中兴通讯陈飞
我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念、安全技术、安全产品,感受到信息安全对一个企业怎么说都不为过的重要性。这里我想结合自己的工作经验谈一谈对如何保证企业信息安全的一些看法。
一、安全管理的重要性
信息安全“三分技术,七分管理”,安全管理是企业信息安全的核心,企业建立了安全管理体系后,安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构,明确架构成员的安全职责,这是企业安全管理得以实施、推广的基础;其次必须建立完善、可操作性强的安全管理制度,并严格执行。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险,如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
二、安全技术的重要性
解决信息安全问题不能仅仅只从技术上考虑,但也不是说不考虑技术,技术是安全的主体,管理是安全的灵魂。信息安全离不开安全技术的实施,安全产品的部署,但现在的安全技术、安全产品让人眼花缭乱,难以选择,这时就需要进行风险分析,可行性分析等,分析现在我们网络面临的风险在哪些方面,解决问题或最大程度降低风险的可行性,收益与付出的比较,哪些产品可使我们以最小的代价满足我们的安全需求,安全与效率的权衡等。对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
三、安全风险及需求分析
在分析企业局域网的安全风险时,应考虑到这个网络的特点,进行有针对性的风险分析,以我所在的企业局域网为例,它有如下几个特点:
1、网络与Internet直接连结,因此在进行安全方案设计时要考虑控制Internet连结的相关风险,包括控制可能通过Internet传播进来病毒,防止黑客攻击,制定远程访问管理规则,垃圾、病毒邮件过滤,不良网站过滤等。
2、网络中一些服务器,如WEB服务器需要允许外部直接访问,这时应采取加固系统、访问认证、防病毒系统、网络隔离、内容过滤等措施,避免公开服务器的安全风险扩散到内部。
3、病毒、蠕虫是企业局域网上的最大安全威胁,必须建立企业级的网络防病毒机制,部署企业级的网络防病毒产品;应建立系统补丁自动分发机制。
4、网络用户数目巨大,必须制定安全策略,使满足一定的条件的用户才可以接入公司网络。用户接入控制是企业信息安全管理工作的基础,它包括对接入网络计算机的信息获取,企业安全策略,如密码策略、软件策略、服务策略、外设策略的设定与分发等。
5、内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络进行逻辑或物理的分离。
6、根据从一些安全事件中得到的教训,企业应用系统的设计应充分考虑安全方面的因素,如强身份认证、日志审计等,防止攻击、泄密事件的发生。
7、移动存储设备的大量使用也带来了一系列的安全问题,应该从管理到技术两方面解决这一问题。
8、当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),应进行实时的检测、监控、报告与预警;事故发生后,应能提供攻击行为的追踪线索。
总之,要保证局域网中的信息安全,在进行安全风险和需求分析时,应结合企业局域网的特点,根据潜在的安全风险、安全产品的功能、价格等因素进行综合细致考虑。
四、安全改进措施
通过对企业局域网的风险和需求分析,我们认为企业的安全风险主要包括对服务器的安全保护、防黑客和病毒、不同网段的分级保护、接入控制、网络边界安全以及安全管理。因此,我们必须采取相应的安全措施杜绝安全隐患,我们已完成或正在进行的信息安全建设项目包括安全总控中心的建设,病毒防御系统的建设,防火墙的部署,IDS的部署,数字证书认证,邮件过滤,代理服务器的部署,接入控制和PC安全,文档安全,网络分离等。这些就不详细描述了。
五、对安全管理的一些想法
部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险,比如我们部署了防病毒系统,但病毒仍会通过各种途径出现,但它的危险程度降低了,影响范围缩小了,不再是不可控的了。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。
要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的。从防御的角度来说,对于外来的威胁有时很难准确把握,但对自己,应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时,才可以在保护这些资产的预算上作出明智的决定。
信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。这就要求企业的信息管理部门加强安全管理,提高系统全体人员的网络安全意识和防范技术,这涉及到信息安全的另一个重要环节:安全培训。企业必须组织开展多层次、多方位的信息安全宣传和培训,建立一个安全培训机制,增强用户安全防范意识和防范能力。
作为信息安全管理岗位员工,我们的任务是为用户构造一个最适合目前业务活动的“安全体系结构”,因为在用户的眼中“安全“不是目的,“业务应用”才是,“安全”只是保障其“业务应用”的一种手段。安全往往与业务、效率等有一些冲突,这时一些部门往往把安全保障看做一种负担,而作为安全管理的执行者,我们最希望的是大家能理解“好的安全”同时也是促进“业务应用”的手段。
六、对安全技术的一些想法
提到信息安全技术,我们会想到很多:防火墙、入侵检测系统、防病毒系统、VPN、多层交换、加密/解密算法等等。安全管理岗位要求我们了解最新的安全技术,因为我们的防御对象也在这样做。但是信息安全技术的发展日新月异,各种安全产品各有所长,让人难以选择,这时我们要记住安全并不是复杂的代名词,安全也不是要包揽一切,安全应尽可能简单,安全要以业务和相关的应用为中心; 安全防御不仅仅在边界而应是多层次的; 安全需要不断的实践和有效的管理;安全体系结构的设计开发技术应该更加开放。纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
发展方向
技术/产品
公司
智能
Deep Inspector
NetScreen
Application Intelligence
Checkpoint
整合
实时事件关联、处理
OpenService
Tivoli SecureWay
IBM
天玥网络安全审计系统
启明星辰
管理
Enterprise Security Manager 5.5
Symantec
VigilEnt Security Manager Suit
NetIQ
企业安全计划 ESP
绿盟科技
表一体现发展趋势的新产品/技术
企业的信息安全管理工作应该逐步走向规范化、制度化,建立起比较完善的管理和技术防范体系,这就是我在实践中感触最多的方面,这也是我们信息安全管理工作前进的方向。