一、网络安全现状
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。
应当说,在这十年来,网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统,在技术角度已经实现了巨大进步,也为政府和企业在构建网络安全体系方面提供了更加多样化的选择,但是,网络面临的威胁却并未随着技术的进步而有所抑制,反而使矛盾更加突出,从层出不穷的网络犯罪到日益猖獗的黑客攻击,似乎网络世界正面临着前所未有的挑战,下面简单分析网络安全环境的现状。
1.在网络和应用系统保护方面采取了安全措施,每个网络/应用系统分别部署了防火墙、访问控制设备等安全产品,采取了备份、负载均衡、硬件冗余等安全措施;2.实现了区域性的集中防病毒,实现了病毒库的升级和防病毒客户端的监控和管理;3.安全工作由各网络/应用系统具体的维护人员兼职负责,安全工作分散到各个维护人员;4.应用系统账号管理、防病毒等方面具有一定流程,在网络安全管理方面的流程相对比较薄弱,需要进一步进行修订;5.员工安全意识有待加强,日常办公中存在一定非安全操作情况,终端使用和接入情况复杂。
这可以说是现阶段具有代表性的网络安全建设和使用的现状,从另一个角度来看,单纯依靠网络安全技术的革新,不可能完全解决网络安全的隐患,如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
二、差距分析
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。
5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。
6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。
7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。
9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、网络安全的体系架构
网络安全的任何一项工作,都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的综合作用下才能取得成效。首先必须有具体的人和组织来承担安全工作,并且赋予组织相应的责权;其次必须有相应的安全策略来指导和规范安全工作的开展,明确应该做什么,不应该做什么,按什么流程和方法来做;再次若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标;最后在确定了安全组织、安全策略、安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成一个相互推动、相互联系地整体,通过实际的工程运作和动态的运营维护,最终实现安全工作的目标。
完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系.
安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。
四、网络安全发展趋势分析
从管理和技术两个维度推进网络安全工作不仅是现阶段解决好网络安全问题的需要,也是今后网络安全发展的必然趋势。
(一)从技术角度而言
1.逻辑隔离技术。以防火墙为代表的逻辑隔离技术将逐步向大容量,高效率,基于内容的过滤技术以及与入侵监测和主动防卫设备、防病毒网关设备联动的方向发展,形成具有统计分析功能的综合性网络安全产品。
2.防病毒技术。防病毒技术将逐步实现由单机防病毒向网络防病毒方式过渡,而防病毒网关产品的病毒库更新效率和服务水平,将成为今后防病毒产品竞争的核心要素。
3.身份认证技术。80%的攻击发生在内部,而不是外部。内部网的管理和访问控制相对外部的隔离来讲要复杂得多。在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上组织内部网同样需要一套强大的AAA系统。根据IDC的报告,内部的AAA系统是目前安全市场增长最快的部分。
4.入侵监测和主动防卫技术。入侵检测和主动防卫(IDS、IPS)作为一种实时交互的监测和主动防卫手段,正越来越多的被政府和企业应用,但如何解决监测效率和错报、漏报率的矛盾,需要继续进行研究。
5.加密和虚拟专用网技术。组织的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的,因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准。
6.网管。网络安全越完善,体系架构就越复杂。管理网络的多台安全设备需要集中网管。集中网管是目前安全市场的一大趋势。
(二)从管理角度讲应遵循以下原则
1.整体考虑,统一规划。网络安全取决于系统中最薄弱的环节。“一点突破,全网突破”,单个系统考虑安全问题并不能真正有效的保证安全,需要从整体IT体系层次建立网络安全架构,整体考虑,全面防护。
2.战略优先,合理保护。网络安全工作应服从组织信息化建设总体战略,滚动式实现系统安全体系的统一。在此前提之下,追求适度安全,合理保护组织信息资产,安全投入与资产的价值应相匹配。
3.集中管理,重点防护。统筹设计安全总体架构,建立规范、有序的安全管理流程,集中管理各系统的安全问题,避免安全“孤岛”和安全“短板”。
4.七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。