技术时评：全面总结安全的几个瞬间二

　　 
　　管理:主动挑战自我
　　
　　攘外先安内
　　
　　人们常说“内忧外患”，对信息安全的威胁也是如此。
　　

　　在主动思路下的管理中，“由内而外”，是一个合理而且正确的思考方式。企业内部人员对信息安全从来并且可能永远都是最大的威胁。由于内部人员比任何外人都更了解企业的网络。如果有人心怀不满，可以很容易把公司的重要商业信息带走，或者把它泄露出去，对企业造成损害。
　　
　　在惯性思维的引导下，通常企业都比较信任内部的员工，差不多两年前，多数的安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任，可以在网络中随意游走，毫无限制。目前，越来越多的企业意识到了这类威胁，大多数网络安全设备也开始同时监视企业内部和外部的情况，并且对那些可疑的活动类型进行阻止或提出警告。但是，对企业而言，内部的威胁仍然是不可轻视的最大安全隐患。
　　
　　而且，随着信息化发展的进程，网络信息系统和企业的核心业务关联性越来越大，信息的商业价值也水涨船高。这使得越来越多别有用心的人铤而走险，而通过企业的内部获取机密信息，往往是一条最佳“捷径”。
　　
　　IDC报告表明，70%的安全损失是由企业内部原因造成的，另一个为众多安全厂商经常引用的数据来自FBI和CSI，该数据称，超过85%的安全威胁来自企业内部，威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的，还是国内外一些活生生的例子，包括很多全球知名企业的泄密案等，其损失之巨大，更是足以让后来者引以为戒。
　　
　　虽然我们非常清楚地知道企业内部人员的危险程度有多高，但是，内部人员的犯罪活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情，人性本身的变化是最难控制与防范的。因此，“主动安全”更多的就是要我们主动出击，防患于未然。
　　
　　比如，针对移动存储设备、外设端口、网络行为三个内部数据泄密的主要途径进行有效管理。对于各类目前已经广泛使用的移动存储设备(如:移动硬盘、闪盘、SD/CF/等)，通过网络安全管理系统对其进行“身份认证”，只有通过认证的移动存储设备才可以在网络内使用，并可以将数据以加密形式存于移动存储设备当中，确保企业实现关键数据的安全。
　　
　　此外，还可以对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录，提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告，从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。
　　
　　在制度管理方面，防范来自企业内部的安全威胁，首先要建立规范的信息化管理系统，并且具备基本的安全保障系统，比如企业总部与分支机构的网络互联一定要使用VPN;二是要有安全管理制度体系，并且制度能够有效地执行;三是，企业领导对信息安全问题的高度重视。在上述三点中，最难的在于如何有效地制定并执行安全管理制度体系，这涉及到企业的管理风格，业务模式与对信息安全的重视依赖程度，也是最难把握的一个环节。
　　
　　怀疑一切
　　
　　网络安全管理的另一个主要挑战是安全问题的范围、其所涉及的复杂技术和如何建立有效的流程来解决它。
　　
　　针对网络安全采用的方法基于一个简单而强有力的准则:除了被明确地授权允许的访问以外，其它的一切将被自动地拒绝。因此，每一个被授权允许的访问的风险是被仔细评估过的，因而不应该有什么未知的风险。
　　
　　“默认拒绝”意味着设计一套经过深思熟虑的安全策略，并且必须实施集中化的管理;否则这一过程将耗时持久、错误百出、甚至有可能起反作用，特别是在大型网络上，因为庞大的设备数和用户数使严密的安全策略控制变得完全不可行。它同时要求一个基于策略的方案，以建立一套可以在整个网络上主动实施并控制的规则。
　　
　　为了达到预期的效果，IP网络安全策略必须被仔细地、彻底地实施在网络内所有的安全设备上。对于大型网络来说，尤其是在涉及多个厂商的情况下，安全规则的生成和维护是个异常繁琐并且容易出错的过程。随着时间的推移，数以千计的安全规则和数以百计的设备的维护成为一个沉重的负担，并且大大加大了管理员人工错误的可能。其它诸如集群设置、支持虚拟系统的防火墙等，都会进一步给管理带来新的复杂性。
　　
　　解决这些问题需要自动化，并且摒弃逐台管理设备的方式。安全设备、路由器和交换机有自己的过滤器语言;如果人工地设置，每一条指令都需要具体某个设备的专家才能完成。此外，设计过滤规则是一个单调乏味并且容易出错的过程，需要持续的评估规则的影响级别。当规则超过了数百条，出现错误的危险大大增加。
　　
　　主动的安全管理，首先要评估最重要的安全风险，比如哪些安全活动针对哪些核心业务系统?危害程度的高低?以此明确重点防护的方向。再有就是要建立基于策略的安全管理，不同于端到端的设备管理所采用的在网络上逐一配置的方式以获得适当的安全保护度，基于策略的管理通过在网络元素之间建立规则和关系的方式更接近于商业的需要和操作。
　　
　　总之，高效的安全管理系统通过对网络中各种资源以及网络中的行为的监管与关联分析;能够帮助用户从全局角度对网络安全状况进行分析、评估与管理，以获得全局网络安全视图;并能够通过制定安全策略指导或自动完成安全设施的重新部署或响应，来对网络中的异常行为进行控制或对网络中的安全风险进行主动的消减。
　　
　　手记　什么是“主动”的真义
　　
　　当安全被当作一个整体而重新认识的时候，更多的问题也随之浮出水面，从病毒蠕虫、漏洞扫描、网络钓鱼、内容过滤一直到身份认证，越来越多的安全威胁被发现潜伏在我们的周围，不同的安全问题需要用户了解不同的技术、购买不同的产品，而这一切又是一个“有机整体”，任何一点的疏忽和薄弱都可能导致整个防护系统的崩溃。
　　
　　复杂所带来的管理和维护上的困扰只是一个方面，更重要的是，它和安全本身，已经成为一对事实上的矛盾。
　　
　　过去，我们一直为网络性能和应用的飞速发展雀跃，然而现在，每一次速度的提升和每一种新应用的诞生，都会带来新的安全问题，比如高流量下的安全内容过滤，再如p2p、即时消息、RSS的红火应用，无一不闪现着安全的阴影。
　　
　　这是一个无法剥离的矛盾共同体:网络的日趋复杂与越来越高的安全要求就是矛盾的两个方面。网络性能越高，越复杂，它的安全性就越差。从某种角度来看，这就像发生交通事故的风险一样。当交通工具越来越快，越来越先进时，一旦发生事故，造成的安全伤害也越大。两个行走的人撞到一起不会有太大的问题，如果是两辆行驶的汽车，就会是一场事故，如果是飞机，那就是一场灾难。
　　
　　但是，正如我们不会因为安全隐患拒绝汽车和飞机一样，我们也不可能阻挡或压制网络的发展与应用，相反，我们会在满足安全的前提下，尽可能的促进和发展它。当然，这需要我们用智慧随时寻找最佳的平衡点，而这种平衡本身就蕴含了我们所追求的“沉静的力量”。
　　
　　“网络”和“安全”正陷入前所未有的困境之中，面对这样的困境，我们的企业不应该忙于算计要雇佣多少安全专业人员、花费多少投资来构筑自己的铜墙铁壁，厂商也不能忙于盘算可以兜售多少安全产品、占据多大的市场份额。而是要从市场、技术、应用等多个层面出发，释放“主动安全”的能量。
　　
　　市场的主动，可以让企业对安全问题有更强的针对性，与其他企业有更紧密的合作，从而创造更安全的产业环境。
　　
　　技术产品的主动，如自防御网络、自动化的补丁管理、病毒主动防御、入侵防御可以在很大程度上，抵御随时出现的安全威胁。
　　
　　应用的主动让我们以应用为中心，通过应用带动安全的发展，把安全从盲目的“深院高墙”概念落实到维护实际的生产力。而所有这一切，不仅表达了“主动”对于安全的真正含义，也由此为我们带来了一个真正无忧的网络应用空间。

原文转自：http://www.ltesting.net