信息安全正在不斷地從“單一防護(hù)”轉(zhuǎn)向“整體防護(hù)”。當(dāng)安全系統(tǒng)的復(fù)雜程度不斷提高的時候,客戶需要更加集成的管理技術(shù),利用單一控制中心和代理平臺來整合和集中管理安全系統(tǒng)的所有組件。
為了讓用戶能夠更好地了解安全管理技術(shù)的脈絡(luò),本報邀請到了McAfee、聯(lián)想網(wǎng)御、神州數(shù)碼網(wǎng)絡(luò)、深信服、天融信、衛(wèi)士通、網(wǎng)御神州的安全專家。同時還邀請了國家發(fā)改委、新華人壽集團(tuán)、大眾汽車、河南省稅務(wù)局的IT負(fù)責(zé)人,一起分享部署與應(yīng)用安全管理技術(shù)的經(jīng)驗。
用戶的期待
從2005年至今,隨著越來越多企業(yè)用戶對于安全的關(guān)注,特別是以UTM技術(shù)為突破的整合安全網(wǎng)關(guān)得到了用戶的接受,客觀上促進(jìn)了各種安全管理技術(shù)的崛起。就像記者反復(fù)談了兩年多的安全管理和當(dāng)初的網(wǎng)絡(luò)管理,其思路與手段是比較類似的,這決定了其市場發(fā)展的特點(diǎn):漸進(jìn)而非速成。
天融信安全產(chǎn)品經(jīng)理王彥平向記者透露,他很早就注意到,隨著UTM的出現(xiàn),造就了大量中小企業(yè)對于統(tǒng)一管理、集中管理的認(rèn)識,他們理解了管理與安全的聯(lián)系,而這在無意中推動了安全管理技術(shù)的發(fā)展。
不過,記者并不認(rèn)同所謂的將網(wǎng)絡(luò)管理中的NOC依葫蘆畫瓢的去勾勒出安全管理中的SOC。雖然有廠商提出了SOC的理念,但這個觀點(diǎn)在國際上也是沒有成型。道理很簡單,正如McAfee安全產(chǎn)品經(jīng)理陳綱所講的,網(wǎng)絡(luò)有標(biāo)準(zhǔn)的SNMP協(xié)議,為統(tǒng)一管理打下了基礎(chǔ),可安全什么也沒有。記者很難想象,在缺乏統(tǒng)一接口、規(guī)范、甚至是協(xié)議的情況下,統(tǒng)一的管理標(biāo)準(zhǔn)可以建立。
當(dāng)然,這并不意味著安全管理技術(shù)無法實(shí)現(xiàn)。恰恰相反,大量用戶的期待已經(jīng)為技術(shù)指明了方向。衛(wèi)士通公司副總經(jīng)理譚興烈在接受記者采訪時表示,大量用戶都需要能夠?qū)π畔⑾到y(tǒng)中所有設(shè)備—終端、主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備,以及各種系統(tǒng)—操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)軟件、應(yīng)用系統(tǒng)的運(yùn)行情況進(jìn)行實(shí)時監(jiān)視和控制。在此基礎(chǔ)上,用戶還需要統(tǒng)一定制、部署及實(shí)施信息系統(tǒng)的安全策略,包括及時預(yù)警并處理信息系統(tǒng)發(fā)生的各種安全事件。這意味著,通過安全管理技術(shù),用戶可以將整個系統(tǒng)中的所有安全設(shè)備組合成統(tǒng)一的防護(hù)系統(tǒng)。
不難看出,安全管理技術(shù)將不再是一個技術(shù)點(diǎn)或者單一產(chǎn)品,它將成為一個嚴(yán)格而細(xì)致的技術(shù)體系。神州數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理王景輝透露說,在目前階段,一個標(biāo)準(zhǔn)的安全管理技術(shù)至少要包含四部分內(nèi)容:對信息系統(tǒng)的網(wǎng)絡(luò)監(jiān)控管理;對信息系統(tǒng)中安全設(shè)備的監(jiān)控管理;對信息系統(tǒng)中桌面系統(tǒng)的監(jiān)控管理;對信息系統(tǒng)的安全事件管理。
可以確定的是,在這個復(fù)雜的技術(shù)體系中,傳統(tǒng)的安全基礎(chǔ)設(shè)施基本上“一個都不能少”。國家發(fā)改委的IT負(fù)責(zé)人在接受記者采訪時表示,他們近期剛剛開始了基于全網(wǎng)、全系統(tǒng)的安全管理系統(tǒng)建設(shè),從實(shí)際的經(jīng)驗看,防火墻、IDS、反病毒、甚至是UTM這些產(chǎn)品都可以為正在構(gòu)建的管理平臺提供基礎(chǔ)信息源,而這也是安全管理技術(shù)不可缺少的條件。
建設(shè)導(dǎo)向型技術(shù)
前面講了,安全管理是一個復(fù)雜的結(jié)合體,這就決定了其技術(shù)脈絡(luò)的多種形式。
對此,譚興烈介紹說,當(dāng)前的安全管理技術(shù)呈現(xiàn)平臺化趨勢,因為每個企業(yè)的信息系統(tǒng)都有自己的特點(diǎn),網(wǎng)絡(luò)拓?fù)洳煌渴鸬脑O(shè)備不同,安全要求也不相同,所以提供一個適合于各種信息系統(tǒng)的安全管理系統(tǒng)是不現(xiàn)實(shí)的。因此需要提供一個統(tǒng)一的基礎(chǔ)平臺,再根據(jù)各信息系統(tǒng)的需要進(jìn)行適應(yīng)性的開發(fā)和策略部署。
目前,主流的安全管理技術(shù)體系分成國內(nèi)、國外兩大派別。其中國內(nèi)派以聯(lián)想網(wǎng)御、神州數(shù)碼網(wǎng)絡(luò)、天融信、網(wǎng)御神州為代表。對此王景輝向記者透露,一般國內(nèi)派別都以用戶的建設(shè)部署為導(dǎo)向,習(xí)慣于將安全管 理技術(shù)分成三個層次。
第一層,安全監(jiān)控SNI。在這個層次中,主要是對整個網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控,確保網(wǎng)絡(luò)的可靠性與可用性。
第二層,安全信息管理SIM。在這個層次中,安全管理系統(tǒng)會把所有企業(yè)的IT信息,包括超越業(yè)務(wù)運(yùn)行的一些管理信息全部收集,進(jìn)行規(guī)劃、關(guān)聯(lián)分析、整合,最后出示可視化報告,或者進(jìn)行一些應(yīng)急響應(yīng)處理。
第三層,安全決策管理SDM,這是三個技術(shù)層次中最高端的。王景輝認(rèn)為,SNI和SIM是偏重底層基礎(chǔ)信息收集,強(qiáng)調(diào)技術(shù)手段,找到信息,發(fā)現(xiàn)內(nèi)外部威脅。而SDM則是加入企業(yè)級別信息,比如對重要的信息系統(tǒng)進(jìn)行分級,區(qū)分哪些重要,哪些不是很重要。即使是兩個面臨同樣威脅的機(jī)器,受控于不同的重要性評級,處理的方式也會不同。換句話說,這個層次要求SDM要與企業(yè)的業(yè)務(wù)相結(jié)合,比如進(jìn)行資產(chǎn)的管理、風(fēng)險評估,把弱點(diǎn)信息、SIM中發(fā)現(xiàn)的威脅信息結(jié)合起來,逐步形成一個評估報告,同時還要進(jìn)行應(yīng)急響應(yīng)、企業(yè)的安全政策管理,甚至是發(fā)布安全策略、安全演練等工作。
需要指出的是,這三個層次并非孤立存在。網(wǎng)御神州安全管理產(chǎn)品經(jīng)理葉鵬表示,所有安全管理的對象都是企業(yè)的IT計算環(huán)境。這個IT計算環(huán)境涵蓋了網(wǎng)絡(luò)設(shè)備主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、安全設(shè)備。而在此基礎(chǔ)上的安全管理才更加有效。
事實(shí)上,以上三個技術(shù)層次并非單一的安全產(chǎn)品。譚興烈介紹說,目前業(yè)內(nèi)通行的做法是,將三種技術(shù)打包成一個統(tǒng)一的基礎(chǔ)架構(gòu),稱之為安全管理平臺。這個平臺類似于企業(yè)常用的中間件,它把所有的監(jiān)控、采集、分析全部都融入進(jìn)去,并提供標(biāo)準(zhǔn)的安全服務(wù)接口,提供給用戶具體的軟件使用。
據(jù)悉,像神州數(shù)碼網(wǎng)絡(luò)、網(wǎng)御神州、衛(wèi)士通等企業(yè)已經(jīng)根據(jù)平臺架構(gòu)開發(fā)了三種功能產(chǎn)品。而新華人壽集團(tuán)的IT負(fù)責(zé)人指出,作為大型企業(yè),他們對于安全管理情有獨(dú)鐘。而靈活的功能配置,可以讓企業(yè)用戶根據(jù)需要進(jìn)行采購。對此,王景輝也表示,即使用戶將三個模塊全部用到,整個安裝和使用過程也都是在一個技術(shù)平臺上,因此不會帶來額外開銷。
風(fēng)險導(dǎo)向型技術(shù)
細(xì)心的讀者會發(fā)現(xiàn),三個技術(shù)層次看上去更像建設(shè)安全管理平臺的三個步驟。事實(shí)上,這種思路確實(shí)具有容易實(shí)施的特點(diǎn),但在邏輯縝密性上,似乎有進(jìn)一步突破的余地。對此,陳剛的看法是,他們從用戶最根本的需求入手—量化風(fēng)險、降低風(fēng)險—以此為出發(fā)點(diǎn),設(shè)計了基于風(fēng)險管控的安全風(fēng)險管理SRM模型。
同樣,SRM也是一個龐大的整體,而且其復(fù)雜性似乎更高。目前,基于SRM的安全管理技術(shù)同樣包括了三個層次。
第一層,完善的安全基礎(chǔ)設(shè)施。這一點(diǎn)和國產(chǎn)廠商提出的SNI比較類似,都強(qiáng)調(diào)企業(yè)用戶必須要有基礎(chǔ)的防御手段。
第二層,在法律法規(guī)符合性方面進(jìn)行風(fēng)險評估,并將遵從性意見報告與評估結(jié)果呈現(xiàn)給企業(yè)用戶。事實(shí)上,這一層是很多國際上從事安全管理技術(shù)研發(fā)的廠家比較關(guān)注的。特別是隨著薩班斯法案公布以來,越來越多規(guī)范上市公司行為的法律法規(guī)都將對企業(yè)的管理、財務(wù)提出要求,其中勢必涉及到對IT系統(tǒng)的安全要求。
第三層,利用統(tǒng)一的技術(shù),實(shí)現(xiàn)將前兩層從上到下串聯(lián)在一起。對于這一點(diǎn),陳剛解釋說,傳統(tǒng)上單獨(dú)的安全技術(shù),或者單一的法律法規(guī)之間,都是空洞且沒有聯(lián)系的。根據(jù)經(jīng)驗,很多用戶需要一種手段,把防御手段與法律法規(guī)或者企業(yè)要求的東西結(jié)合在一起,統(tǒng)一進(jìn)行管理。換句話說,這種技術(shù)產(chǎn)生的結(jié)果,就不是簡單地生成決策意見,而是需要直接調(diào)動具體的防御設(shè)備,幫助用戶作出防御動作。
據(jù)悉,采用基于風(fēng)險架構(gòu)的安全管理技術(shù),突出的優(yōu)勢是可以獲得強(qiáng)大的內(nèi)部審計效果。記者了解到,大眾汽車目前是在全球范圍內(nèi)實(shí)現(xiàn)基于SRM安全管理的企業(yè)。而大眾汽車北京總部的IT人員透露,他們在上安全管理技術(shù)之初,恰恰考慮的就是風(fēng)險管控。他們多年來都是從兩個方面考慮問題,一個是安全的檢測能力,包括涵蓋上海大眾和一汽大眾的內(nèi)部數(shù)據(jù)收集;另一個就是在此基礎(chǔ)上,對企業(yè)策略進(jìn)行控制。即在業(yè)務(wù)不出問題的情況下,符合中國和國際的法律要求、審計要求,并通過多種安全產(chǎn)品整合實(shí)現(xiàn)統(tǒng)一管理。
關(guān)注技術(shù)控制
目前主流的安全管理技術(shù)分為旁路與在線兩種。對此,葉鵬介紹說,一般安全管理平臺都具備實(shí)時監(jiān)控、定期輪訓(xùn)、周期掃描等分析模式,其中涉及到一些行為監(jiān)控部分,可以采用旁路技術(shù),通常都是利用專門的硬件在交換機(jī)邊上進(jìn)行行為采集,送到管理平臺進(jìn)行分析。如果分析出威脅,可以支持采取行動。
王彥平認(rèn)為,在具體行動的時候,可以通過平臺自己實(shí)現(xiàn),也可以與其他廠商的產(chǎn)品進(jìn)行協(xié)同。而王景輝也表示,采用在線模式的時候,可以通過SIM或者SNI實(shí)現(xiàn),發(fā)現(xiàn)問題就可以通知防火墻或類似產(chǎn)品去實(shí)現(xiàn)阻斷,基于802.1x實(shí)現(xiàn)總的協(xié)同調(diào)動。
另外,譚興烈也表示,在IDS提出報警之后,安全管理系統(tǒng)首先會對這些事件進(jìn)行存儲;然后對這些報告事件進(jìn)行綜合分析,找到信息系統(tǒng)的主要事件源;同時安全管理系統(tǒng)會將整個系統(tǒng)的事件進(jìn)行優(yōu)先排隊;最后啟動事件處理機(jī)制對事件進(jìn)行處理。
同時,他也進(jìn)一步提出,安全管理技術(shù)可以對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控。一般情況下,安全管理系統(tǒng)具有網(wǎng)絡(luò)管理的模塊,如果信息系統(tǒng)中沒有安裝網(wǎng)絡(luò)管理系統(tǒng),可以利用安全管理系統(tǒng)的網(wǎng)絡(luò)管理功能對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管和控制;對于已經(jīng)安裝了網(wǎng)絡(luò)管理的信息系統(tǒng),安全管理系統(tǒng)可以通過對網(wǎng)管系統(tǒng)進(jìn)行管理和控制,從而對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管與控制。安全管理系統(tǒng)可以與各種網(wǎng)絡(luò)準(zhǔn)入與全網(wǎng)安全系統(tǒng)進(jìn)行整合。
在安全管理是否要對企業(yè)上網(wǎng)行為進(jìn)行監(jiān)控的問題上,深信服的安全產(chǎn)品經(jīng)理鄔迪堅定地表示,安全管理必須包括從內(nèi)到外的安全審計與外發(fā)信息監(jiān)控。他認(rèn)為,當(dāng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建立完畢以后,用戶會不可避免地面對從內(nèi)到外的問題,比如一些內(nèi)部用戶使用一些內(nèi)部應(yīng)用,或者BT、QQ、MSN等P2P應(yīng)用,都容易把外部的安全隱患帶入內(nèi)網(wǎng),最常見的就是下載文件導(dǎo)致內(nèi)網(wǎng)病毒泛濫。
不過由于用戶的安全產(chǎn)品大部分五花八門,因此在信息收集與控制上仍舊存在諸多不便。陳剛認(rèn)為,衡量安全管理技術(shù)的條件之一,就是看廠商對于主流安全設(shè)備的信息匯總能力。
舉例來看,某天微軟發(fā)布了新的漏洞,或者安全設(shè)備掃描出來機(jī)器上存在一個新的漏洞,那么系統(tǒng)就可以自動要求IPS對這個漏洞進(jìn)行防御,對這個漏洞進(jìn)行阻擋。
記者在采訪過程中越發(fā)覺得,今后安全管理的發(fā)展趨勢,特別是對內(nèi)的行為監(jiān)控部分,很可能是向著旁路方向發(fā)展。在這一點(diǎn)上,王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設(shè)備都是作串接的,但是對很多大型企業(yè)來說,其網(wǎng)絡(luò)出口上已經(jīng)有不少設(shè)備了,因此很多用戶擔(dān)心性能與單點(diǎn)故障。雖然在旁路的情況下,控制方面的效果不如在線模式,但是審計功能可以很好地實(shí)現(xiàn)。比如URL訪問、郵件審計、IM管理等,發(fā)現(xiàn)信息后都可以采取記錄形式,個別可以通過控制列表阻攔。王景輝認(rèn)為,在安全管理技術(shù)上,采用軟件的企業(yè)越來越多,畢竟實(shí)現(xiàn)方式比較完整,但軟件大都是采用旁路技術(shù)。
風(fēng)險導(dǎo)向型技術(shù)
細(xì)心的讀者會發(fā)現(xiàn),三個技術(shù)層次看上去更像建設(shè)安全管理平臺的三個步驟。事實(shí)上,這種思路確實(shí)具有容易實(shí)施的特點(diǎn),但在邏輯縝密性上,似乎有進(jìn)一步突破的余地。對此,陳剛的看法是,他們從用戶最根本的需求入手—量化風(fēng)險、降低風(fēng)險—以此為出發(fā)點(diǎn),設(shè)計了基于風(fēng)險管控的安全風(fēng)險管理SRM模型。
同樣,SRM也是一個龐大的整體,而且其復(fù)雜性似乎更高。目前,基于SRM的安全管理技術(shù)同樣包括了三個層次。
第一層,完善的安全基礎(chǔ)設(shè)施。這一點(diǎn)和國產(chǎn)廠商提出的SNI比較類似,都強(qiáng)調(diào)企業(yè)用戶必須要有基礎(chǔ)的防御手段。
第二層,在法律法規(guī)符合性方面進(jìn)行風(fēng)險評估,并將遵從性意見報告與評估結(jié)果呈現(xiàn)給企業(yè)用戶。事實(shí)上,這一層是很多國際上從事安全管理技術(shù)研發(fā)的廠家比較關(guān)注的。特別是隨著薩班斯法案公布以來,越來越多規(guī)范上市公司行為的法律法規(guī)都將對企業(yè)的管理、財務(wù)提出要求,其中勢必涉及到對IT系統(tǒng)的安全要求。
第三層,利用統(tǒng)一的技術(shù),實(shí)現(xiàn)將前兩層從上到下串聯(lián)在一起。對于這一點(diǎn),陳剛解釋說,傳統(tǒng)上單獨(dú)的安全技術(shù),或者單一的法律法規(guī)之間,都是空洞且沒有聯(lián)系的。根據(jù)經(jīng)驗,很多用戶需要一種手段,把防御手段與法律法規(guī)或者企業(yè)要求的東西結(jié)合在一起,統(tǒng)一進(jìn)行管理。換句話說,這種技術(shù)產(chǎn)生的結(jié)果,就不是簡單地生成決策意見,而是需要直接調(diào)動具體的防御設(shè)備,幫助用戶作出防御動作。
據(jù)悉,采用基于風(fēng)險架構(gòu)的安全管理技術(shù),突出的優(yōu)勢是可以獲得強(qiáng)大的內(nèi)部審計效果。記者了解到,大眾汽車目前是在全球范圍內(nèi)實(shí)現(xiàn)基于SRM安全管理的企業(yè)。而大眾汽車北京總部的IT人員透露,他們在上安全管理技術(shù)之初,恰恰考慮的就是風(fēng)險管控。他們多年來都是從兩個方面考慮問題,一個是安全的檢測能力,包括涵蓋上海大眾和一汽大眾的內(nèi)部數(shù)據(jù)收集;另一個就是在此基礎(chǔ)上,對企業(yè)策略進(jìn)行控制。即在業(yè)務(wù)不出問題的情況下,符合中國和國際的法律要求、審計要求,并通過多種安全產(chǎn)品整合實(shí)現(xiàn)統(tǒng)一管理。
關(guān)注技術(shù)控制
目前主流的安全管理技術(shù)分為旁路與在線兩種。對此,葉鵬介紹說,一般安全管理平臺都具備實(shí)時監(jiān)控、定期輪訓(xùn)、周期掃描等分析模式,其中涉及到一些行為監(jiān)控部分,可以采用旁路技術(shù),通常都是利用專門的硬件在交換機(jī)邊上進(jìn)行行為采集,送到管理平臺進(jìn)行分析。如果分析出威脅,可以支持采取行動。
王彥平認(rèn)為,在具體行動的時候,可以通過平臺自己實(shí)現(xiàn),也可以與其他廠商的產(chǎn)品進(jìn)行協(xié)同。而王景輝也表示,采用在線模式的時候,可以通過SIM或者SNI實(shí)現(xiàn),發(fā)現(xiàn)問題就可以通知防火墻或類似產(chǎn)品去實(shí)現(xiàn)阻斷,基于802.1x實(shí)現(xiàn)總的協(xié)同調(diào)動。
另外,譚興烈也表示,在IDS提出報警之后,安全管理系統(tǒng)首先會對這些事件進(jìn)行存儲;然后對這些報告事件進(jìn)行綜合分析,找到信息系統(tǒng)的主要事件源;同時安全管理系統(tǒng)會將整個系統(tǒng)的事件進(jìn)行優(yōu)先排隊;最后啟動事件處理機(jī)制對事件進(jìn)行處理。
同時,他也進(jìn)一步提出,安全管理技術(shù)可以對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控。一般情況下,安全管理系統(tǒng)具有網(wǎng)絡(luò)管理的模塊,如果信息系統(tǒng)中沒有安裝網(wǎng)絡(luò)管理系統(tǒng),可以利用安全管理系統(tǒng)的網(wǎng)絡(luò)管理功能對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管和控制;對于已經(jīng)安裝了網(wǎng)絡(luò)管理的信息系統(tǒng),安全管理系統(tǒng)可以通過對網(wǎng)管系統(tǒng)進(jìn)行管理和控制,從而對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管與控制。安全管理系統(tǒng)可以與各種網(wǎng)絡(luò)準(zhǔn)入與全網(wǎng)安全系統(tǒng)進(jìn)行整合。
在安全管理是否要對企業(yè)上網(wǎng)行為進(jìn)行監(jiān)控的問題上,深信服的安全產(chǎn)品經(jīng)理鄔迪堅定地表示,安全管理必須包括從內(nèi)到外的安全審計與外發(fā)信息監(jiān)控。他認(rèn)為,當(dāng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建立完畢以后,用戶會不可避免地面對從內(nèi)到外的問題,比如一些內(nèi)部用戶使用一些內(nèi)部應(yīng)用,或者BT、QQ、MSN等P2P應(yīng)用,都容易把外部的安全隱患帶入內(nèi)網(wǎng),最常見的就是下載文件導(dǎo)致內(nèi)網(wǎng)病毒泛濫。
不過由于用戶的安全產(chǎn)品大部分五花八門,因此在信息收集與控制上仍舊存在諸多不便。陳剛認(rèn)為,衡量安全管理技術(shù)的條件之一,就是看廠商對于主流安全設(shè)備的信息匯總能力。
舉例來看,某天微軟發(fā)布了新的漏洞,或者安全設(shè)備掃描出來機(jī)器上存在一個新的漏洞,那么系統(tǒng)就可以自動要求IPS對這個漏洞進(jìn)行防御,對這個漏洞進(jìn)行阻擋。
記者在采訪過程中越發(fā)覺得,今后安全管理的發(fā)展趨勢,特別是對內(nèi)的行為監(jiān)控部分,很可能是向著旁路方向發(fā)展。在這一點(diǎn)上,王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設(shè)備都是作串接的,但是對很多大型企業(yè)來說,其網(wǎng)絡(luò)出口上已經(jīng)有不少設(shè)備了,因此很多用戶擔(dān)心性能與單點(diǎn)故障。雖然在旁路的情況下,控制方面的效果不如在線模式,但是審計功能可以很好地實(shí)現(xiàn)。比如URL訪問、郵件審計、IM管理等,發(fā)現(xiàn)信息后都可以采取記錄形式,個別可以通過控制列表阻攔。王景輝認(rèn)為,在安全管理技術(shù)上,采用軟件的企業(yè)越來越多,畢竟實(shí)現(xiàn)方式比較完整,但軟件大都是采用旁路技術(shù)。
風(fēng)險導(dǎo)向型技術(shù)
細(xì)心的讀者會發(fā)現(xiàn),三個技術(shù)層次看上去更像建設(shè)安全管理平臺的三個步驟。事實(shí)上,這種思路確實(shí)具有容易實(shí)施的特點(diǎn),但在邏輯縝密性上,似乎有進(jìn)一步突破的余地。對此,陳剛的看法是,他們從用戶最根本的需求入手—量化風(fēng)險、降低風(fēng)險—以此為出發(fā)點(diǎn),設(shè)計了基于風(fēng)險管控的安全風(fēng)險管理SRM模型。
同樣,SRM也是一個龐大的整體,而且其復(fù)雜性似乎更高。目前,基于SRM的安全管理技術(shù)同樣包括了三個層次。
第一層,完善的安全基礎(chǔ)設(shè)施。這一點(diǎn)和國產(chǎn)廠商提出的SNI比較類似,都強(qiáng)調(diào)企業(yè)用戶必須要有基礎(chǔ)的防御手段。
第二層,在法律法規(guī)符合性方面進(jìn)行風(fēng)險評估,并將遵從性意見報告與評估結(jié)果呈現(xiàn)給企業(yè)用戶。事實(shí)上,這一層是很多國際上從事安全管理技術(shù)研發(fā)的廠家比較關(guān)注的。特別是隨著薩班斯法案公布以來,越來越多規(guī)范上市公司行為的法律法規(guī)都將對企業(yè)的管理、財務(wù)提出要求,其中勢必涉及到對IT系統(tǒng)的安全要求。
第三層,利用統(tǒng)一的技術(shù),實(shí)現(xiàn)將前兩層從上到下串聯(lián)在一起。對于這一點(diǎn),陳剛解釋說,傳統(tǒng)上單獨(dú)的安全技術(shù),或者單一的法律法規(guī)之間,都是空洞且沒有聯(lián)系的。根據(jù)經(jīng)驗,很多用戶需要一種手段,把防御手段與法律法規(guī)或者企業(yè)要求的東西結(jié)合在一起,統(tǒng)一進(jìn)行管理。換句話說,這種技術(shù)產(chǎn)生的結(jié)果,就不是簡單地生成決策意見,而是需要直接調(diào)動具體的防御設(shè)備,幫助用戶作出防御動作。
據(jù)悉,采用基于風(fēng)險架構(gòu)的安全管理技術(shù),突出的優(yōu)勢是可以獲得強(qiáng)大的內(nèi)部審計效果。記者了解到,大眾汽車目前是在全球范圍內(nèi)實(shí)現(xiàn)基于SRM安全管理的企業(yè)。而大眾汽車北京總部的IT人員透露,他們在上安全管理技術(shù)之初,恰恰考慮的就是風(fēng)險管控。他們多年來都是從兩個方面考慮問題,一個是安全的檢測能力,包括涵蓋上海大眾和一汽大眾的內(nèi)部數(shù)據(jù)收集;另一個就是在此基礎(chǔ)上,對企業(yè)策略進(jìn)行控制。即在業(yè)務(wù)不出問題的情況下,符合中國和國際的法律要求、審計要求,并通過多種安全產(chǎn)品整合實(shí)現(xiàn)統(tǒng)一管理。
關(guān)注技術(shù)控制
目前主流的安全管理技術(shù)分為旁路與在線兩種。對此,葉鵬介紹說,一般安全管理平臺都具備實(shí)時監(jiān)控、定期輪訓(xùn)、周期掃描等分析模式,其中涉及到一些行為監(jiān)控部分,可以采用旁路技術(shù),通常都是利用專門的硬件在交換機(jī)邊上進(jìn)行行為采集,送到管理平臺進(jìn)行分析。如果分析出威脅,可以支持采取行動。
王彥平認(rèn)為,在具體行動的時候,可以通過平臺自己實(shí)現(xiàn),也可以與其他廠商的產(chǎn)品進(jìn)行協(xié)同。而王景輝也表示,采用在線模式的時候,可以通過SIM或者SNI實(shí)現(xiàn),發(fā)現(xiàn)問題就可以通知防火墻或類似產(chǎn)品去實(shí)現(xiàn)阻斷,基于802.1x實(shí)現(xiàn)總的協(xié)同調(diào)動。
另外,譚興烈也表示,在IDS提出報警之后,安全管理系統(tǒng)首先會對這些事件進(jìn)行存儲;然后對這些報告事件進(jìn)行綜合分析,找到信息系統(tǒng)的主要事件源;同時安全管理系統(tǒng)會將整個系統(tǒng)的事件進(jìn)行優(yōu)先排隊;最后啟動事件處理機(jī)制對事件進(jìn)行處理。
同時,他也進(jìn)一步提出,安全管理技術(shù)可以對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控。一般情況下,安全管理系統(tǒng)具有網(wǎng)絡(luò)管理的模塊,如果信息系統(tǒng)中沒有安裝網(wǎng)絡(luò)管理系統(tǒng),可以利用安全管理系統(tǒng)的網(wǎng)絡(luò)管理功能對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管和控制;對于已經(jīng)安裝了網(wǎng)絡(luò)管理的信息系統(tǒng),安全管理系統(tǒng)可以通過對網(wǎng)管系統(tǒng)進(jìn)行管理和控制,從而對企業(yè)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管與控制。安全管理系統(tǒng)可以與各種網(wǎng)絡(luò)準(zhǔn)入與全網(wǎng)安全系統(tǒng)進(jìn)行整合。
在安全管理是否要對企業(yè)上網(wǎng)行為進(jìn)行監(jiān)控的問題上,深信服的安全產(chǎn)品經(jīng)理鄔迪堅定地表示,安全管理必須包括從內(nèi)到外的安全審計與外發(fā)信息監(jiān)控。他認(rèn)為,當(dāng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建立完畢以后,用戶會不可避免地面對從內(nèi)到外的問題,比如一些內(nèi)部用戶使用一些內(nèi)部應(yīng)用,或者BT、QQ、MSN等P2P應(yīng)用,都容易把外部的安全隱患帶入內(nèi)網(wǎng),最常見的就是下載文件導(dǎo)致內(nèi)網(wǎng)病毒泛濫。
不過由于用戶的安全產(chǎn)品大部分五花八門,因此在信息收集與控制上仍舊存在諸多不便。陳剛認(rèn)為,衡量安全管理技術(shù)的條件之一,就是看廠商對于主流安全設(shè)備的信息匯總能力。
舉例來看,某天微軟發(fā)布了新的漏洞,或者安全設(shè)備掃描出來機(jī)器上存在一個新的漏洞,那么系統(tǒng)就可以自動要求IPS對這個漏洞進(jìn)行防御,對這個漏洞進(jìn)行阻擋。
記者在采訪過程中越發(fā)覺得,今后安全管理的發(fā)展趨勢,特別是對內(nèi)的行為監(jiān)控部分,很可能是向著旁路方向發(fā)展。在這一點(diǎn)上,王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設(shè)備都是作串接的,但是對很多大型企業(yè)來說,其網(wǎng)絡(luò)出口上已經(jīng)有不少設(shè)備了,因此很多用戶擔(dān)心性能與單點(diǎn)故障。雖然在旁路的情況下,控制方面的效果不如在線模式,但是審計功能可以很好地實(shí)現(xiàn)。比如URL訪問、郵件審計、IM管理等,發(fā)現(xiàn)信息后都可以采取記錄形式,個別可以通過控制列表阻攔。王景輝認(rèn)為,在安全管理技術(shù)上,采用軟件的企業(yè)越來越多,畢竟實(shí)現(xiàn)方式比較完整,但軟件大都是采用旁路技術(shù)。
對用戶的建議
事實(shí)上,安全管理技術(shù)的復(fù)雜性之高,令記者也心有余悸。記得王彥平曾指出,“成也管理,敗也管理。”的確,上安全管理猶如一套企業(yè)的安全ERP,絕非即買即用的產(chǎn)品。
對此,河南省稅務(wù)局的IT負(fù)責(zé)人向記者透露,在部署了全省的安全管理系統(tǒng)之后,他們覺得無論是政府機(jī)構(gòu)還是企業(yè)除了基礎(chǔ)的安全設(shè)施,同樣要關(guān)注具體應(yīng)用的問題。因為領(lǐng)導(dǎo)不愿意每天看到有多少漏洞報告,而是希望清楚地知道哪個部門的安全風(fēng)險最高,哪個部門最低,這涉及到政策、法律法規(guī)的要求。
越來越多的企業(yè)都把安全管理的核心落實(shí)到了應(yīng)用。王景輝認(rèn)為這是一個好現(xiàn)象,因為安全管理是一個需要不斷擴(kuò)展的技術(shù),它從建立之日起就充滿了變化。對用戶來說,各種結(jié)果或者評分,都將關(guān)系到安全威脅防御的產(chǎn)品,關(guān)系到用戶安全審計的產(chǎn)品,關(guān)系到用戶想要什么。事實(shí)上,安全管理不僅是阻擋攻擊,不能只停留在技術(shù)層面,它需要得到宏觀的結(jié)果。看到評分高,風(fēng)險大,能夠調(diào)動相應(yīng)方案來解決。
