從近期就安全事件的原因所做的一些調(diào)查結(jié)果可見,75%的管理員都勾選了安全意識淡薄和安全管理不到位的選項(xiàng),而軟件或網(wǎng)絡(luò)配置錯(cuò)誤也有接近50%的受調(diào)查者選擇,管理已經(jīng)成為內(nèi)網(wǎng)安全問題的重中之重。

結(jié)合內(nèi)網(wǎng)安全的種種現(xiàn)狀和問題來看,單純在技術(shù)上先進(jìn)已經(jīng)無法保證競爭力,甚至已經(jīng)無法保證實(shí)際的防護(hù)效果了。這些引起內(nèi)網(wǎng)安全問題的核心原因,只有在安全管理手段以及安全產(chǎn)品的管理能力達(dá)到一定的層次之后才有望解決。面對日益復(fù)雜的應(yīng)用環(huán)境,管理員需要具有更深、更精、更高智慧程度的工具來開展自己的工作,否則難免被淹沒于安全威脅的浪濤之中。

放之四海:具有通用性的內(nèi)網(wǎng)安全管理體系

盡管很多時(shí)候人們不可遏止地覺得守護(hù)目標(biāo)不讓黑客對其進(jìn)行攻擊是一件很酷的事情,但是在絕大多數(shù)情況下,安全管理都是建構(gòu)在規(guī)范和嚴(yán)謹(jǐn)之上的一件工作。這其中不但需要正確的應(yīng)用安全技術(shù),同時(shí)也需要前期的規(guī)劃和設(shè)計(jì)以及后期的運(yùn)營和支持。在這里我們將嘗試給出一個(gè)內(nèi)網(wǎng)安全管理體系的基本模型,我們希望它具有廣泛和長期的適應(yīng)性,同時(shí)覆蓋內(nèi)網(wǎng)安全各個(gè)主要的問題域。

一般來說,一個(gè)內(nèi)網(wǎng)安全解決方案從形成到正式開始運(yùn)行,要經(jīng)歷如圖所示的一系列階段。從認(rèn)識到有需要解決的內(nèi)網(wǎng)安全問題或者內(nèi)網(wǎng)存在安全問題開始,首先需要形成一份需求定義文檔。這份需求文檔應(yīng)由信息安全部門和行政部門的管理人員進(jìn)行評估,然后表決通過。

在此之后,應(yīng)根據(jù)需求進(jìn)行實(shí)際內(nèi)網(wǎng)安全防護(hù)體系的構(gòu)建,這其中通常還可以展開很多子步驟,例如進(jìn)行安全體系的具體設(shè)計(jì)等。一個(gè)內(nèi)網(wǎng)安全體系經(jīng)過評估之后將融合到信息基礎(chǔ)設(shè)施當(dāng)中,同樣地,如果基礎(chǔ)設(shè)施發(fā)生變化,相對應(yīng)的也要進(jìn)行評估。而在這些工作完成之后,需要對已經(jīng)成型的安全體系進(jìn)行評價(jià)和驗(yàn)證,以證明其有效性。

如果不存在漏洞和考慮不周之處,該內(nèi)網(wǎng)安全體系將投產(chǎn)于實(shí)際的工作環(huán)境,而后續(xù)的針對應(yīng)用環(huán)境變更所做出的調(diào)整、日常的安全管理、發(fā)生安全事件時(shí)的應(yīng)急響應(yīng)和支持等工作將會(huì)有序地開展。

按部就班:如何操作內(nèi)網(wǎng)安全管理

從管理目標(biāo)來說,內(nèi)網(wǎng)安全所處理的主要問題還是內(nèi)網(wǎng)中的信息也即數(shù)據(jù)。雖然說Web、電子郵件、即時(shí)通信、業(yè)務(wù)管理系統(tǒng)等建構(gòu)在局域網(wǎng)和互聯(lián)網(wǎng)上的應(yīng)用為企業(yè)帶來了大幅的效率提升,但是并不是所有的人都明白這些應(yīng)用會(huì)給企業(yè)的數(shù)據(jù)帶來什么風(fēng)險(xiǎn),更不知道如何來控制這種風(fēng)險(xiǎn)。

通過對信息進(jìn)行分級并映射其可能的安全風(fēng)險(xiǎn),以及在這些安全風(fēng)險(xiǎn)變成現(xiàn)實(shí)時(shí)可能遭受的損失,在擁有這些基礎(chǔ)素材之后安全管理人員才能開發(fā)出有效的控制措施來將風(fēng)險(xiǎn)降低到可以接受的程度。在形成了完善的信息分級系統(tǒng)之后,組織就可以著手形成自己的基本安全策略。

安全策略除了確認(rèn)信息作為受保護(hù)資產(chǎn)的地位之外,更重要的價(jià)值在于規(guī)定當(dāng)信息依照其所在等級的風(fēng)險(xiǎn)情況應(yīng)該受到何種程度的保護(hù)。而在預(yù)期的成本和目標(biāo)效果的指導(dǎo)之下,安全管理人員應(yīng)選擇與之相適應(yīng)的技術(shù)和產(chǎn)品來構(gòu)建安全防護(hù)措施。

當(dāng)然,在一切都被搭建起來之后,還有很多安全管理工作需要被周而復(fù)始地執(zhí)行。然而不得不承認(rèn)的是,很多情況下安全管理人員都直接將構(gòu)建安全設(shè)施作為內(nèi)網(wǎng)安全管理的起點(diǎn),同時(shí)以很低的效率和很盲目的姿態(tài)來開展后續(xù)的工作,這樣做最可能的結(jié)果就是形成一個(gè)可能發(fā)生安全事件的內(nèi)部網(wǎng)絡(luò)。從上面提供的一份示例清單中可以看出,這種未經(jīng)足夠準(zhǔn)備就開始的安全工作到底遺漏了多少有益的要素。

見招拆招:實(shí)例解析內(nèi)網(wǎng)安全管理

也許在95%的講解內(nèi)網(wǎng)安全管理的文章中,內(nèi)網(wǎng)都用來代指與互聯(lián)網(wǎng)相對的局域網(wǎng)絡(luò)。但是在實(shí)際的安全管理情景中,內(nèi)網(wǎng)往往還需要被劃分成不同的區(qū)域。有的時(shí)候是因?yàn)榻M織業(yè)務(wù)的需要,網(wǎng)絡(luò)已經(jīng)被進(jìn)行切割;而有的時(shí)候則是為了讓安全體系更加具有層次,所以令不同安全等級的數(shù)據(jù)只能在自己的區(qū)域中流動(dòng)。

有相當(dāng)多的技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離,例如防火墻設(shè)備、中繼網(wǎng)關(guān)、應(yīng)用代理、三層交換機(jī)、VLAN等等。盡管很多企業(yè)都應(yīng)用低層的物理隔離設(shè)備來分割網(wǎng)絡(luò),但是事實(shí)上應(yīng)用最廣泛的仍舊是防火墻類型的設(shè)備。而另外一個(gè)較為明顯的趨勢是,大部分組織都應(yīng)用了一種以上的技術(shù)或設(shè)備來進(jìn)行網(wǎng)絡(luò)區(qū)域的劃分和管理。

然而,如果只是利用這些傳統(tǒng)的、基本的設(shè)施來進(jìn)行網(wǎng)絡(luò)隔離管理是相當(dāng)?shù)托У?也很難與數(shù)據(jù)隔離、應(yīng)用隔離等安全管理手段相互融合。所以更加受到推崇的方式,是在一個(gè)統(tǒng)一的管理平臺之下,將面向各種層面和各種方向的防護(hù)機(jī)能整合起來。

以鼎普科技面向防泄漏的產(chǎn)品解決方案為例,通過BIOS等硬件芯片級別的可信認(rèn)證來保持終端的安全性,只授權(quán)那些可信、可控、處于健康狀態(tài)的計(jì)算機(jī)才允許訪問內(nèi)網(wǎng)中的數(shù)據(jù),并在此監(jiān)控和認(rèn)證的過程中對信息和訪問信息的終端進(jìn)行分級、分層、分組管理,這樣才能實(shí)現(xiàn)真正意義上的安全管理通暢。

另外,對于那些出現(xiàn)安全問題同時(shí)可能對內(nèi)網(wǎng)其它節(jié)點(diǎn)造成破壞的計(jì)算機(jī),整個(gè)安全管理體系可以智能識別并將其與內(nèi)網(wǎng)切斷。這樣的體系可以簡化安全管理員的負(fù)擔(dān),甚至每一臺計(jì)算機(jī)都可以被視為內(nèi)網(wǎng)中的一個(gè)內(nèi)網(wǎng),管理彈性可見一斑。