薩特有句名言“他人就是地獄”，這位存在主義者的激進言論，也許放到今天的網(wǎng)絡安全的環(huán)境中卻頗為適合。因為所有驚心動魄的安全事件都來自于“人”，而攻擊者與防護者之間的較量，最終都將是“人”與“人”的較量。
在以往的問責體系中，我們往往喜歡說“對事不對人”。然而，安全技術今日的發(fā)展，使得僅僅鎖定“安全事件”來展開防護工作或者建立防護體系已經(jīng)遠遠不夠。目前，新一代身份認證技術、端點管理技術、網(wǎng)絡準入控制技術、以及上網(wǎng)行為管理技術等的快速發(fā)展，使得以“人”為核心的安全體系建設成為可能。
“人防”成為新重點
在IDC連續(xù)6年的信息安全年度報告中，有一條結論一直被廣為引用，那就是企業(yè)所面對的信息安全問題，超過80%來自于內(nèi)部。而這80%的內(nèi)部隱患中，幾乎七成與員工個體行為有關。為此有安全專家認為，以“安全事件”為核心的防御體系正在成為歷史，2007年安全的重點已經(jīng)轉(zhuǎn)入“人防”，即對企業(yè)內(nèi)部員工的管理與控制。
當然，這種轉(zhuǎn)入并非一蹴而就，事實上即便在安全事件頻發(fā)的今天，仍有大量的用戶對于“人防”感到陌生，以至于疏于防范造成安全隱患的案例不絕于耳。在此，首先有必要糾正用戶對于安全管理的對象的認知。
合勤網(wǎng)絡的產(chǎn)品總經(jīng)理范振華在接受采訪時表示，當前網(wǎng)絡安全的對象不僅僅是各種安全設備，在網(wǎng)絡安全策略部署到相關設備后，網(wǎng)絡使用者的行為往往成為安全考慮的盲點。
事實上，人的行為錯綜復雜且難以預料，不僅僅是安全防范的重點，也是難點。深信服的安全產(chǎn)品經(jīng)理鄔迪認為，在網(wǎng)絡安全領域，人的防護和管理在多個方面都有涉及，其中用戶較為熟悉的是來自Internet的惡意攻擊和入侵，在這方面，多數(shù)用戶做的工作還是比較多的。而局域網(wǎng)中，則存在著更多的需要“管人”的地方，例如內(nèi)網(wǎng)用戶共享P2P文件使企業(yè)的帶寬被吞噬，或通過IM、郵件等方式泄漏了企業(yè)的機密信息，或是在網(wǎng)上發(fā)表不良言論等等。對于后者，一些用戶已經(jīng)意識到了其風險，并在采取措施。但對于中國大多數(shù)用戶來講，還沒有完全意識到局域網(wǎng)不良行為帶來了安全隱患。
對此，網(wǎng)康科技CEO袁沈鋼舉例說，根據(jù)多年的經(jīng)驗，一般企業(yè)員工的網(wǎng)絡訪問行為如果不加控制，就會帶來三種風險：第一，帶寬被蠶食。企業(yè)帶寬雖然不斷擴大，業(yè)務應用卻依然得不到滿足，這就是網(wǎng)絡資源濫用的直接后果了，因為不加限制的P2P下載、在線視頻等就是網(wǎng)絡帶寬的最大殺手；第二，效率被降低。炒股、聊天、購物、游戲等行為，與工作無關的視頻、語音、圖片、文檔的上傳和下載，必然帶來嚴重的生產(chǎn)力流失；第三，機密被泄漏。EMC“郵件門”事件、惠普“電話門”事件等，都在告訴我們一個事實，通過外發(fā)郵件、BBS論壇等導致內(nèi)部機密信息泄漏的現(xiàn)象越來越普遍。企業(yè)/機構賴以生存的機密信息，很可能會被在職甚至離職員工有意或無意地泄露出去。
他表示，只有從管理的角度，制定具體到使用人員的細粒度策略，提高對內(nèi)容訪問的控制力度、對上網(wǎng)行為的控制和審計，防患于未然，才能降低因網(wǎng)絡帶來的安全風險。
越來越多的證據(jù)顯示，網(wǎng)絡安全所提供的服務是面向內(nèi)網(wǎng)使用者的，內(nèi)網(wǎng)使用者必須具備“安全意識”。在實際企業(yè)的網(wǎng)絡安全部署中，要求每位員工時時提高安全意識當然是一個理想，更多的時候企業(yè)把“安全意識”認為是IT網(wǎng)絡管理員的職責。
為此，目前大量的企業(yè)開始關注“用戶上網(wǎng)行為”，各網(wǎng)絡安全廠商也爭相把用戶上網(wǎng)行為管理列為產(chǎn)品開發(fā)重點。由簡單的“全面禁止”到“高細粒度”的判別機制，讓IT網(wǎng)管人員按需配置用戶上網(wǎng)策略，更能靈活地順應瞬息萬變的企業(yè)網(wǎng)絡環(huán)境。
從單點到集合
正如業(yè)內(nèi)專家分析的那樣，對于人的管理復雜且具有多樣性。在這種情況下無疑提出了新的挑戰(zhàn)：傳統(tǒng)單點布局的安全產(chǎn)品必須做到統(tǒng)一、關聯(lián)，并與企業(yè)的管理策略相結合。
當然，這樣的要求同樣頗具挑戰(zhàn)。對此，國家應急響應中心的杜躍進博士表示，當前國內(nèi)用戶必須從兩個方向上把握對人的管控思路：第一，盡量做到企業(yè)安全的自主、可控；第二，必須從策略和政策上要求員工自覺地遵守企業(yè)和國家的法律法規(guī)。
另外，他也提示說，所謂“對于人的管理”主要指的是對人行為的管理，而不是對思想意識的管理。行為安全技術是為了防范風險，對行為的輸入、過程與輸出、行為產(chǎn)生的環(huán)境、行為特性和與其它內(nèi)容與行為關聯(lián)性進行綜合研究、分析、監(jiān)控、管理，并發(fā)現(xiàn)問題點的技術。因此對用戶而言，一個有效的行為管理技術肯定是一套技術的集合，包括了：行為完整性防護技術、行為控制技術、行為過程記錄跟蹤技術、應用系統(tǒng)行為監(jiān)控技術、終端行為監(jiān)控技術、網(wǎng)絡行為監(jiān)控技術、計算機系統(tǒng)行為監(jiān)控技術、網(wǎng)絡遠程控制技術等等。
對于這種技術的集合，用戶在使用中還要進行進一步細分。因為不同領域、不同行業(yè)、不同層次的用戶在對于行為管理方面的需求是不一樣，這主要源于國家法規(guī)和內(nèi)部所主要面臨的信息安全風險的不同。針對所面臨的不同用戶需求，可種技術可以加以組合。比如常見的統(tǒng)一的身份認證、訪問控制、系統(tǒng)審計和計費技術的組合，實現(xiàn)了對用戶各個應用系統(tǒng)的單點登錄，可以集中進行應用系統(tǒng)的用戶管理和權限控制。
他舉例說，一個有1000人PC的規(guī)模型局域網(wǎng)，其廣域網(wǎng)帶寬通常在100M左右，相對于局域網(wǎng)的帶寬和人數(shù)，廣域網(wǎng)的帶寬經(jīng)常會面臨“緊缺”的情況，而內(nèi)網(wǎng)用戶如果不加管理的共享P2P、大量下載和傳播視頻文件，那么廣域網(wǎng)帶寬很快就會被吞噬，而這也給病毒、蠕蟲的傳播帶來了“便利”。這時候，用戶就需要對內(nèi)網(wǎng)產(chǎn)生的網(wǎng)絡行為做流量管理和安全控制。
而對于一些技術研究型公司、金融、政府客戶，由于內(nèi)網(wǎng)存在諸多安全信息，其信息防泄漏的防范就需要用戶多加注意，廠商應該針對用戶的情況，對外發(fā)郵件（客戶端郵件/WebMail）、IM通訊、FTP上傳、BBS上傳等行為進行適當?shù)墓芾砗涂刂疲⑼ㄟ^制定一系列安全措施，讓員工提高信息保密的安全意識。
從某些意義上說，用戶充分的安全意識甚至大于技術的某種集合。網(wǎng)康科技產(chǎn)品服務總監(jiān)陸繼周先生就認為，安全威脅除了利用系統(tǒng)漏洞和安全產(chǎn)品的疏忽，更多的還是要借助社會工程學，借助缺乏安全意識的“人”的無意操作，才得以進駐網(wǎng)絡和系統(tǒng)。
在這種情況下，網(wǎng)絡安全所提供的服務是面向內(nèi)網(wǎng)所有使用者的，而并非是企業(yè)的IT人員，這就要求內(nèi)網(wǎng)使用者必須具備“安全意識”。而這也恰好解釋了目前越來越多的企業(yè)關注“用戶上網(wǎng)行為”的初衷——由簡單的“全面禁止”到“高細粒度”的判別機制，讓IT網(wǎng)管人員按需配置用戶上網(wǎng)策略，順應企業(yè)的網(wǎng)絡環(huán)境才是安全的最佳實現(xiàn)途徑。