伴随着计算机网络的出现,网络安全似乎是一个永恒的问题一直伴随着每个网络用户。长期以来,黑客们不断地分析系统和应用程序,以发现更多的漏洞,并编写相应的利用脚本加以利用。安全厂商却是不断地开发新的安全防范技术和产品来应对这些不断推陈出新的安全威胁,例如防火墙、入侵检测防御系统、反间谍软件和杀毒软件,以及身份认证、访问控制系统、内容过滤、行为监控和垃圾邮件过滤等产品。然后各网络用户跟随着这些安全厂商的步伐,不断地将这些安全产品叠加到自身的网络结构、服务器和工作站之上。而与此同时,如何建立一个有效的安全防范策略;如何妥善地管理这些安全设备,让它们发挥应有的作用,以及如何计算安全防范的投资回报率等问题一个接一个地需要网络用户去解决。
可以肯定的是,现在中小企业在网络安全方面的认识和投入,以及实施的案值防范措施要比以前有了很大的进步。但是,即便是这样,现在的中小企业网络是否比以前更安全呢?
对于这个问题,从来都不可能有一个非常肯定的答案。这是由于随着计算机网络的发展,不断会有新的网络威胁出现,这些攻击手段也比以前更具危险性。而且,现在的黑客攻击一个目标大多是从经济利益的角度出发的,而中小企业正是黑客们最好的攻击目标之一。这就是说,现在的中小企业面临的安全风险反而比以前更高。
并且,现在中小企业的网络应用要比以前更加复杂,我们正在朝WEB应用和SOA架构应用方向发展,由此,现在的计算机网络不是C/S结构,就是B/S结构。网络结构的复杂性给安全防范增加了相应的复杂性和难度。那么,什么才是解决中小企业网络安全的关键因素呢?
一个最佳的解决方法就是通过构建信息安全管理方案来帮助中小企业解决上面所述的这些问题,也就是如何更好地解决安全检测、识别和安全防范等实际问题。
一、 安全管理方案在计算机信息安全防范过程中的具体作用
要了解安全管理方案在安全防范过程中的作用,我们有必要先来了解一下它能帮助我们解决安全防范过程中的哪些问题。
如前所述,现在的中小企业都在部署多种类型的安全产品来解决面对的安全问题,例如从防毒网到WEB内容过滤。其中每一个安全产品都会产生数据,但都只保存在它所在的位置之中。这些安全产品之间由此不能共享它们所收集的任何数据。这样一来导致的结果就是:不同的安全产品不仅增加了企业的总体拥有成本和安全防范的复杂度,限制了端点到端点的透明度,并且增加了它们之间相互产生误报的可能性。
再来看一个中小企业在安全防范过程中经常出现的例子:如果在两年内,一家中小企业需要购买四种新的安全产品,每种安全产品需要两个人来管理,这意味着这家中小企业每两年就必需增加8个新员工。但是,如果这家中小企业规定只允许增加两个技术人员来管理所有新增加的安全产品,那么就需要寻找一种比人更有效率的管理方法来解决新安全产品的管理问题,这通常都是使用一些自动化监控方法来解决。但不论企业使用哪种方式,迟早有一天,企业网络依然会受到某种攻击,这是一个非常现实的事实,安全防范产品不可能超越当今的安全威胁。
这也就是说,将主要精力集中在预测明天将出现什么样的安全威胁是一件非常错误的事情。我们现在能做的就是了解我们保护的网络环境中正在发生什么,我们将会受到哪些方面的攻击,这些攻击产生的原因是什么,以及该做什么样的准备去应对。我们还应当知道我们该如何应对安全事件,如何迅速地做出响应,如何快速了解损害的范围,以及该如何补救这些问题等等。
我们应当将精力集中在如何缩小识别安全事件到修复安全事件之间的时间值之上,并可以借助其它安全管理工具来实现这个目标。这些安全管理工具应当能帮助我们专注于最重要的安全风险领域,指导我们调查安全事件,以及帮助我们快速响应各类安全事件等等。
与此同时,我们需要一个安全解决方案来帮助我们识别和分析安全事件。它必需给我们提供所需要的数据以决定到底发生了什么,并允许我们在指定的时间内保存好数据,并且有一个具体的操作方式来指导我们完成安全防范任务。
由此看来,安全管理也很复杂,不仅要解决上述这些在安全防范过程中的问题,还必需遵守当地部门制定的安全法规。在今天的环境之中,要想少花钱多办事,就必需有一个适合中小企业自身需求的安全管理方案来协调和指导我们完成企业的安全防范任务。安全管理方案不仅能帮助中小企业解决上面的这些问题,而且能大大节省我们进行安全防范工作的时间,可以让我们有更多的时间来进行实际的安全防范工作。
二、中小企业应当如何构建安全管理方案
实际上,设计一个安全管理方案并不困难,只要给出一个构建安全管理方案的通用处理步骤和流程,每个企业都可以为自己建立一个安全管理方案。但建立的安全管理方案并不意味着一定能行得通,一定最适合目前及以后的发展,以及企业最关心的投资回报率问题。
对中小企业来说,一个最佳的安全管理之案,如果不适合企业现在的安全防范需求和将来的发展需求,它依然是没有任何价值的。那么,要如何才能确保安全管理方案是有效的呢?这就要求我们在制定安全管理方案之前,先来认真回答下列四个问题:
1、 企业中哪些资产是需要保护的?
要回答这个问题首先就是制定一个企业网络基础设备分布结构图,然后在其中标明所有基础性网络资产的具体位置和名称。在这个阶段,网络中的每个网络设备都应该全部标明,这些设备包括服务器、工作站、笔记本、路由器、交换机,以及无线访问点和接入点、打印机及其它与网络连接的设备。这个网络基础结构图为管理和测量网络中存在的漏洞提供最基本的基础,也让我们明白需要保护的是什么。但是,网络基础设施是随着企业的发展不断地变化着的,例如增加服务器、工作站,扩大网络规模等等,这就要求我们在每一次网络基础变更的时候都应该重新按上述方面进行一次。
标明了网络基础设备,接下来就是分别了解每个设备,包括服务器、工作站、应用程序的商业价值,也就是按价值对网络资产进行分类。按照每个设备在业务处理过程中的重要性进行优先级分类是安全防范工作中至关重要的一个环节。每个企业使用网络系统的作用并不完全相同,这也就决定了每种设备在不同的网络当中有不同的优先级别。
2、 目前有什么威胁可以损害这些资产?
了解以往和目前的网络威胁类型就可以很好地回答这个问题。就目前来说,木马病毒、拒绝服务攻击(DoS)、网络钓鱼、零日攻击、垃圾邮件、无线局域网攻击和来自企业内部员工的威胁及社会工程学攻击,仍然是中小企业网络资产最主要的安全威胁。
3、 目前企业网络中存在什么样的弱点和漏洞,以及允许它们存在的最大范围和损害的最大程度?
现在的网络结构越来越复杂,每一个网络当中存在各种不同的网络设备、操作系统和服务器,快速准确地找出这些设备当中存在的漏洞和配置弱点是一件必需的重要工作。但这并不是一件容易的事情,因此需要一个强有力的漏洞检测机制来帮助实施。
与此同时,在得到企业网络中存在的弱点和漏洞报告后,我们就应当根据我们制定的最低安全风险级别决定需要将这些漏洞和弱点控制在什么样的范围之内,以及我们可以接受的最大损害程度等。要做出这样的决定,我们可以根据我国制定的信息安全风险管理制度中规定的方法来划分。
4、 存在的弱点或漏洞被利用的机率有多大?以及被利用后可能造成资产损害的风险有多大?
当发现企业网络中存在某些漏洞和弱点后,还必需通过模拟攻击的方式来检测这些漏洞和弱点可能被利用的机率有多大。检测应当按由外至内和由内至外两个方面进行,由外至内的方式用来检测黑客从企业外部可能利用企业内网中存在的漏洞和弱点的机率,而由内至外就是检测攻击者从企业内部可能利用企业网络中存在的漏洞和弱点的机率。这样做的目的就是用来了解企业网络中的这些漏洞和弱点的风险级别。
同样,在进行上述这两种方式的模拟检测时,如果漏洞和弱点利用成功,那么还应当进一步了解利用成功后对企业网络资产会造成多大的损害。也就是攻击可能获得企业网络中哪些机密信息,损坏哪些重要数据,这些机密信息的损坏和泄漏会给企业带来什么样的经济和无形资产的损失等等。
一旦上述这4个问题弄清楚以后,我们就可以知道我们需要什么样的安全防范措施,并且明白需要将这些安全防范措施实施到什么地方,才有可能将风险减小到企业可以接受的水平之内。
同时,我们还应当慎重考虑安全防范的投资回报率问题。安全防范不能给企业创造价值,但是,它却能为企业网络中的资产保值,保值就意味就间接地为企业创建了价值。我们也是根据安全防范措施能达到的最大保值值来计算它的回报率的。
对于安全的投资回报率,现在有许多中小企业并不知道如何确定防火墙、IDS/IPS、UTM,以及内容过滤、行为监控系统和认证系统上到底需要多大的开支。目前,仍然有许多中小企业在安全方面的投资总是亮红灯的,但却得不到相应安全防范效果。这是由于大部分的企业并不关心其所要购买的设备到底适应什么样的网络结构,其具有的功能到底能不能满足现在及以后的需求,也不去关心具体的实施细节,以及企业目前到底存在什么样的安全问题。以及不去详细了解企业的安全需求,只简单地认为只要是最新的产品,功能最多的产品,然后简单地将它们连入到网络当中就认为已经实施了安全防范措施,网络安全就应该万事大吉了。实际上,安全防范是一个具体的过程,而不是某种技术就能解决的,其关键因素就是使用恰当的技术持续不断地应用到某个具体的对象之上。
我们还要明白的是:风险管理不过是将物理和技术安全措施记录到了纸上,如果它没有被全面执行,那么它将是一纸空文,毫无价值。但是,一个中小企业能建立安全管理方案,也说明此企业在安全方面的认识,再者,换个角度来想,企业建立的安全管理方案也表明了企业在安全防范方面的需求。
安全管理涉及到许多方面,例如配置管理、变更控制、业务连续性和灾难恢复计划,以及网络安全、人力资源和合理使用等等。有些企业或许不能自己构建一个全面的安全管理方案,这也不要紧,我们还可以使用一种叫作信息安全和事件管理(security information and event management (简称SIEM))的现成产品来帮助我们达到与安全管理方案相同的效果。
但是现在许多SIEM产品却只能解决中小企业安全防范过程中诸多问题中的一部份,甚至一些中小企业根本不能通过它取得任何的安全防范效果。这是由于现在大部分的SIEM产品都是建立在关系型数据库之上,由于关系型数据库不能承受每天记录100万或上十亿条安全事件的能力,这就严重影响了它们在当今企业环境中应用时的可扩展性。而且,购买现成的SIEM产品需要企业花费额外的费用,这些费用对于处于经济危机时期的中小企业来说也是一个不小的负担。
但无论怎么样,不管中小企业是使用自己制定安全管理方案,还是使用现成的SIEM产品来帮助企业完成网络安全防范任务,这都能够让企业在安全防范过程中再也不会感到迷惑,安全管理目标将会更加容易实现。