放之四海:具有通用性的內網安全管理體系
盡管很多時候人們不可遏止地覺得守護目標不讓黑客對其進行攻擊是一件很酷的事情,但是在絕大多數情況下,安全管理都是建構在規范和嚴謹之上的一件工作。這其中不但需要正確的應用安全技術,同時也需要前期的規劃和設計以及後期的運營和支持。在這裡我們將嘗試給出一個內網安全管理體系的基本模型,我們希望它具有廣泛和長期的適應性,同時覆蓋內網安全各個主要的問題域。
一般來說,一個內網安全解決方案從形成到正式開始運行,要經歷如圖所示的一系列階段。從認識到有需要解決的內網安全問題或者內網存在安全問題開始,首先需要形成一份需求定義文檔。這份需求文檔應由信息安全部門和行政部門的管理人員進行評估,然後表決通過。
在此之後,應根據需求進行實際內網安全防護體系的構建,這其中通常還可以展開很多子步驟,例如進行安全體系的具體設計等。當一個內網安全體系經過評估之後將融合到現有的信息基礎設施當中,同樣地,如果基礎設施發生變化,相對應的也要進行評估。而在這些工作完成之後,需要對已經成型的安全體系進行評價和驗證,以證明其有效性。
如果不存在漏洞和考慮不周之處,該內網安全體系將投產於實際的工作環境,而後續的針對應用環境變更所做出的調整、日常的安全管理、發生安全事件時的應急響應和支持等工作將會有序地開展。
按部就班:如何操作內網安全管理
從管理目標來說,內網安全所處理的主要問題還是內網中的信息也即數據。雖然說Web、電子郵件、即時通信、業務管理系統等建構在局域網和互聯網上的應用為企業帶來了大量的效率提升,但是並不是所有的人都明白這些應用會給企業的數據帶來什麼風險,更不知道如何來控制這種風險。
通過對信息進行分級並映射其可能的安全風險,以及在這些安全風險變成現實時可能遭受的損失,在擁有這些基礎素材之後安全管理人員才能開發出有效的控制措施來將風險降低到可以接受的程度。在形成了完善的信息分級系統之後,組織就可以著手形成自己的基本安全策略。
安全策略除了確認信息作為受保護資產的地位之外,更重要的價值在於規定當信息依照其所在等級的風險情況應該受到何種程度的保護。而在預期的成本和目標效果的指導之下,安全管理人員應選擇與之相適應的技術和產品來構建安全防護措施。
當然,在一切都被搭建起來之後,還有很多安全管理工作需要被周而復始地執行。然而不得不承認的是,很多情況下安全管理人員都直接將構建安全設施作為內網安全管理的起點,同時以很低的效率和很盲目的姿態來開展後續的工作,這樣做最可能的結果就是形成一個可能發生安全事件的內部網絡。從下面提供的一份示例清單中可以看出,這種未經足夠准備就開始的安全工作到底遺漏了多少有益的要素。
見招拆招:實例解析內網安全管理
也許在95%的講解內網安全管理的文章中,內網都用來代指與互聯網相對的局域網絡。但是在實際的安全管理情景中,內網往往還需要被劃分成不同的區域。有的時候是因為組織業務的需要,網絡已經被進行切割;而有的時候則是為了讓安全體系更加具有層次,所以令不同安全等級的數據只能在自己的區域中流動。
有相當多的技術可以實現網絡隔離,例如防火牆設備、中繼網關、應用代理、三層交換機、VLAN等等。盡管很多企業都應用低層的物理隔離設備來分割網絡,但是事實上應用最廣泛的仍舊是防火牆類型的設備。而另外一個較為明顯的趨勢是,大部分組織都應用了一種以上的技術或設備來進行網絡區域的劃分和管理。
然而,如果只是利用這些傳統的、基本的設施來進行網絡隔離管理是相當低效的,也很難與數據隔離、應用隔離等安全管理手段相互融合。所以更加受到推崇的方式,是在一個統一的管理平台之下,將面向各種層面和各種方向的防護機能整合起來。
另外,對於那些出現安全問題同時可能對內網其它節點造成破壞的計算機,整個安全管理體系可以智能識別並將其與內網切斷。這樣的體系可以簡化安全管理員的負擔,甚至每一台計算機都可以被視為內網中的一個內網,管理彈性可見一斑。