当针对应用层的网络攻击越来越多,传统的IP访问控制策略已经不能完全符合网络安全的需要,我们应该用什么方式来保障新环境下网络的安全?
信息化发展带来更多安全威胁
伴随着通讯传播和互联网技术的不断发展,全民信息化已经逐渐成为时代的趋势。越来越多的新型开源网络应用框架正在改变数据创建和访问的方式,以智能手机和平板电脑为主流的各种新型移动终端也在伴随着互联网的发展而逐渐融入人们的生活。
但是,信息化技术的不断完善在满足了人们工作需要和娱乐生活的同时,也给信息化基础设施建设带来了强烈的冲击,这种冲击主要表现在两个方面,一是数据流量,众多的网络应用带来了海量的数据流量,尤其是伴随着“云计算技术”的到来,使得数据中心的流量上限变得更加不可预测,直接对数据中心安全和存储设备的性能提出了更高的要求,高度的可靠性、稳定性、方便管理和节能环保等特点将成为未来数据中心安全最基本的要求,这都将为数据中心建设和管理造成前所未有的压力。
另一方面,海量数据使得数据中心的安全形势变得不容乐观,一是因为跟随信息化发展而来的黑客侵入、木马病毒、DDoS攻击等多种不安全因素,二是新型的开源网络应用框架和移动网络终端的应用不断增多,使得针对应用层的数据越来越多,而基与IP地址访问策略控制的传统安全管理模式已经不能满足数据的安全需求,因而造成了很大的安全漏洞。
IP管理策略安全性值得商榷
基与IP地址访问策略控制的传统安全管理模式在安全方面具有明显的缺陷,对于网络管理员来说,因无法确认IP地址与人、内网主机与人之间的对应关系,所以给网络安全带来极大的风险,同时也会给安全事件的追踪与审计带来困难。
对于远程接入的用户,部分厂商采用DDNS(动态域名服务)来解决动态IP问题,但是用户要为此承担DDNS的故障风险。由于DDNS系统是第三方的系统,本身具备一定的脆弱性,容易受到攻击,其可用性和可靠性因素会给用户增加额外的不可控风险。
在利用IP管理模式进行内网管理时,用户需要承担IP被伪造或者假冒的风险。由于IP地址是可伪造或者假冒的,从理论上说,任何人都可通过伪造或者假冒合法IP地址欺骗安全网关,获取访问内网数据的权限,甚至针对内网进行网络攻击。
内网管理中,即使采用IP/MAC地址绑定的形式,用户也要承担主机被冒用的风险。简单说,即是不具备访问权限的人通过使用别人的内网主机,一样也可以非法获取对内网敏感数据的访问权限。并且,在内网主机数量庞大的情况下,IP/MAC地址绑定而导致的额外管理成本较高。
基于角色的管理模式才是王道
如何阻止越来越多针对应用层的访问和攻击,确保安全管理和网络资源协调分配,基于角色的管理模式或能够彻底解决这一难题。基于角色的管理是安全网关类产品发展的一个趋势,在IT安全管理和网络资源分配的过程中,从管理的成本角度、安全管理和资源分配的效果来看,基于角色的管理模式优于传统的基于IP的管理模式。
据了解,基于角色的管理模式与传统的IP管理模式相比较,可以对通过访问者身份进行认证和审核,并根据访问者的权限对其访问的网络资源进行控制,在技术上可避免IP被盗用或者PC终端被盗用的可能性;从访问控制的角度来说,基于角色的访问控制模式在控制上更加严密和便于管理,基于角色的审计结果可为追踪和定位非法访问者身份提供直接的依据,安全防护的效果更好;从分配资源的角度来说,基于角色的分配方式更加精细,使用户合理地利用网络资源。
基于角色的安全管理模式可以保障网络安全管理和网络资源协调分配,可面向角色对信息进行有效的访问控制和网络资源分配,可以为用户提供基于角色和应用的带宽管理手段,同时兼容基于IP的管理模式,可在原有的网络上进行切换与改造。
