在网络安全领域流传着这样一句话:三分技术七分管理。但是实际在网络安全建设中,这句话却被颠倒了。目前在安全建设中看重产品技术的人,绝对要多于注重安全管理的人。而且往往很多企业在自己的网络出现问题时,总是怪罪某某产品不好,没有达到应有的性能。其实很多问题的出现根本与产品无关,而是因为用户忽略掉了企业安全最重要的一环――安全管理。
安全管理到底在安全建设中处于什么样的位置?到底应该如何做好安全管理?这些都是目前讨论最激烈的问题。为了把这些问题弄清理顺,eWEEK/每周电脑报(以下简称eWEEK)采访了诺基亚国际互联网通迅部总经理张勇(以下简称张)。
eWEEK:很多企业的安全问题是由管理不善造成的,那么诺基亚作为全球性的大公司,是如何进行网络安全管理的?
张:很多用户对网络安全的理解有片面性,认为只是安全产品的简单堆砌,都忽略了一个非常重要的方面,就是安全管理。在整个安全体系中,安全管理应该占有七成的比重。在诺基亚内部,把安全管理分成几步来做。
第一是对人的管理,也是制度的管理:包括一般员工和网络管理员以及安全策略的制定者。诺基亚内部不同职务、不同部门的员工的权限各不相同,每个岗位都有严格的行为规范。一般人使用笔记本电脑,开机也许只要1、2分钟,但是在诺基亚得要10分钟。为什么这么慢?因为诺基亚给内部员工规定,要使用三套密码规则才能进入系统,而且要定期更换密码,诺基亚在全球都是这样统一规定的。虽然表面看起来比较麻烦,但是作为从事网络安全的公司,保障自己系统的安全应该是最起码的要求。
第二是对设备的管理:主要是对各种安全产品进行及时的升级,查补各种漏洞。目前的开放系统都存在很多漏洞,应用软件要想稳定地运行在这样的平台上,对系统打补丁是必须的。例如年初的“SQL Slammer”病毒就是因为很多用户没有及时打补丁,而遭受了很大损失。其实补丁程序在病毒爆发前半年就发布出来了,只是没有引起足够重视,这是企业在安全管理上的失误造成的。
第三是对安全技术的管理:网络安全是一个体系,各个安全设备应该有机的联系起来,进行统一的管理。诺基亚在产品设计上都考虑到了这点,因此产品都支持SNMP协议,可以被很多网管软件进行集中管理。任何一款安全产品最先做到的应该就是被别人管,其次是管理好自己,然后才是去管别人。比如防火墙产品,可以被网管软件进行管理,然后自身要能提供详细的报表。
eWEEK:很多企业对安全管理的不重视是不是因为安全意识薄弱?
张:国内很多企业在安全建设上把大部分精力放在了设备选型以及招标工作上,即便是想到了安全管理,也可能没有精力去做,从企业的领导者开始就没有一个正确认识。可以说安全意识的薄弱,造成了对安全管理的不重视,也就造成了日后会产生很多安全问题。如果安全管理做好了,即便是系统遭受攻击,但是由于事先的防范机制制定的好,也会避免很多损失。很多安全意识超前的公司在安全管理上做的很好。比如美国波士顿一家VISA卡公司在几年前就设立了CSO(首席安全官)的职位,由专人来对公司整个安全系统负责。
eWEEK:企业用户应该怎样提高安全意识?
张:用户提高安全意识需要一个过程,首先企业领导要对安全问题有足够的重视,要对员工进行安全培训,这是第一步应该做的。只有重视了、认识了安全问题,才能有效地进行安全策略的制定。
eWEEK:都说安全管理最终还是要靠产品来实现,产品和管理应该是一种什么关系?
张:安全产品与安全管理是相辅相成的。靠产品进行安全管理是管理的一部分,其实很多时候还是要靠制度。比如诺基亚规定所有员工的笔记本电脑,只要连在公司主网上,就要把所有移动功能去掉,另外不许外装软件,这些和安全产品无关的制度是保障公司安全很重要的措施,加强了公司管理的安全性。另外还有一种管理叫做应急措施,一套完整的安全体系要有一套完整的应急措施体系,分为事前措施和事后措施。事前就是专人收集系统漏洞,并提供警报信息;事后就是在发生问题后如何把损失减到最少。
eWEEK:安全产品本身的安全性怎样保证?
张:针对开放系统漏洞多的问题,诺基亚采用了自己的IPSO系统。这是诺基亚专有的操作系统,具有IP及加强网络安全的功能。IPSO除了作为防火墙、VPN及入侵侦测系统的安全操作系统,还可用于移动电话网络GSM、GPRS及3G网络。诺基亚也对合作伙伴开放IPSO,以便他们的网络安全应用程序能够更好地在诺基亚IP安全平台上运行。这种专用系统的安全性要强于开放系统。另外,在处理器上诺基亚采用的是NP(Network Processor,网络处理器)技术,比以前采用的ASIC技术具有更强的安全性、可靠性、稳定性以及更简便的管理。这些专有技术和先进技术的采用,使安全产品本身的安全性有很大提升,而且更容易管理,也从另一方面使其安全性得以加强。
eWEEK:用户怎样才能做好安全管理工作?
张:人员、制度、应急措施、设备技术是安全管理的几个重要环节,如果企业安全实力不强的话,还应该有安全外包。企业用户要做好安全管理工作,选择易于管理的安全产品也是必不可少的,无论是防病毒、防火墙、VPN等,其实都可以看作是网络中的节点,被部署在网络中的不同地方,单个管理每个设备会很复杂,需要一个统一的网络管理平台对设备进行集中管理。很多安全公司都开发了集中管理产品,用好这些产品,在网络安全建设上将事半功倍。