安全談:有效管理是實現(xiàn)內網(wǎng)安全的核心
放之四海:具有通用性的內網(wǎng)安全管理體系
盡管很多時候人們不可遏止地覺得守護目標不讓黑客對其進行攻擊是一件很酷的事情,但是在絕大多數(shù)情況下,安全管理都是建構在規(guī)范和嚴謹之上的一件工作。這其中不但需要正確的應用安全技術,同時也需要前期的規(guī)劃和設計以及后期的運營和支持。在這里我們將嘗試給出一個內網(wǎng)安全管理體系的基本模型,我們希望它具有廣泛和長期的適應性,同時覆蓋內網(wǎng)安全各個主要的問題域。
一般來說,一個內網(wǎng)安全解決方案從形成到正式開始運行,要經(jīng)歷如圖所示的一系列階段。從認識到有需要解決的內網(wǎng)安全問題或者內網(wǎng)存在安全問題開始,首先需要形成一份需求定義文檔。這份需求文檔應由信息安全部門和行政部門的管理人員進行評估,然后表決通過。
在此之后,應根據(jù)需求進行實際內網(wǎng)安全防護體系的構建,這其中通常還可以展開很多子步驟,例如進行安全體系的具體設計等。當一個內網(wǎng)安全體系經(jīng)過評估之后將融合到現(xiàn)有的信息基礎設施當中,同樣地,如果基礎設施發(fā)生變化,相對應的也要進行評估。而在這些工作完成之后,需要對已經(jīng)成型的安全體系進行評價和驗證,以證明其有效性。
如果不存在漏洞和考慮不周之處,該內網(wǎng)安全體系將投產(chǎn)于實際的工作環(huán)境,而后續(xù)的針對應用環(huán)境變更所做出的調整、日常的安全管理、發(fā)生安全事件時的應急響應和支持等工作將會有序地開展。
按部就班:如何操作內網(wǎng)安全管理
從管理目標來說,內網(wǎng)安全所處理的主要問題還是內網(wǎng)中的信息也即數(shù)據(jù)。雖然說Web、電子郵件、即時通信、業(yè)務管理系統(tǒng)等建構在局域網(wǎng)和互聯(lián)網(wǎng)上的應用為企業(yè)帶來了大量的效率提升,但是并不是所有的人都明白這些應用會給企業(yè)的數(shù)據(jù)帶來什么風險,更不知道如何來控制這種風險。
通過對信息進行分級并映射其可能的安全風險,以及在這些安全風險變成現(xiàn)實時可能遭受的損失,在擁有這些基礎素材之后安全管理人員才能開發(fā)出有效的控制措施來將風險降低到可以接受的程度。在形成了完善的信息分級系統(tǒng)之后,組織就可以著手形成自己的基本安全策略。
安全策略除了確認信息作為受保護資產(chǎn)的地位之外,更重要的價值在于規(guī)定當信息依照其所在等級的風險情況應該受到何種程度的保護。而在預期的成本和目標效果的指導之下,安全管理人員應選擇與之相適應的技術和產(chǎn)品來構建安全防護措施。
當然,在一切都被搭建起來之后,還有很多安全管理工作需要被周而復始地執(zhí)行。然而不得不承認的是,很多情況下安全管理人員都直接將構建安全設施作為內網(wǎng)安全管理的起點,同時以很低的效率和很盲目的姿態(tài)來開展后續(xù)的工作,這樣做最可能的結果就是形成一個可能發(fā)生安全事件的內部網(wǎng)絡。從下面提供的一份示例清單中可以看出,這種未經(jīng)足夠準備就開始的安全工作到底遺漏了多少有益的要素。
見招拆招:實例解析內網(wǎng)安全管理
也許在95%的講解內網(wǎng)安全管理的文章中,內網(wǎng)都用來代指與互聯(lián)網(wǎng)相對的局域網(wǎng)絡。但是在實際的安全管理情景中,內網(wǎng)往往還需要被劃分成不同的區(qū)域。有的時候是因為組織業(yè)務的需要,網(wǎng)絡已經(jīng)被進行切割;而有的時候則是為了讓安全體系更加具有層次,所以令不同安全等級的數(shù)據(jù)只能在自己的區(qū)域中流動。
有相當多的技術可以實現(xiàn)網(wǎng)絡隔離,例如防火墻設備、中繼網(wǎng)關、應用代理、三層交換機、VLAN等等。盡管很多企業(yè)都應用低層的物理隔離設備來分割網(wǎng)絡,但是事實上應用最廣泛的仍舊是防火墻類型的設備。而另外一個較為明顯的趨勢是,大部分組織都應用了一種以上的技術或設備來進行網(wǎng)絡區(qū)域的劃分和管理。
然而,如果只是利用這些傳統(tǒng)的、基本的設施來進行網(wǎng)絡隔離管理是相當?shù)托У模埠茈y與數(shù)據(jù)隔離、應用隔離等安全管理手段相互融合。所以更加受到推崇的方式,是在一個統(tǒng)一的管理平臺之下,將面向各種層面和各種方向的防護機能整合起來。
另外,對于那些出現(xiàn)安全問題同時可能對內網(wǎng)其它節(jié)點造成破壞的計算機,整個安全管理體系可以智能識別并將其與內網(wǎng)切斷。這樣的體系可以簡化安全管理員的負擔,甚至每一臺計算機都可以被視為內網(wǎng)中的一個內網(wǎng),管理彈性可見一斑。
【編輯推薦】
