一、前言
信息安全是一个动态的体系,在为自身业务提供高效的网络运营平台同时,复杂的网络环境与不同水平用户的行为也给网络带来潜在的风险,其实信息安全不仅仅是个技术问题,而是管理、章程、制度和技术手段以及各种系统的结合。传统的安全解决方案都是把目标放到技术、产品、策略上,大都忽略了管理,在各个企业的办公网、内部业务网、涉密网中由于国家的标准法规,安全硬件设备、软件产品都配备的很齐全,但是真正起到作用的可以说是人命关微乎其微。
往往因为现有的安全措施没有发挥应有的作用,造成网络管理人员无法了解每个网络端点的安全状况,也无法解决各种终端安全与管理问题。出现问题后,不知道如何处理,在这种情况下,许多管理人员对局域网的信息安全迷失了方向,总以为安全产品配备的还不够不全,所以继续加大投资,扩充安全产品,进入了一个恶性循环。笔者认为实现信息安全不仅需要采用技术措施,还需要借助于技术以外的其它手段,如规范安全标准和进行信息安全管理。
二、安全理念
从管理的角度来看,这里将信息安全的管理分为四部分:资产管理、行为管理、报警管理、日志管理。
资产管理:
在日益复杂的网络管理环境中,不断会有新设备、新用户、新应用加入,这样就使得企业网络中IT资源比之前分散、复杂。这就要求我们的安全管理系统首先要了解的就是网络环境中有哪些资产,比如说有多少台交换机,多少台路由器,多少台防火墙,多少台服务器,多少台PC?每台交换机、路由器、防火墙的策略是什么?服务器上的应用是什么?每台PC的使用人是谁,与布线系统的关系如何?这些都属于资产管理的范围,只有知道了这些,出现问题的时候才会准确定位,以便及时处理。
企业资产除了摸得着、看得见的有形物体外,还有一些无形的资产,比如说设备的配置、服务器上的数据等。
ITIL是英国政府中央计算机与电信管理中心(CCTA)在20世纪90年代初期发布的一套IT服务管理最佳实践指南,旨在提高IT服务质量。在ITIL中,共有11个流程管理,其中的配置管理和变更管理更好的诠释了资产管理的重要性。我们不仅仅需要知道有哪些设备,除此之外这些设备的配置,什么时间更改了配置,由谁更改的等等信息,必须了如指掌,每一次动作都需要及时记录。
资产管理中除了上述的内容,还有一点最重要的就是能够针对随需应变的系统运行环境,将以往各个管理子系统有机地联系在一起,通过提供开放接口,汇总各个子系统的故障和事件,进行过滤、转发、自动响应、报警等处理,实现基础平台与服务管理平台高效协同。
行为管理:
大多企业重视网络边界安全,但是他们的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施,如:安装网络防火墙、入侵检测软件等,并借此实现内网与Internet的安全隔离,然而,情况并非如此。企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网、U盘私自拷入拷出各种资料,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。实践证明,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。
对于内网用户行为的控制是最为关键的一个环节,我们提出的安全理念除去资产管理外,剩下的行为管理、报警管理、日志管理可以理解为事前、事中和事后三个步骤。
所以对于用户行为的控制就是事前的控制,哪些行为可以,哪些行为不可以,各个企业应该根据自身的实际情况,调整控制手段与策略,比如对于一个涉密单位,我们应该做以下策略:
禁止用户私自拨号上网;
禁止使用非可信的移动存储介质;
每次登陆系统必须经过网络内的身份鉴别;
禁止用户私自安装软件;
禁止非网内设备接入。
这就是行为管理,企业应该结合自身实际情况,制定合法与非法的行为,在不影响正常应用的情况下,将内网用户的威胁与风险降低到最小值是行为管理的目标与宗旨。
报警管理:
企业内部有了各种安全产品,通过部署各种安全策略,在事前已经做到很好的防护了,但是如果有违规事件出现,管理人员未必会在第一时间得知信息,这就造成了安全事件处理延时。比如网内某用户私自以Modem拨号方式接入互联网,管理员没有发现,即便很短的时间,也有可能给黑客留下机会,进入企业网内部,造成难以估计的损失。
尽管前面有了行为管理与控制,但是企业不可能避免非法行为的出现,所以在安全事件发生时,管理人员应该在第一时间知道问题出在哪里,出的什么问题,从而迅速找到解决问题的办法。这就是事中我们应该做的,发现问题,了解问题,然后再解决问题。在ITIL中的事故管理能够更好的说明报警管理的必要性。事故管理的目标是在尽可能小地影响客户和用户业务的情况下使IT系统尽快恢复到原始的服务级别。报警管理主要是为了在事故发生后,用最短的时间掌握此事故发生的时间、地点、人物等相关信息,为解决事故打下坚实基础。
还是以用户私自以Modem拨号方式接入互联网的事件来举例,当此事件发生时,管理员通过某种工具或安全产品得知此信息,要做的就有三件事,第一是阻断此种行为,第二通知该事件的主体,也就是拨号的用户,第三则是生成日志,记录备案。
总之,报警管理主要就是要在第一时间找到问题源,为解决问题做好准备,同时,报警管理也会给企业内用户带来一定的震慑,使之约束自己的行为。
日志管理:
事前通过行为管理,事中通过报警管理,我们对于事后的办法就是日志审计,日志审计是检测安全事件的不可或缺重要手段之一。目前,大部分信息系统的所依赖的网络入侵检测系统只能检测部分来之网络的攻击事件,对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力,而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计系统通过分析各设备、系统、应用、数据库产生的运行日志,能够及时发现入侵检测系统检测到的各类安全隐患,并及时给予告警,从而避免安全事件的发生。
由于目前的应用系统往往都是相互关联的,一个事故,可能要对很多台网络设备及主机的日志进行关联分析,才能找到真正的事故原因,统一的日志审计平台可以快速进行故障定位,企业追究安全事件责任也会有据可查。
而ITIL标准中所阐述的问题管理,其实与日志审计是很相似的,问题管理的目标是找出事故产生的根源,从而制定恰当的解决方案或防止其再次发生的预防措施。而日志审计除了能够追查事故的原因外,还有一点就是可以统计哪类事故出现的比较频繁,可以对症下药,对于此类事故有针对性的部署安全策略,防止其多次发生。
因此,对信息系统的审计就显得尤为重要,第一可以满足法规、标准要求,第二可以切实加强组织对整个信息系统的安全监控能力,完善信息安全技术体系建设。
三、总结
信息安全是一个动态的体系,没有固定的模式,只有可参考的模型,任何企业单位必须了解自身的环境,包括人、业务、应用、网络情况、计算机情况等等信息,经过风险评估与分析后,才能确定需要重点防护的对象,防护的方法,以及可借鉴的安全模型。本文只是从安全事件诞生的前中后,进行了分类,联系了ITIL标准中几个相似的流程进行阐述说明。
企业内网的安全管理方法多种多样,因为每个企业有每个企业自身特点,不能生搬硬套,但是总体原则不能变,就是技术管理并重,安全产品再多,安全策略再强,如果没有好的管理手段,一样漏洞百出;相反,管理制度再完善,如果脱离了安全技术,也是空谈。所以在技术与管理相结合的前提下,进行适度防护,动态调整,才是企业信息安全的立根之本。