SQL Slammer病毒的爆發再次證明了“安全孤島不存在”的道理,只有正確地評估自己的信息資產所面臨的安全風險,按照科學的風險管理模型進行處置,才能確保合理的投入得到合理的保護效果。
安全體系建設選擇有三
網絡安全大致可以分為組織策略類和產品技術類,前者包含安全策略、組織機構、管理流程等;后者包含各種各樣的安全產品、網絡攻防技術等。前者與其他業務管理的共性較多,較為容易借鑒其它業務管理的經驗和模式,在貫徹實施上有挑戰性;后者具有很強的時效性和實戰性,通常一個新的安全漏洞從發布到利用公開的手段傳播只有幾個小時,換句話說,留給防守者的時間窗口只有幾個小時。
據一項國際調查顯示,通常一個安全管理員或者專家,每天需要花費兩三個小時以尋找、整理各種新出現的安全漏洞和與之對應的新技術。不及時的安全響應和更新可能會使整個安全體系原來的投資形同虛設。這與傳統的電信業務或者TCP/IP技術有很大的不同。另外,安全技術人員的信息獲取和溝通往往是這些專業人員能否快速成長的一個關鍵因素。總之,網絡安全技術具有對抗性、時效性的特點,網絡安全技術隊伍要求具有高度專業化和一定的規模化。對于一個大型企業來說,在網絡安全體系的建設上面可以有三種選擇:一,建設自己的專業隊伍,并完全依靠它實現自己的網絡安全體系;二,尋找可信任的專業伙伴,將自己的安全建設完全外包給它;三,建設自己一定規模的專業隊伍,同時尋找可信任的專家隊伍,外包一部分安全建設、維護的任務,自己的專業隊伍只要做好建設規劃、驗收、核心業務保護等即可。
這種選擇不是技術問題,而是業務問題,它關系到整個企業的業務定位和策略。三種選擇從技術上都可以達到非常高的安全水平。但是成本和效果不同。第一種選擇需要維護一個較為龐大的專業隊伍(專業化、規模化),成本非常高;第二種選擇不容易把握安全建設的方向,可能會導致企業核心機密外泄;第三種選擇在成本和效果方面應該是一種更為平衡的選擇,它對于大多數企業來講都是比較適合的。
風險管理分三層
網絡安全歸根結底是信息資產的風險管理問題。當前,業界已經有多個非常著名的風險管理模型。但是,不管哪個風險管理模型,都很難做到一步到位。從發展和建設的過程,往往可以分為三個層次:
一,快速、大量部署安全產品,如防火墻、入侵檢測、反病毒等。該層次屬于急藥猛藥,可以在短時間內較快地的提高網絡防護水平。但是,即使我們假設這些產品都得到了有效的利用和配置,這些產品部署后的效果,是否存在盲點、短路、過時等問題,還是不能有效解決。大多數企業在安全建設伊始會采用這種方式,這種方式也最容易被IT部門或者網絡部所接受。當然,就如同前面的分析結果,實際的風險管理效果也停留在這個層次上面。
二,通過定期、不定期的風險評估和加固,及時發現安全問題,并盡快彌補。基于以上層次的分析,如果我們在第一個安全層次的基礎上再加裝掃描器定期掃描網絡,這樣的安全效果將如何呢?這種思路沒錯。掃描器可以經常地、定期地檢查企業信息資產的弱點,例如是否有新的主機或服務出現,是否某個主機或服務不見了。但是,僅僅依靠掃描是不夠的,更為關鍵的是,對于由掃描發現的弱點能夠及時地做出彌補。這就需要“加固”這一當前正在變得越來越普遍的安全專業服務。而且,在通常的情況下,僅僅依靠“掃描”的手段并不完善,其中還需要專家“滲透”測試、組織管理審計,甚至包括社會工程、信息泄漏測試等更為復雜的手段來全面地評估企業的風險狀況。在此基礎上,建立企業相關的資產信息庫,對資產、弱點、威脅、風險等保持跟蹤和及時更新,發現漏掉的以及新出現的安全風險。處于該層次風險管理水平通常代表著企業對網絡信息安全、安全風險管理等達到了一個新境界,在安全上面的投資效益也獲得了進一步的提高。
三,建立集中統一的安全管理平臺,對整個企業內的安全策略、信息資產、安全屬性、風險以及相關的安全事件、安全事件的響應和處理、配置等都進行實時、集中、統一的管理。尤其是對于大規模、跨地域的電信級網絡,這種集中統一的安全管理平臺可以大幅度提高整個體系中安全產品的效果,提升投資效益。使得管理層,即信息資產的所有者能夠實時地了解到威脅和風險狀況,在投資和其它處理方式上作出更為準確的判斷。
上述三個層次的安全時效性是逐漸上升的,按照筆者的經驗和觀點,這三個層次不能互相替代,但是不排斥同時建設、并行處理的做法。
集中統一管理受青睞
當前,國際上先進的運營商或者關鍵企業網絡為了保證網絡時刻處于安全狀態,正在越來越多地采用第三個層次的實時風險管理模型。例如,國際著名企業,如英國電信(BT)、南方貝爾(Bell South)、索尼、杜邦等都已經建立起覆蓋自己整個企業網絡的統一風險管理體系。在國內,中國電信和中國移動總部等也進行了許多前沿的探索和實踐。
應該說,在遭受到Nimda、CodeRed、SQL Slammer攻擊后,信息安全業界正在不斷進行反思。只有保證安全風險能夠得到“實時”的控制和管理,才有可能在下一次更為兇猛的攻擊到來時,使自己的網絡做到高枕無憂。
網絡安全技術的時效性和對抗性要求相應的安全風險管理體系也具有這樣的專業性和時效性,才有可能起到理想的防護效果。為了達到這樣的時效性和專業性,安全外包往往是值得考慮的一種方式,但是外包的內容、方式、對象、管理等需要企業認真地研究考慮。在風險管理的體系方面,從部署安全產品到采用安全服務,最后發展到實時風險管理。這三個層次,在實時性方面逐漸上升。采用自己的專家隊伍與適當外包相結合的策略,以建設集中統一的實時風險管理體系為目標,可以最為有效地利用投資,保護自己的信息資產。
--------------------------------------------------------------------------------
如何挑選安全外包商
安全外包是最近越來越受到關注的一個話題,它可以有效地利用安全方面的投資,充分利用外包方的專業安全技術和專家知識,使得企業可以專注于自己更為擅長的領域。但是,如何選擇外包方,外包些什么,如何管理外包,保證外包質量?筆者也曾經在以前的討論中多次涉及這一話題。
一般來說,在選擇一家安全外包商和簽署外包合同前,通常需要事先考慮好以下四方面的內容:
1.外包前的計劃和準備。這一點必須通過企業中具有相當專業知識、對業務深入了解的委員會認真討論,根據自己企業的特點來決定。原則上,安全審計、評估加固、培訓、開發、安全通告、緊急響應等適合外包,策略的建立則需要自己的專家深層次介入。
2.了解面臨的風險。通過自己的專業委員會或者專業顧問的分析,鑒別出關鍵業務和核心機密,正確判斷外包節省的費用與外包管理失敗帶來的損失之間的平衡關系。
3.外包方的實力和成功案例。選擇外包方時,需要重點考察其綜合實力、成功案例和業界的信譽。
4.管理外包合作關系。外包過程建立在相互信任的基礎上,雙方的技術人員和商務人員都需要緊密接觸,及時澄清可能存在的誤解。
(責任編輯:郁單曰)