虽然企业信息化管理在不少企业已经开花结果了,但是,不幸的是,网络安全管理还是很薄弱。我个人的感觉,我们的很多企业,网络安全就好像一层薄纸,轻轻一点就可以捅破。这其中有很大一部分原因,主要是在网络安全体系设计中,有不少网络管理人员犯了一些方向性的错误。其实,这些错误我在以前也犯过,还好后来及时调整过来。下面笔者就对这些谈谈自己的看法,希望能够对大家有所帮助。
迷失方向一:注重边界安全,忽视内部威胁。
笔者在企业网络安全管理这个领域内,也是有一定的知名度的。平时在跟一些网络安全管理人员讨论企业网络安全话题的时候,发现大家更多的是关注企业网络边界的安全,而忽视了来自于企业内部的安全威胁。
但是,根据有关权威部门的统计,企业网络的安全威胁,真正的来自外部的威胁只占到20%,而80%的网络安全威胁事件来自于企业内部。来自互联网的攻击,无论是木马、黑客还是恶作剧,都是很少,而且,对企业造成的影响也不是很大。但是,来自于企业内部的安全威胁则日益突出。特别是员工随意把企业内部的机密信息泄露、甚至转卖给企业的竞争对手,给企业造成了很多的损失。现在就有很多类似的官司。如前不久就有一家公司的销售经理离职的时候,复制了公司的所有客户信息与产品信息,离职后自己开办了企业,挖走了公司很多的客户。也有公司的技术骨干被企业的竞争对手挖走,随着他们的离职,很多技术资料也被他们带了过去,从而引发了官司。这里虽然也有人员管理上的问题,但是电子文档管理不完善,这也是导致企业损失的一个不可推卸的失误。
为此,笔者认为,相对于企业外网而言,内部的威胁应该更应该引起网络安全管理人员的重视。
如如何对电子文档进行管理,限制无关人员的访问,特别是对于电子文档的复制、分发等需要进行严格的控制。如如何对于移动设备存储进行管理,U盘等移动设备由于其体积小、容量大,所以是用来存储电子文档最好的工具之一,所以网络安全管理人员需要采用有效的措施来规范移动存储设备的使用,必要的时候禁用他。
对于如何应对企业内部的安全威胁,笔者有如何建议:
1、对电子文档进行安全等级管理。对于安全等级级别高的电子文档,如客户信息、产品研发信息等等,需要采用加密等手段来保护文件的安全。如采用WINDOWS操作系统的EFS加密技术,当这些机密文件脱离特定的用户,在其他电脑上都无法打开利用EFS加密过的文件。这无疑是保护企业机密文件安全的一种很好的手段。
2、规范移动存储设备的使用。在一般情况下,需要禁止使用移动存储设备。如我公司现在就是禁止各种移动存储设备的使用,包括移动硬盘、U盘、MP3、外置刻录光驱等等,都无法使用。这个技术手段也很简单,就是禁用掉主机的USB接口即可。
3、监控企业员工的邮件。除了移动存储设备外,电子邮件也逐渐在成为企业信息安全带头号杀手之一。电子邮件由于其隐蔽性高、使用方便等等,已经开始对企业的信息化安全产生了重大的威胁。所以,在有必要的情况下,需要对企业重要部门的员工邮件进行监控。笔者现在的企业,采用的安全规则是,一般员工的话,都不能发送外部邮件,只有内部员工之间的邮件可以对发。而有权限发送外部邮件的员工,他们的邮箱都受到监控,什么时候给什么人发送了什么内容的邮件,都可以追踪到。如此的话,就可以最大限度的减少员工利用电子邮件工具泄露企业机密信息。
迷失方向二:西瓜、芝麻都要。
在网络安全管理中,很多企业还喜欢面面俱到,只有这么大的胃口,还西瓜、芝麻都想抓在手中。结果呢,就是拣了西瓜丢了芝麻。
如对于邮件监控来说,很多企业采用的措施是对于所有的员工都采取监控措施。一个公司几百名员工,从大到企业副总、部门经理,小到下面的司机,都对他们进行邮件监控。可是带来的问题就是,如何去查看这些监控信息。若我们不能及时过滤这些监控信息的话,则我们采取邮件监控措施的话,根本没有任何意义。所以,笔者认为,在企业网络安全管理中,没有必要做到面面俱到,而是应该抓重点。
具体的来说,笔者有如下建议:
一是重服务期安全,轻单机安全。企业的服务期中,存储有企业大量的机密信息。如文件服务器存储有很多企业的机密信息,如产品研发、测试资料等的功能;再如ERP服务器中,存有所有的客户资料、订单信息、产品物料清单等等。在实际工作中,我们应该鼓励用户把相关的资料存储在企业服务器中。因为在服务器上,我们可以采取统一的安全策略,如对相关信息进行及时备份、采取统一的访问控制策略、利用服务期访问日志记录访问信息等等。若管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。故,在安全管理中,我们应该把管理的中心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。
二是对于信息的安全管理要轻重有别。我们都知道,文件访问的效率与安全往往是背道而驰的。当文件安全性级别高,往往就需要添加很多访问的限制,如需要员工凭用户名与密码才能够访问;或者需要用户通过特定的途径才能够访问;或者对于用户访问文件的地点有限制等等。一般来说,安全级别越高的文件,其访问更加复杂,所以,访问效率也就比较低。故我们网络安全人员在设计安全体系的时候,需要在安全性与访问效率之间取得均衡。而取得这个均衡的最好的一个方法,就是对信息实施“轻重有别”的管理方法。就拿笔者公司为例,企业员工的考勤信息一般都是公开的,所以,对这个信息就没有必要采用很强的访问控制策略,只需要限制未经授权的用户更改这个文件即可。而公司工资信息则是保密的,一般只有员工本人与少数的几个人员才能够获悉,所以,对于工资明细这个文件就需要采用比较严格的访问控制策略,对于访问的人员、访问的途径等等都需要进行严格的控制。如此的话,才可以实现企业的要求。故,对企业的信息进行如此分级管理的话,我们就可以把更多的精力放在一些机密性程度比较高的信息上面;同时,对于一些机密程度不高的文件,就可以提高其的访问效率。而不是不管三七二十一,一帮子打死。
三是必要的时候,把某些部门划为禁区。如笔者现在的企业,产品研发部门是企业的核心,我们企业产品的专利树目在国内企业中是数一数二的,所以对于专利的保护就非常的重视。为了保护这些产品信息,特别是产品配方、产品测试资料的安全性,公司采用了虚拟局域网技术,把研发部门跟财务部门划分成独立的网络,限制其他部门对于这两个部门电脑的访问。如此的话,就把这个两个企业重要部门隔离开来,提高了这些主机的安全性。这对于企业的信息安全起到了很大的保护作用。所以,笔者建议,在网路设计的时候,就需要开始企业网络与信息的安全。在有必要的时候,把一些重要的部门独立的保护起来,从网络底层限制其他用户对其的访问。
企业这么大多一个信息网络,存在这么多的安全威胁,而且要往往不会配备很多的网络安全人员,一般就一名到两名。很多企业还没有独立的网络安全管理人员,都是网络管理员在兼职。所以,在这种背景下,若还要去争取“面面俱到”的话,则最后的结果必然是功亏一篑,捡了芝麻,丢了西瓜。故笔者在这里强烈建议,我们在设计企业网络安全管理体系的时候,需要轻重有别。大家在考虑问题的时候,可以参考我上面的意见。虽然有些地方可能不是百分之百的准确,可能还有一些没有考虑到的点,但是,我相信,这些方法对于大家从整体上提高网络与信息的安全性,是具有非常好的作用。因为我现在就是这么做的,而且已经取得了非常明显的效果。