防火墙+防病毒+防间谍+IPS/IDS+VPN……,越来越多的安全产品被架设到我们企业的网络机房,担任起保护企业信息安全的重任。然而,看似固若金汤的安全系统下,安全事故却依然经常发生,关键数据也时有外泄。这是为什么?
首先,我们可以从"硬件"上面找原因。我们很容易想到几种典型的信息安全泄露途径:软硬件故障、病毒与黑客入侵等等。再有,就是企业防火墙失效以致安全设置形同虚设,或者黑客利用企业安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。
但另一方面,企业内部的敏感信息也可能被内部人员非授权泄露或删除。女秘书PK老板的EMC"邮件门"事件、惠普"电话门"事件等,都在告诉我们一个事实,通过外发邮件、BBS、博客等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息,很可能会被在职甚至离职员工有意或无意地泄露出去。
根据自身10多年的IT构架从业经验,我总结到,再严密的防护体系也要依赖于操作、使用它的人,人有意识或无意识的各种行为绝对是安全的重大隐患之一。比如说,在硬件等因素完全"过硬"的情况下,信息不可能自己外泄,必然是有人的行为不当导致信息暴露。在安全体系建设过程中,除了要对"事",更要对主体–"人"!现在我就和大家交流基于互联网行为主体的外部行为管理。
一、主体管理困境引发关键信息外泄
普华永道最新发布的《2008全球信息安全状况调查报告》显示,中国在信息安全的很多方面仍处于落后状态,有44%的信息安全事件与数据失窃有关。普华永道系统和流程管理部合伙人傅毓敏认为,企业安全体系建设绝不是具备安全治理框架和技术支持这么简单,而是需要三个关键要素–人员、流程、技术的紧密结合。这里就提到了"人"的重要。
前几天,我参加了"2008中美CIO峰会",听到天狮集团CIO提到一点,在信息安全风险点中,"人"是他们企业最关注的因素之一。"因为技术可以学习,流程可以复制,只有人是个性的。"
想想看,人之所以能站在生物链的顶端,就在于我们具有自主意识、自主行为。正是这种自主意识行为让我们创造了信息化,也正是由于这种自主意识、自主行为的存在,可能给数据安全带来了种种隐患。当我们部署了完备的安全软硬件,再采取正确的上作行为,就可以把各类威胁带来的危害降至最低;反之,错误、危险的上网行为会让任何安全措施都形同虚设。邮件泄密就是一个最简单的例子。
但是,就现在的互联网情况来说,我们对互联网行为主体–"人"的识别并不清晰。在大多数企业里,员工使用或上传哪些敏感资料,系统都没有日志记录,就算出现问题也很难追究到个人。这主要是因为以下几点:第一,我们通常采用IP地址的联系方式。第二,我们均采用地址转换技术IPv4。第三,我们没有专门的互联网认证体系,虽然很多企业有OA认证,准入认证,数据库认证,但是我们互联网外发没有专门的认证,这给我们带来的风险点是很明显的。
首先,内外定位均失效。在内部,当我们想看一个人行为发展趋势的时候,只能看到IP地址,根本不能定位到个人。对于外部,我们无法把内部和外部的地 址连接起来,因为经过地址转换以后,这些数据是瞬时的,是留不下来的。其次,任何一个外部人到我们公司来都可以上网,他可能带来一定隐患(如病毒蔓延、信 息泄密等)。因此说,互联网管理其实有50%的管理是对主体的管理,是对人的体现。
再说一个目前很热的概念–DLP(数据丢失保护)。现 在,越来越多的企业已经意识到了核心信息的价值。但是,假如我们网络中外发的文字没有记录,上传与下拉的文件没有记录,我们就根本无法谈"阻断",这就有 可能给我们带来风险。抛开国家政策不说,这种情况很可能导致企业核心信息的外泄。很多人通过邮件、BBS、博客等方式,就有可能无意识地把公司的核心机密 以及最新动向泄露出去。因此,DLP在互联网管理中也越来越重要。
看到了以上的风险点,这已经足够引起我们来重视互联网主体的应用行 为。但我们能不能通过现有的防御体系把它解决呢?这是有难点的,原因在于:客体安全情况下,我们通常是信任内部的。像防火墙很多情况下是断掉了外部主动发 起的连接,但会放行内部到外部的连接,因为我们对内部是信任的。这种情况下,互联网的行为往往是从内部发向外部,这其中如果存在隐患或是风险,却是我们很 难控制的。
正因为如此,我们很值得把互联网行为主体"人"及行为单独拿出来管理。目前中国的互联网行为管理远落后于欧美。通用电气很早以前 禁止了IM,摩根大通禁止IM和网络电话,环球电信禁止IM以及非内部的电子邮件。英国剑桥大学禁止shype。我原来的公司华为只允许公司内部 mail,不允许发送公司外部的邮件。这些单位之所以这么做,是因为他们知道互联网行为管理的价值,互联网管理能给我们的企业带来更高的回报。
二、互联网主体行为管理解决建议
"三分技术 七分管理",一直是安全领域的至理名言。三分技术,防治的更多的是已知的各种安全威胁;七分管理,则主要针对人,无论是通过各种安全制度约束,还是利用各项技术对人进行管理,目的都是约束"人"的行为,不给安全威胁可乘之机。
网康科技来是一家做服务、做咨询的公司,我们在给每一位客户做上网行为管理的时候,都会遵照一种有效的体系来建立。具体而言,主要有以下几点:
第一,建立有效的行为主体识别机制
既然互联网行为管理大概有50%是关注在主体安全上,建立有效的行为主体识
别是至关重要的。离开了人,互联网行为管理就成了一门技术;加入了人,互联网行为管理就成为了一门艺术。所以,我们会提供有效的组织架构,同时开启有效的认证,保证我们每一个人员上网要进行"实名制"。
实名制的好处是显而易见的。举个例子说,我们可以对外发言论(包括BBS、论坛发贴,博客发文)实现全方位的内容记录,使所有言论有史可查,有据可依,从而 在问题出现时能够及时定位,责任到人。另一方面,有了技术和体制上的管理,也能对用户的上网行为产生一定的威慑,使其在互联网访问及言论发表过程中注意自 己行为的后果,减少不当言行。
第二,"洞悉"我们的互联网行为
当搭建好了基础平台之后,就涉及到所有IT系统遵循的理念,这 就网康科技一贯倡导的"洞悉 管控 驾驭"。网康科技提供的解决方案能够对企业网络进行全面实时监控,帮助管理员"洞悉"网络中正在发生的行为;通过制定完整的策略,针对人员、时间、应用进 行全面的"管控"和审计;再通过对用户行为进行回溯查询与综合分析,不断优化管理策略,实现对企业员工访问互联网的全方位的"驾驭"管理。
那么,我们是如何实现"洞悉"呢?首先,我们会帮助客户建立有效的综合互联网监控系统,无论是网页、流量、分布、带宽等信息,我们都会及时得到。其次,我们 会把客户的信息有效地沉淀下来,供随时浏览、随时分析,这就是我们所说的"友善的监控"。第三点,当我们实现全面的"监控"以后,才能知道客户当前的问题 在哪里,才能做下一步的处理。
第三,"管控"我们的互联网行为
我们可以帮助企业节省带宽投资,提高员工的工作效率。在方 案部署中,我们可以把与工作无关的一些应用屏蔽掉。比如说,上班时间不允许炒股,不允许玩游戏,但在下班时间可以开放这些应用。我们可以通过网康科技丰富 的行为列表、树状化的行为列表来实现我们的控制效果。同时,我们的系统提供的详尽的互联网活动审计日志,也为改变网络环境提供了有效的数据支持。
第四,"驾驭"我们的互联网–坚持不懈地展开有效的统计分析
互 联网行为管理理念最核心的就是要坚持不懈地统一管理。只有不断地统计挖掘,我才能知道我们的前端问题到底在哪里。在CISSP教程里面,风险被分为"可预 知风险"和"不可预知风险"。"不可预知风险"对于一个企业来说是十分恐怖的,如果有能力获得这个风险就可以转变成"可预知风险","可预知风险"就可管 理。所以,持续地统计分析是互联网管理体系当中很重要的一部分。
以网康科技实施的案例来说,我们可以帮助客户快速地分析出网络当中潜在的访问风险在哪里,我们可以帮助客户快速的分析出互联网行为的隐患服务到底在哪里,我们可以通过IT系统在客户的互联网出口处快速的分析出他们到底是不是违背了极限。
"洞悉 管控 驾驭"带给我们的价值
当我们能够"洞悉 管控 驾驭"我们的互联网,会获得极大的回报。首先,用户的互联网行为可以有效地遵从国家的政策法规和企业的规章制度。
其 次,我们可以对上传的信息的保密、无意识的信息泄密很好地控制。为什么说是无意识的呢?我们都知道,对于主动泄密的防范是有很大成本的。就一些我知道的方 法来说,为了防止U盘的使用,我们的PC机后面会有一个安全机箱,这个成本就很大。如果没有这个机箱,我们就没有办法控制U盘的插拔,U盘被别人拔走了我 们都可能不知道。如果我们不能投入高额的费用来防止主动泄密,或者没有必要的性价比的话,那么只能做到无意识外发泄密的尽量控制。
然而,可 喜的一点是,这种信息外发大部分是无意识的,有意识的外发量还是相对比较少的,而且是恶意的,很难防控的。但如果我们一步一步去减少风险可能的话,我们可 以对有意识的泄密增加一些成本。当有人想做这个事情的时候,他必须额外的付出;额外付出越多,他的动作就越大;动作越大,他被发现的可能性就越大。所以, 在这个层面上,我们通过互联网管理体系可以实现信息保密。
再次,工作效率提升。我们对员工上班时间炒股、网上购物,玩游戏(包括IM类游戏)等活动进行管控,网络电视、电影、游戏等网络娱乐应用也被限制,这样一来,员工的精力将很大程度集中到本职工作当中,这对企业的核心竞争力有极大的帮助。
最后,投资保护的收益。我们投资的带宽、电力、服务器可以有效的通过行为管理进行相应的节省。
在现在的互联网环境下,管理好互联网主体及行为,有效地"洞悉、管控、驾驭"自己的互联网,是对主体风险的一种有效规避,也是对数据保护的进一步加强。就目前而言,全面的互联网行为管理的时代已经到来了。
