策略管理:手動操作vs自動化工具
有兩種方式可以用來制定一個策略管理方案:手動或自動。如果采用前者,使用手動干預的辦法來追蹤策略執行情況,如果采用后者,軟件工具可以用來檢查策略執行情況。
制定一個手動策略管理解決方案的第一步是創建一套可以反映你的策略目標的流程;流程和指導方針將為日常操作提供必要的細節。
一些典型的流程包括防病毒、密碼過期和日志監視。每個流程和指導方針都是對策略具體章節的解釋,而且用作實施和配置具體軟件解決方案的標準。
使用我們的示例流程,通過制定防病毒解決方案在企業內部使用,防病毒策略設定了一個基調。防病毒流程將準確地概括出這個策略是如何執行的,如何解決更新和緊急事件響應這樣的問題。正常情況下,它是通過一個中央控制臺來管理的,防病毒規則被發送到工作站和服務器上。
一個可被接受并使用的策略可以被理解為幾個流程,它們被用來解決電子郵件使用、數據存儲和互聯網使用等問題。一個WEB使用流程概括了雇員允許訪問的網站,執行對訪問的限制所采取的技術,比如WEB內容過濾,以及檢查設備日志的頻率。
另一個例子是微軟的Windows操作系統中的密碼過期設置。如果策略要求復雜密碼,那么指導方針里就會規定密碼的最長生命期,在活動目錄中將被設置成使用密碼的最大生命期。
了解信息安全策略是如何用來創建實用而且可執行的控制的,這一點很容易。但是,這個過程相當費力,有些人必須進行干涉以便使位于不同控制點的數據相關聯,包括防病毒程序、入侵檢測系統、防火墻和認證系統(比如活動目錄)。手動監測策略的執行情況是非常繁瑣的,潛在的問題包括以下內容:
◆防病毒管理控制臺偶爾可能丟失一些服務器或工作站的連接,這樣就會在公司網絡上造成暴露點,檢測這個策略偏離和對它進行糾正可能相當費時。
◆對于內容管理提供商來說,將網站錯誤地進行分類并不是前所未聞的事。舉例來說,巧克力制造商Hershey公司的網站曾經就被錯誤地劃分為色情網站。這樣的錯誤可以導致誤報,而且,如果某個站點根本沒有被分類,就有可能給用戶一個繞過系統的方式。監視這樣的情況是相當費時而且令人沮喪的。另外,管理用戶異常——這些用戶可以繞過過濾系統進行研究——使事情變得更復雜,因為需要跟蹤這些異常行為,來寫合規報告。
◆盡管象活動目錄這樣的系統可以規定用戶必須使用復雜密碼,但用戶也有可能繞過這樣的控制使用一個弱密碼。由此,對于安全管理員來說,不定期地使用密碼破解工具來審計用戶的密碼是非常重要的。
自動化來拯救
在進行手動策略管理時需要花費大量的時間和精力,從這點上看,自動化工具是一個相當有吸引力的選擇,特別是對大企業來說。
在最近幾年里,一些廠商推出了它們的策略管理解決方案,包括Elemental Security、Solsoft和BindView(今年早些時候被Symantec收購)。大部分廠商的產品將管理軟件和策略的創建連接起來,基本上管理者只需要創建策略,軟件會執行它們并檢查策略遵守情況。
Elemental Security公司的策略管理是以主機為中心的,通過網絡將策略實施到服務器和工作站。Solsoft采用以網絡為中心的辦法,通過網絡將策略分到各種網絡設備中。BindView也使用以主機為中心的架構,但也提供了一個附加組件可以輔助撰寫策略,把策略下發到用戶,以及追蹤用戶的接受和異常情況。
自動化工具的工作是將你的安全策略和流程下發,然后在各控制點進行實施。如上所述,一些工具通過控制網絡設備來進行操作,它們將策略轉換成網絡設備(如路由器)的配置條件。通過基于主機的工具,策略被轉換成配置命令。
策略管理產品特別有用的地方是,它們可以為不同的標準提供模板,比如ISO 17799和CobiT,而且可以使用相關的規章來交叉關聯它們。你可以根據提供的模板來為你的機構選擇必要的策略。
策略管理產品的另一個功能是,它可以整合到整個企業中,從不同的數據源得到數據,包括備份、防病毒、內容過濾解決方案、防火墻、操作系統和路由器。這些數據的自動獲取減少了用戶必須篩選的數據總量。一些自動化工具還可以和漏洞管理系統相結合,保證系統更新以及解決突發威脅和零日攻擊。
策略管理工具自動關聯大量不同數據的能力還有利于法規遵守和報告,因為它允許用戶獲取具體法規的遵守情況數據。安全專業人員的主要抱怨是外部、內部審計方和政府監管部門對相同審計相關信息的重復請求。這些工具允許你為不同組織生成定制的報告,而不必為解決類似問題去完成幾次不同的審計。
自動化策略管理工具還能監視違反策略和追蹤異常情況。一個關鍵的益處是所有的報告集中在一個管理控制臺上,這樣就更容易追蹤它們(與手動方式相比)。但是它們畢竟不是真正的主動監視產品——它們不會像火災警報那樣自動工作。但是,Symantec計劃將BindView的產品整合到管理事件技術中;其它工具被設計用來與安全事件管理產品整合。
沒有一個產品是即插即用的——所有產品都需要花時間進行實施;有些甚至要求公司來將他們的策略轉換成一種具體的格式。實施的時間會根據產品以及組織策略狀態的變化而變化。
軟件費用和實施時間是使用自動化工具的兩個主要考慮因素。舉例來說,Elemental Security Platform 2.0大約需要花費3萬5千美,每臺服務器需要花費大約600美元,每臺工作站或筆記本電腦需要花費大約60美元。
哪種方式更好?
無論是手動還是自動化方式,都可以把工作做好,但是它們也有自身的限制。在大型企業里,自動化策略管理工具可以提供極大的幫助,但是對于比較小的企業來說,自動化策略管理工具可能就不太適合了 。
自動化工具可能存在的另一個問題是,它不能為企業制定特制的策略,用戶可以修改公司來適應這些策略。如今,很多自動化產品只能在市場上占用很少份額——無論是基于網絡的還是基于主機的產品。要做到真正有效,一個策略管理解決方案即要用到手動方式還要自動方式。Symantec公司正計劃在它的產品中加入基于網絡的組件來向這個方向邁進。
在日常工作中,策略制定和策略管理是一系列復雜的工作,但是公司必須面對這樣的挑戰,當我們的IT基礎架構變得越來越復雜,威脅越來越多,我們會越來越多地依賴于手動和自動化工具來執行策略和報告執行情況。隨著策略管理產品日漸成熟,我們將看到自動化工具被更好的裝備,從而能全面地處理問題,而且它的價格也會下降至各種公司可以承受的范圍。
可以肯定的是,有效的策略管理在未來會變得更加重要。
【編輯推薦】
