此终端的历史数据库中,如果某个终端的异常行为超出预设的阀值,将对终端实施相应的惩罚措施。
联想在2005年推出符合TPM 1.2标准的安全芯片“恒智”,联想网御的可信终端管理产品与嵌入在终端的TPM硬件芯片相互配合,在整个企业网络内部建立起一个验证体系,通过确保每个终端的安全性提升整个企业网络的安全性。
企业网络边界安全
企业网络边界安全威胁通常来自Internet上,所以部署在企业网络边界的安全措施就显得尤为重要,同时也是当前安全技术最为集中、最为成熟的领域。
从网络安全防御的角度来说,网络安全防护无非两种:被动防御和主动防御。
传统的网络边界安全技术比如防火墙、VPN、网闸、防病毒、反垃圾、IDS、IPS以及UTM等基本上都属于被动防御的范畴,而主动防御的相关技术、产品、方案、管理到目前为止还相对不成熟。
被动防御
从数据在网络中的“活动周期”来看
从数据在网络中的“活动周期”来看,大致可以分为数据产生、获取、传输、计算和存储五个阶段,数据获取一般采用访问控制和数据加密与压缩等技术,但是数据传输、计算和存储三个阶段,要实现数据安全,则不是那么容易。
(1)数据获取
为了保证数据不被非法获取,一般有两种思维:一种是阻止非法访问数据,另外一种是数据可以随意获得,但是查看或者使用数据必须有合法的身份或者权力。
