随着计算机与网络的兴起,"地球村"的概念改变了企业管理模式,当企业的"活动"全部跑在IT基础设施上时,整个网络系统是否能安全、持续地服务就成了CIO不可回避的问题。
美国萨班斯法案要求企业的商务信息要达到安全审计,我国的等级保护要求信息系统要建设全面的安全保障,英国的BS7799与国际的ISO也给出了IT管理的最佳实践……标准有了,产品技术有了,但安全保障建设的整体思路还很模糊。尤其是信息安全领域具有一些特殊性:防护手段要落后于攻击技术,单纯的防护等同于亡羊补牢。
怎样把众多的安全技术有效地结合在一起?面对众多技术的选择,企业的CIO应该先选择哪些,再选择哪些呢?花瓶模型把安全保障看成防护、监控、审计三个维度的安全平台,给了我们清晰的企业信息安全建设思路。
揭开花瓶模型面纱
安全管理体现的是对一个安全事件发生与处理的过程,它是动态的,具有自己的生命周期。花瓶模型把安全保障看作是一个时间函数,分为三个维度:防护、监控与审计,分别对应安全事件发生的前、中、后进行安全保障。从形态上看,下边是信息收集网络,中间是三个安全维度形成的功能平台,上端是每个维度的客户操作与管理界面,整体构架好象是一个漂亮的花瓶,因此称作花瓶模型。花瓶模型的管理平台是网络的安全管理与控制中心,称为SOC(安全运营中心)。
花瓶中的水
水就是模型中的信息流,为管理平台提供分析所需的数据,同时又把修改的策略与配置送给设备。数据采集平台就比如是花瓶中花的根系,为花朵提供足够的养分。水多而清,水多才能保持营养的新鲜,花才能开得娇艳。所谓流动的水才新鲜,失去了水的花就会凋谢。
这种水的来源有多种方式:网络设备的日志(以部分处理的信息)、安全设备的安全事件(预警信息)、链路的原始信息(数据报文)等。对这些水的吸收方式也是多种多样,可以通过SNMP、NetFlow等协议从网络设备取得,也可以通过镜像交换机端口(或物理分光)从物理链路中获得。获取的信息可以先到信息收集设备中进行预处理,去粗取精,再送给功能模块,进行展示与分析。
花瓶中的花枝
安全管理功能的三个维度防护、监控、审计,既分离又相互依赖,建立在一个信息收集平台上。它们也是花瓶中的三束花,同时也形成了信息安全体系的事前防护、事中监控及应急调度、事后审计三个阶段的全方位安全管理。其中防护是提高自身的抵抗能力,重点处理网络中初级的、易识别的病毒与攻击,常用于网络的边界或不同安全域的隔离。
监控是分析系统中的异常行为,包括行为、状态、流量、协议等,以及处理当前的安全事件,尤其是新出现的、防护手段还不健全的新型攻击。审计是针对内部人的,把你的行为记录在案,从管理角度给以震慑,出手必被抓,提高犯罪的成本。审计不是亡羊补牢,而是重现过程,提取证据,并分析攻击的轨迹,为新的防护手段提供依据。
花瓶中三束花枝通常对应的安全技术如下:
1.防护管理。包括边界上的防护(防火墙、IPS、防水墙、UTM、防DOS攻击、流量整形系统、防垃圾系统)、统一身份认证系统、数字签名、通信加密、主机(服务器与终端)安全系统、防病毒系统、补丁管理系统、系统(主机、存储、链路)备份与容灾;
2.监控与应急平台。包括IDS、漏洞扫描系统、病毒扫描系统、异常流量分析系统、网络状态监控系统、业务持续性服务监控系统、机房监控系统;
3.安全审计。包括网络行为审计、运维管理审计、数据库审计、业务合规性审计。
花瓶中的花朵
花瓶中赏心悦目的自然是花瓶中绽开的花朵,也就是模型中功能平台的用户界面。其中防护部分是安全设备的管理与安全策略的下发,比如防火墙的访问控制、补丁的自动升级。监控部分是安全事件的分析与预警,并对事件能快速定位,显示其威胁级别,同时也是紧急事件处理的调度平台。
审计部分是事件重现,报表生成的地方,也是新安全策略分析与研究的地方。三个平台可以一体,也可以分开,有各自的用户管理权限。从客户的角度看到的是SOC的工作平台,与网络管理中心(NOC)共同成为企业业务管理的支撑基础。
花瓶模型的一个理念是把各种安全体系有机地结合起来,提高系统整体的安全保障能力;另一个理念是统一建设安全体系的信息收集与控制网络,这样不仅可以消除以前的安全系统孤岛,而且为未来的安全技术加入提供了接口,让企业的网络安全管理走向可管理、持续性建设的阶段。
按"模"办事 确保安全
企业安全保障往往是先上业务再考虑安全,所以往往是如打补丁一样,臃肿而不协调,资金没少投,效果不一定好。有时为了使用新的安全要求,又不得不修改业务的流程。
导致IT部门的人忙,业务部门的人抱怨。究其原因就是在业务没有运转起来,网络没搭建完成以前,CIO也不知道应该防护哪里,审计哪块,安全系统建成后应该是个什么样子,摸着石头过河,凭着想象盖楼。
安全与攻击是一种博弈,从风险的分析角度讲,安全保障的设计应该是同业务系统的设计同步。初期的漏洞威胁小,保障成本也低,遗留到后期,业务的流程链条已经定型,同样需求的建设成本可能是十倍、上百倍地增加。
使用花瓶模型来指导企业安全保障建设的真正意义就在于花瓶模型融合了各种安全技术手段,有机地形成了一个管理平台,是企业安全保障大厦的立体展现,企业的安全保障建设便有了建设的依据。
首先,企业安全关注的是防护,用防火墙与UTM来把守网络大门,这也是企业初期网络建设时最常用的安全方式。随后增加通讯加密、身份认证等安全的基础系统,病毒的防护也从单机到网络,最后到病毒统一管理系统。随着网络的建设,各种业务安全需求不同的领域独立成为安全域,域之间的安全访问与权限管理开始关注。
其二,到网络建设的后期,或系统整合的前期,安全监控为安全建设的重点,IDS、漏洞扫描、流量整形、补丁统一管理、终端安全等系统开始建设。同时企业的对外接口流量的扩大,安全防护的范围也开始扩大,防垃圾、防DOS攻击、网页保护等系统也根据需要出台。由于安全系统的增多,SOC开始上马,安管中心成为企业内与网管中心具有同样地位的日常管理平台。
其三,系统整合的后期,安全审计系统开始建设,花瓶中全部花朵开始绽放,并日渐丰满。行为审计、数据库审计、业务合规性审计把安全管理与业务流程结合得更加紧密,同时审计也促进了网络统一身份认证系统的建设,数字签名、防抵赖等业务安全随即上马。
其四,最后是花瓶的花根体系的进一步完善,也就是SOC平台的信息通道进一步优化,既不让日益增多的安全系统增加网络的负担,又切实、有效地掌控整个网络的安全。
花瓶模型为企业信息化建设提供了清晰的保障思路,随着业务网络的发展,安全保障体系也从小到大,从简到繁,为企业健康而持续地发展一路保驾护航。
安全保障平台建设的花瓶模型
标准有了,产品技术有了,但安全保障建设的整体思路还很模糊。防护手段要落后于攻击技术,单纯的防护等于是"亡羊补牢",怎样把众多的安全技术有效结合在一起?面对众多的技术,企业的CIO应该先选择哪些,再选择哪些呢?
