网络解决方案

使用思科自防御网络 有效防止信息窃取

使用思科自防御网络,有效防止信息窃取

简介

许多企业都对自己的网络进行了扩展,使网络延伸到数据中心、远程的商务旅行者和合作伙伴,并通过网络扩展带来的访问便捷性促进了生产效率的大幅提高。然而,网络规模的扩大也为非法窃取企业关键知识产权进一步创造了机会。 企业的员工和内部人士经常(有时是不自觉地)成为窃取企业信息的元凶。 思科公司提供一套独特的集成安全解决方案,让各个企业能够利用在计算机、网络和安全平台方面的现有投资,保护自己不受来自内部和外部的信息窃取行为的威胁。

返回顶部

安全愿景

计算机和网络技术让企业的运营更加高效,并能为客户提供更有效的服务。然而,当今的业务网络在移动性和可访问性上的不断改善,也为企业增加了来自安全方面的挑战。无线组网、员工远程接入以及远程工作的流行,为恶意用户和编码提供了更多的网络入口点。

网络安全是一门新兴学科,因此合格的安全专业人员非常难觅。让企业认识到在安全领域投入更多支出的必要性是一件很困难的事情。网络和 IT 支出的效益通常可以依据投资回报率进行衡量,但是网络安全以往一直被认为仅仅是一个成本负担。现在,人们对网络安全的这种理解发生了变化,企业逐渐开始发现,更好的网络安全性可以使跨越整个网络基础设施的商务事务处理更加安全高效。从长远的角度来看,安全的网络可以为企业节省资金。

返回顶部

信息窃取挑战

许多企业都面临着这样的困扰,它们的企业知识产权被非法窃取并出售给其竞争对手,以谋求经济利益。各企业认为,知识产权失窃已经成为破坏企业安全、给企业带来经济损失的最大威胁,平均每次信息失窃事件造成的损失达二百七十万美元。*窃取者的另一个目标是身份窃取,如企业员工的社会保险号码或客户的信用信息。一项最近的研究表明,在被调查的客户当中,超过百分之七十的客户都认为,银行帐户号码、社会保险号码以及信用卡信息的失窃已经成为他们非常关注的事情。 **

窃贼的来源广泛,形形色色。一些窃贼可能是位于企业环境之外的电脑黑客,试图攻破您的企业所设置的外部网络防御设施。另一些窃贼可能只是简单地在建筑物内徘徊于企业员工身后,然后伺机使用自己或者其他人的计算机盗取信息。还有一些窃贼可能就是企业的员工、承包商、业务合作伙伴或者其他企业所信赖的人,他们试图窃取企业信息来谋求私利或对企业进行报复和打击。行业报告指出,在未经认可就访问企业信息系统的人当中,企业的员工占百分之七十;而在这种非法访问当中,超过百分之九十五的入侵给企业带来了经济损失。因此,企业必须预见到上述威胁,并持续性地、步调一致地进行防御。

 

为了减轻和防止信息窃取事件的发生,企业必须建立一种基于显性授信而非隐性授信的新的安全架构。这种新的安全架构不再将企业的所有员工都统一认为是网络上的可信任用户。要将新的用户授信观念付诸实施,企业必须:

  • 建立一套正式的企业安全策略并持之以恒
  • 验证用户是否是可信任用户
  • 对经过鉴权的可信任用户授予访问权限
  • 保护网络端点 ( 例如台式电脑,服务器和笔记本电脑 ) 不受入侵
  • 保护网络资源免受来自内部和外部的袭击 ( 例如路由器、交换机和无线接入点 )
  • 确保数据和语音信息的安全传输,以保护可信任用户的隐私和机密信息

返回顶部

思科自防御网络战略

信息失窃事件经常在企业的网络技术人员或安全技术人员毫无察觉的情况下发生。因此,安全系统必须能够快速和自动地对可疑的网络行为做出反应。安全系统必须能够完全集成到网络的所有部件当中,以保证网络和网络管理者能够预见可疑行为的发生、鉴别是否存在威胁、并对存在的威胁进行快速和合理地反应。思科自防御网络战略是一个全面的信息窃取保护框架。企业可以继续利用在路由器、交换机、无线设备和安全平台方面的既有投资来部署一个自防御网络,这个自防御网络将帮助企业鉴别、防止和应对来自企业内部和外部的安全威胁。在业界,只有思科公司能基于对网络和安全技术与服务的融合,提供一种独特的、系统化的方法来保障企业安全。

思科自防御网络安全战略由三个安全学科组成,每个学科可以实现一个特定目标(见图 1 )。这些系统相互协作,可以鉴别和阻止信息窃取行为。

1. 思科自防御网络构成

保密性 保护 控制
安全连接系统
在规模巨大的网络环境下保证应用的安全传输
威胁防御安全系统
将安全服务和网络服务相结合,把已知和未知威胁造成的影响降至最低
身份辨识与授信系统
根据授权和授信的要求进行上下文辨识
管理、监控和分析

 

思科安全连接系统( Cisco Secure Connectivity System

对任何企业来说,保密性都是非常重要的问题。用户总是希望自己的电话和计算机通信是私密的,未经许可的人不能访问。思科安全连接系统使用虚拟专用网 (VPNs) 技术,通过保护流经公用或专用网络的信息的完整性和机密性,阻止对数据、视频和 IP 电话通信的信息窃取。

思科威胁防御系统 (Cisco Threat Defense System)

网络必须具备抵制内外部攻击的能力。为了防止信息被窃取,思科威胁防御系统能够阻止对网络端点(如台式电脑和服务器)的恶意攻击,并对来自网络任何地方的可疑行为进行检测、鉴别和阻止。

身份辩识与授信系统 (Cisco Trust and Identity System)

对网络设施的第一重防御措施是确定谁正在访问网络、访问设备的状态以及访问设备的资源所拥有的权限。思科身份辨识与授信系统可以确保只有可信任用户和可信任设备才能接入网络,同时这些可信任的用户和资源仅仅能访问其有权访问的信息,从而能够抑制信息窃取事件的发生。

防止来自外部的信息窃取

长期以来,信息窃取一直困扰着人们。随着互联网的发展,从企业的外部就能窃取到企业的信息。无论是从企业内部还是外部,都有很多 渠道能够窃取企业信息。例如,黑客可以通过 “man-in-the-middle” 攻击,截取通过公网的信息。或者,他们可以使用恶意软件,打开服务器 和台式电脑的“后门”,入侵企业计算机。随着无线局域网在大学校园内的流行,他们往往在企业建筑物外徘徊以寻找不安全的无线接入点。思科集成安全解决方案能提供多种途径,确保网络安全,使网络免受来自企业外部的威胁。

验证可信任用户和访问权限

保护网络安全的第一步是验证用户的身份和连接权限。思科身份辨识和授信系统通过集成在思科 Catalys 系列交换机和路由器中的标准鉴权协议和技术(如 802.1X 和 AAA ),验证用户的身份。一旦用户通过身份验证,将被授予访问权限。思科安全访问控制服务器 (ACS) 负责对网络接入的策略控制。通过思科 ACS ,网络管理者可以控制用户对不同网段的访问,针对不同的用户或用户组授权不同类型的网络服务,并对网络中所有用户的行为保留详细记录。

验证可信任的设备

设备在接入网络之前需要经过检查,以判断这些设备是否符合端点设备的安全策略。思科网络存取控制 (NAC) 解决方案根据安全策略,比较设备的系统状态。通过与行业合作伙伴如 Trend Micro 和 IBM 的合作,网络能够智能地判定端点设备是否符合既定的安全策略,是否可以允许接入网络。

通过安全的公用网承载私有信息

远程接入和远程办公可以提高企业生产效率,但是对网络运营商来说,他们必须允许访问者通过公网访问企业网络。思科安全连接系统帮助确保在不安全的网络环境中,同样能确保信息的私密性。

思科远程接入 VPN 解决方案( Cisco Remote Access VPN solutions )通过应用安全套接字层( SSL )或者 IPsec 标准,可以将企业网络的安全性扩展到企业的分支机构和远程工作人员。这些解决方案提供最安全的用户鉴权和数据加密标准 —— 只有经过验证的用户方能访问网络。任何人通过中途截取的方式所得到的都是无法理解的信息。

思科 VPN 客户端是一个软件应用,支持电子商务、移动用户和远程办公应用,能够与大多数支持远程接入 VPN 的操作系统兼容。思科 VPN 客户端能为大多数思科数据转发器平台所支持,包括思科路由器、思科 VPN 3000 系列集中器和思科 PIX 安全设备。

阻击入侵者

黑客在访问网络之前,通常对企业网络进行扫描,寻找容易攻击的入口点和设备。然后,他们设法使用 Web 应用修改应用程序的流量(如 HTTP 流量),从而入侵网络。基于网络的入侵检测和防御系统 (IDSs/IPSs) 分析网络中传输的所有流量,判断是否有黑客扫描的发生,鉴别恶意攻击的形式,并做出反应来阻止存在的威胁。这种方法通常能够对阻止黑客入侵网络起到很好的作用。

思科 IPS 解决方案包括大量产品,既包括嵌入在路由器、交换机、无线接入点中的软件,也包括思科 Catalyst 交换机专用的高性能硬件模块,以及单独设置的功能强大的设备。思科 IPS 解决方案可以为小型企业、分支机构和企业网络提供非常卓越的威胁保护。

返回顶部

保障无线通信的安全

很多企业都认为,无线局域网技术对大学校园内的网络环境是一种非常便利和经济的解决方案。然而不幸的是,无线网络很容易访问。尽管大多数无线网络使用 802.1X 用户鉴权和静态数据加密技术来保证无线网络的安全,但是无线网络仍然存在一些安全漏洞。

无论是有意设计还是由于无心的原因,无线接入点经常不能被正确安装,导致没有经过鉴权的用户接入网络。使用嵌入在思科 SWAN ( Structured Wireless-Aware Network )架构中的类似 IDS 的功能可以立即发现这些“问题”接入点。思科 SWAN 被嵌入在接入点和和思科 Catalyst 6500 系列模块中 , 可以定位任何“问题”接入点的位置,以便网络管理者能够非常轻松地鉴别出问题接入点的存在并解决问题。

使用黑客攻击工具可以将当前的无线静态加密密钥攻破。而思科无线解决方案使用 WPA (Wi-Fi Protected Access) 行业标准,该标准采用的是临时密钥加密解决方案。思科无线解决方案能保证无线网络和有线网络一样安全。使用思科 SWAN 和思科 Catalyst 6500 系列交换机,无论是有线网络还是无线网络,都具有非常高的安全性,并可以简化对网络的配置、管理和安全策略的执行。

防止来自内部的信息窃取

大多数企业在建筑物的物理安全方面投入大量的资金 —— 配备了门锁、卡钥,甚至视频监视设备和保安。这些措施的确能阻止一些入侵者。但是总有一些入侵者设法穿透这些防御,而这通常只需要尾随企业员工进入建筑物便能轻而易举的做到。另外企业的员工或者其他可信任的内部人士也可能窃取企业的信息。一个多层的防御系统能够有效阻止未经许可的员工、承包商或者来访者访问和窃取企业信息。

构建安全“岛”

因为防火墙在保护网络免受外部入侵方面发挥着非常关键的作用,因此它们在网络中的地位非常有价值。防火墙是不同网络工作组之间的门锁和卡钥,在网络中构建了一个个安全“岛”。防火墙可以阻止某个工作组的用户访问其他工作组的资源。例如,它能阻止来自外部网络的合作伙伴和供应商访问企业在财务、人力资源和帐务方面的敏感信息。

思科在业界拥有最广泛的防火墙产品,适用于任何规模的网络。防火墙功能被嵌入在思科所有的路由器和 Catalyst 交换机中。思科 Catalyst 交换机使用的防火墙硬件模块适用于对性能要求较高的应用。在单独设置的防火墙领域,思科拥有一个强大的防火墙产品家族 —— 通过 PIX 安全设备提供 —— 可以保护总公司、分支机构、大学和数据中心的网络环境的安全。

确保用户工作组安全

思科辨识和授信系统解决方案根据用户的身份而不是用户所处的位置,将用户分为不同的工作组或者虚拟局域网 (VLANs) 。例如,大学和分支机构可能希望在不牺牲企业安全的前提下,允许来访者接入网络。这种情况下,网络维护人员可以创建一个“来宾 (guest) ”虚拟局域网,在这个虚拟局域网中来访者与企业网络的其他部分逻辑上是隔离的,并仅仅被授予网络接入的权限。虚拟局域网还可以用来对不同的企业职能进行分割。例如,只有通过鉴权的用户和市场营销人员才能访问营销虚拟局域网中的营销服务器。思科所有的 Catalyst 交换机中都集成了虚拟局域网功能。

阻止监听、窥探和伪装

通过鉴权而成功登陆的可信任员工可能使用某种软件来“监听”网络中传输的员工数据,包括 IP 电话呼叫和密码。恶意应用也可能在毫无觉察的情况下被添加到台式电脑、笔记本电脑和服务器当中 —— 通过蠕虫和特洛伊程序 —— 来达到监听和窃取企业信息(如密码、帐户号码和员工信息)的目的。 还有一些工具能够欺骗网络,让网络将用户 A 误认为是用户 B ,从而访问用户 B 的信息。思科 Catalyst 集成安全解决方案( Catalyst Integrated Security )提供大量嵌入在交换机中的安全机制,能够保护网络不受这些类型的攻击。它预防了信息窃取行为发生,或者如果某个信息窃取行为正在进行中时,能够快速地将信息窃取行为解除。思科集成安全解决方案是思科 Catalyst 交换机中的一组软件功能集。思科安全代理 (CSA) 还能够排除整个企业内主机系统中的间谍软件。部署了思科安全代理之后,它会将所有在用户系统上下载和安装的软件通知给用户, 并通知用户哪些被下载和安装的应用具有疑似入侵的行为(如监视键盘和打开外部网络连接等)。 CSA 和 Catalyst 集成安全功能集类似,都能排除当前企业所经历过的大多数常见恶意行为。

监控和管理网络的安全状态

对于规模比较大的分布式网络环境,如果能够提供一个包含所有网络设备、安全设备和安全服务的统一视图, 将为企业 IT 技术人员高效监视网络提供极大的便利。使用思科集成安全解决方案,来自路由器、交换机、入侵检测和防御系统、防火墙、 VPN 设备和安全端点设备的信息被 CiscoWorks 安全信息管理解决方案 (SIMS) 收集和分析,从而帮助企业从事安全工作的技术人员能够协调一致地快速鉴别存在的威胁并做出反应。

同样, CiscoWorks VPN 安全管理解决方案 (VMS) 通过集中化部署,将用于配置、监视和故障定位的 WEB 工具与 VPN 、防火墙、网络和主机 IPSs 相结合,可以大幅提高企业的生产效率。各种规则和配置可以应用在整个网络之中,从而极大地简化全网安全策略的配置。

返回顶部

使用思科自防御网络,防止信息被窃取

对当前的企业来说,信息窃取已经成为成本最高的安全问题。据统计,在 2003 年,美国企业由于信息被窃取所造成的损失达到每事件 270 万美元 *** 。如果考察全球范围内的数字,由于信息窃取所导致的损失还要远远大于这个数字。信息窃取给企业造成的损失非常巨大,既包括对企业生产力的打击,也包括经济损失。

由于许多信息窃取行为都来自企业内部,因此企业应当加强网络内部的安全性。思科集成化安全解决方案让企业能够充分利用网络基础设施的既有投资和专业技术人员,搭建一个自防御的网络来保障安全。思科自防御网络将安全部件集成到网络当中,利用现有的网络设施,保护企业的资产。企业内负责网络维护的员工可以对使用网络的用户有更清晰地了解,无论这些用户处在什么位置和访问什么信息,从而让企业的员工能够投入更多的精力致力于提高企业的效率和生产力。

思科公司是网络和安全解决方案的行业领袖。在业界,只有思科公司能基于对网络和安全技术与服务的融合,提供一种独特的、系统化的方法来保障企业安全。安全连接系统、威胁防御系统、身份辨识与授信系统是思科解决方案的三大核心部件,基于这三大关键部件,思科公司可以提供业界最全面、最综合化的安全解决方案,保护各种规模的企业免受信息失窃的困扰。

如需了解更多关于如何保护企业信息不被窃取以及思科自防御网络战略的信息,请访问如下网址 : http://www.cisco.com/go/selfdefend

* 来源 : CSI/FBI 安全调查 , 2003
** 来源 : Gartner 调查 , 2004
*** 来源 : 2004 CSI/FBI 电脑犯罪安全调查

返回顶部

联系我们