信息安全是一个系统工程,信息存储、数据传输、用户行为、网络基础设施、业务应用方方面面都贯穿了安全的细胞。对企业的IT人员来说,要想把握好信息安全的命脉,就必须从概念到实践掌握其间的联系。
无独有偶,近日美国《Network World》根据其多年的经验,总结出了做信息安全最容易忽视的若干问题。记者发现,其中很多内容和国内用户与厂商在技术实施、应用部署中的经验类似。为此,记者也联络了国内的大型用户和安全厂商,从五大方面总结了企业建设信息安全的重点要素,以飨读者。
第一招:确定安全架构
安全架构是信息安全最重要的蓝图,位列“五绝”之首。往大了说,它确定了企业的总体安全观与各项规章;往小了看,则包含了对存储、传输、边界、子网、用户行为的管理。
什么是安全架构
记者留意到美国《Network World》总结了过去25年间对信息安全的调查报告,其中有一个现象非常有趣:在25年的时间里,大量的企业开展了对安全的关注、投入、资源配置、培训,甚至是开展了相关的认证。但非常不幸,越来越多的企业IT主管表示,每天接触到的IT安全被侵害的现象逐渐增多。
“问题在于,面对统一的且有组织的IT威胁,大部分企业缺乏一个广泛的IT安全架构来应对。”新华人寿的IT经理谈到此问题的时候,感悟颇多。“安全的实施与企业在不同时期的关注重点有关,企业成长阶段,其IT核心在于保证业务的发展,因此安全必然是处于二线位置。而当企业成熟以后,需要对IT与业务进行整合,在这个过程中,安全的重要性才会凸显。”
换句话说,一个企业不仅业务上经历了由小变大的过程,IT安全同样会遵循这样的过程,因此建立一个好的IT安全架构,就是企业走向成熟的标志。
“一个架构代表了一个蓝图,它涵盖了在IT环境中的资源最佳配置与部署,并且其首要目标,就是支持企业的业务运作。相应的,一个安全架构是一种规划,它描述了安全服务作为一个系统,帮助企业满足需求的过程。”
事实上,记者曾经见到过IBM公司的策略与架构部门给国内用户规划过相关的安全架构,他们的分析师曾透露,安全架构的设计原理就是要求贯彻一整套安全服务,并且这种服务的各种行为(包括性能),都是为了去处理针对企业IT环境的各种威胁。
实施的必要条件
一套行之有效的安全架构,可以帮助企业以一种高效的方式应对安全挑战。不过相应的,企业需要考虑以下两点因素:
第一,安全架构必需全面。
早在2年前,光大银行的一位IT负责人就向记者透露过,银行业对于IT安全的重视,并非与生俱来。他们一样经历了从无到有,经历了一个相当相当漫长时期的业务发展与技术支持过程。在这个复杂的过程中,经历了对金融机构各个环节的安全修补与技术考虑,慢慢才形成了今天的接近完整的IT安全架构。
同样的道理,美国《Network World》的安全编辑在阐述此问题的时候,着重强调了安全架构的全面性,甚至他们将企业管理、通信、IT、无线电、员工行为和其他一些自然因素都归结到其中。
显然,IT硬件、网络组件都必须安全。当然,所有的软件同样必须是安全的,并且企业的员工也都是可以信赖的。要知道,根据IDC连续两年的统计,70%(甚至更多)的安全风险都是发源于企业内部。
第二,配套的政策规章。
“政策规章”并非是一个中国特色,它在外企通常被解释为“企业政策说明书”,它描写了如何实现和坚持一个安全架构。之所以把“政策”摆在“规章”的前面,就是因为即便在合适的地方、有适合的安全架构,仍然会存在政策性失败的风险。
需要指出的是,配套完善的政策规章不仅仅是一个企业的内部制度,有些时候,它还必须包含一系列的技术概念。因为很多技术层次上的东西,只有与企业制度相联系,才可以真正确保安全。
记者的看法是,对于技术与规章的结合,美国同行的确比我们高明一些。举例来说,很多美国IT人员认为,一个强壮的安全架构必须以多重边界保护的概念为基础,但同时必须表示出在相关企业中权力划分的思路。说实话,这种思路非常狡猾,不仅仅是因为它分层次的架构,更多是因为分层具备了在权力定义上的优势和企业业务上的不重叠。
安全架构七个区域
事实上,很多企业今天不得不处理大量的IT环境问题,特别是大量增加的与外部供应商和商业合作伙伴的通信联系。每一种环境都需要自己的安全方向,且每一种环境都需要不同的保护方法。
典型的,企业中将会存在非安全区域、半安全区域和全安全区域。对此,深信服的安全负责人叶宜斌向记者表示,一个标准的安全架构包括了:信息存储----文档、各种数据的生产与管理;数据传输----将数据进行各种加密后传输;用户行为----用户上网的记录,可以与禁止访问的资源等;网络基础设施----物理的与运行上的安全;业务应用----各种终端应用中的安全审计与实现。
遗憾的是,目前国内还没有哪家安全厂商,可以将以上标准的各个层面打包成统一的解决方案推荐给用户。事实上,有七成左右的用户还是把精力主要放在信息从内到外的连接安全上。不过幸运地是,这些内容看起来复杂,但还是能够被组织起来,并且被定义、配置为更深层次的六大区域。
[1] [2] [3]
区域一:保护实物资产和网络通信
如果潜在的入侵者有能力去控制一些物理设备或者截取一些信号,那么再怎么多的防火墙、代理服务器或者安全认证机制,都无法保护企业的信息安全。企业局域网、PC和无线设备(不安全的热点、家庭中没有启用加密的无线路由器、某些无线电话、蓝牙设备)都是一些可以被劫取信息的设备。
区域二:保护访问
在这层安全区域中,基础的信任关系与访问权限都要被验证,并且经常会需要提供一个类似仲裁的功能。其中,很多企业选择建设信任仓库。因为信任仓库可以与企业的中央AD(目录服务)结合在一起,从而实现单点登陆。
叶宜宾认为,这种模式构造了一个更加安全的区域,它超越了防火墙的DMZ和通过代理服务器访问的模式。企业的IPS可以运行在这个环境中,以便处理可能发生的入侵。
区域三: 保护内部数据存储
该区域贯彻了深度防御原则,并且比起前面的区域来说,通过大量使用防火墙和安全网关增加了更多的保护。安全认证功能创造了一些内部安全空间,这些空间中存放着公司敏感记录、数据库、目录服务、信任/身份认证管理仓库,以及一些其他的受到保护的资料。IDS或者IPS也可以在这个环境中运行,以便处理可能的入侵行为。
区域四:保护应用
大量的企业级应用拥有其自身的应用级安全功能。然而,这些应用不能复制信任/认证管理仓库,只能依靠一个集中的企业目录服务。
区域五:保护操作系统
主要的操作系统拥有其自身的安全功能来保护中间件,包括各种微码和EXE程序。不过,很多入侵都与操作系统的漏洞有关,这点需要国内企业的IT人员留意,因为很多中文版操作系统的安全系统补丁都会比英文版慢上一段时间。
区域六:保护静止数据
企业数据当被传输和被存储在一些磁盘驱动器上的时候,它应该被加密。这里边涵盖了RAID系统、磁带或者虚拟磁带。需要注意的是,有些企业的员工发生过笔记本电脑丢失,出现信息风险的情况。这时候,很多加密手段就会形同虚设了。
第二招:关注安全培训
一套完整且详细的安全培训,可以帮助企业的IT人员明白:企业的哪些业务需要保护,需要投入什么样的资源,什么样的成本可以接受,这要比学习某种安全工具对企业更有益处。
去年九月份,在美国《Network World》对全美200位CIO进行的一次调查中,记者清楚地记得,超过半数的CIO表示,如果企业的员工(不仅仅是IT人员)缺乏在安全原则和政策上的培训,那么仅仅通过购买产品,很多时候是无法帮助企业做好信息安全的。
对此,很多国内用户表示认同。在两个月前,记者奔赴大连采访的时候,大连瓦房店轴承集团的IT负责人曾向记者表示,信息安全不像一个数据库或者文件服务器,企业IT人员只要去购买并且安装就可以实现。他认为,只有当企业建立了完善的政策,并且完成了对企业人员的安全培训,信息安全才会有可能实现。而接下来才是选择产品,并通过相关设置来确保设备有效工作。毕竟在把账号密码贴在显示器上的企业里,是没有信息安全可言的。
不过,这样做就足够了么?美国人非常幽默,他们的IT经理常常自嘲:“没有人会把干酪和鸡蛋交给一个没有被培训过的人,然后等待他给你端上热腾腾的蛋糕。”可惜的是,相当多的美国企业就是这么干的。
其实国内一些企业同样存在类似的问题,其中不乏一些国有大型企业:很多人认为,只要在硬件和软件上保证足够的投入----拿来一个硬件平台,插入需要的应用,就可以获得安全。
不幸的是,这样根不起作用。太平人寿的一位前IT经理向记者表示,很多企业的IT人员一样缺乏训练且没有安全的基本原则,仅仅使用拼凑出来的安全产品将不会带来好处,企业将会无果而终。
对于不好的案例,中美都有不少。去年《Network World》的调查显示,一些没有受过良好培训的IT员工出现在了企业的关键岗位上,更糟糕的是,他们经常作出一些糟糕的决策,以至于在很多并不需要的产品上浪费金钱,而且经常把他们拥有的产品错误地使用,甚至跳过其中的关键步骤,比如策略配置,并且
几乎不把安全技术对准在企业的业务上。
事实上,这里边反映了技术人员与业务人员的思路差异。叶宜斌的看法是,大部分技术人员对于公司的业务缺乏透彻的了解,这导致了缺乏对于企业员工行为的了解。据他曾经实施过安全方案的制造业用户来看,不少企业的业务人员在日常工作期间,会大量进行与业务无关的或者降低工作效率的IT应用,比如QQ、BBS、滥发邮件。而这些企业的技术人员,往往把主要精力花费在从外到内的安全威胁保护上,包括监控防火墙、设置防DOS攻击措施等。对于上述应用,包括一些容易导致信息泄漏的情况,都没有做到严格的控制与把关。
[1] [2] [3]
就像此前美国可口可乐公司和华为公司的泄密事件,主要原因就在于IT人员没有意识到内部安全管理的重要性,放松了对互联网信息泄露的关注,甚至在公网上传输的文档都没有进行加密。
“以前没有意识的行为,对安全造成了极大挑战。最近一年多,情况有所好转,因为不少企业开始关注安全培训,其中对于安全意识的培养极其重要,而IT部门亟需转变的,就是把技术对准需要保护的应用”叶宜斌如是说。
美国人很有意思,他们很多IT人员经常会踌躇满志地在BBS上发贴抱怨:面对上述的偏差,企业IT团队中没有人具有专家的眼光,没有人可以整合看问题。但外人看来,他们自己不就是IT专家的代表么?
为了扭转类似的问题,企业的IT部门需要三种培训。第一是产品的细节培训。应当与主要的新产品配合,但是这仅仅是一个开始。如果IT人员都不知道什么是SYN flood,那么指导如何在一个防火墙上设置SYN flood保护也完全没有必要。
第二种培训是在网络和安全结合后的产物。一些基础的技术,如TCP/IP、加密算法、VPN和状态防火墙都需要被IT安全人员良好地掌握。而一些在网络和数学方面拥有良好基础的人,公司最好给他们提供高级的技术培训机会。
第三种安全培训是从业务中学习安全,这是最难实现的。IT人员需要掌握全局的业务需求,并且能够翻译这些需求成为安全策略。换句话说,仅仅认识什么是SYN flood和如何防御是远远不够的。IT人员必须明白什么样的资产需要保护,怎么去平衡风险和花费。
另外,IT人员不要过分依赖搜索引擎。虽然它可以帮助IT人员寻找技术上的答案,但往往会让人从一个问题陷入到另一个问题。毕竟通过搜索引擎来寻找一个阐述SHA-1与MD5区别的声音,和理解这些区别是不一样的。同样的道理,企业应用的不同点和如何产生不同点也是不一样的。
(出处:http://www.sheup.com/)