放之四海：具有通用性的內(nèi)網(wǎng)安全管理體系

　　盡管很多時候人們不可遏止地覺得守護目標(biāo)不讓黑客對其進行攻擊是一件很酷的事情，但是在絕大多數(shù)情況下，安全管理都是建構(gòu)在規(guī)范和嚴(yán)謹(jǐn)之上的一件工作。這其中不但需要正確的應(yīng)用安全技術(shù)，同時也需要前期的規(guī)劃和設(shè)計以及后期的運營和支持。在這里我們將嘗試給出一個內(nèi)網(wǎng)安全管理體系的基本模型，我們希望它具有廣泛和長期的適應(yīng)性，同時覆蓋內(nèi)網(wǎng)安全各個主要的問題域。

　　一般來說，一個內(nèi)網(wǎng)安全解決方案從形成到正式開始運行，要經(jīng)歷如圖所示的一系列階段。從認(rèn)識到有需要解決的內(nèi)網(wǎng)安全問題或者內(nèi)網(wǎng)存在安全問題開始，首先需要形成一份需求定義文檔。這份需求文檔應(yīng)由信息安全部門和行政部門的管理人員進行評估，然后表決通過。

　　在此之后，應(yīng)根據(jù)需求進行實際內(nèi)網(wǎng)安全防護體系的構(gòu)建，這其中通常還可以展開很多子步驟，例如進行安全體系的具體設(shè)計等。當(dāng)一個內(nèi)網(wǎng)安全體系經(jīng)過評估之后將融合到現(xiàn)有的信息基礎(chǔ)設(shè)施當(dāng)中，同樣地，如果基礎(chǔ)設(shè)施發(fā)生變化，相對應(yīng)的也要進行評估。而在這些工作完成之后，需要對已經(jīng)成型的安全體系進行評價和驗證，以證明其有效性。

　　如果不存在漏洞和考慮不周之處，該內(nèi)網(wǎng)安全體系將投產(chǎn)于實際的工作環(huán)境，而后續(xù)的針對應(yīng)用環(huán)境變更所做出的調(diào)整、日常的安全管理、發(fā)生安全事件時的應(yīng)急響應(yīng)和支持等工作將會有序地開展。

　　按部就班：如何操作內(nèi)網(wǎng)安全管理

　　從管理目標(biāo)來說，內(nèi)網(wǎng)安全所處理的主要問題還是內(nèi)網(wǎng)中的信息也即數(shù)據(jù)。雖然說Web、電子郵件、即時通信、業(yè)務(wù)管理系統(tǒng)等建構(gòu)在局域網(wǎng)和互聯(lián)網(wǎng)上的應(yīng)用為企業(yè)帶來了大量的效率提升，但是并不是所有的人都明白這些應(yīng)用會給企業(yè)的數(shù)據(jù)帶來什么風(fēng)險，更不知道如何來控制這種風(fēng)險。

　　通過對信息進行分級并映射其可能的安全風(fēng)險，以及在這些安全風(fēng)險變成現(xiàn)實時可能遭受的損失，在擁有這些基礎(chǔ)素材之后安全管理人員才能開發(fā)出有效的控制措施來將風(fēng)險降低到可以接受的程度。在形成了完善的信息分級系統(tǒng)之后，組織就可以著手形成自己的基本安全策略。

　　安全策略除了確認(rèn)信息作為受保護資產(chǎn)的地位之外，更重要的價值在于規(guī)定當(dāng)信息依照其所在等級的風(fēng)險情況應(yīng)該受到何種程度的保護。而在預(yù)期的成本和目標(biāo)效果的指導(dǎo)之下，安全管理人員應(yīng)選擇與之相適應(yīng)的技術(shù)和產(chǎn)品來構(gòu)建安全防護措施。

　　當(dāng)然，在一切都被搭建起來之后，還有很多安全管理工作需要被周而復(fù)始地執(zhí)行。然而不得不承認(rèn)的是，很多情況下安全管理人員都直接將構(gòu)建安全設(shè)施作為內(nèi)網(wǎng)安全管理的起點，同時以很低的效率和很盲目的姿態(tài)來開展后續(xù)的工作，這樣做最可能的結(jié)果就是形成一個可能發(fā)生安全事件的內(nèi)部網(wǎng)絡(luò)。從下面提供的一份示例清單中可以看出，這種未經(jīng)足夠準(zhǔn)備就開始的安全工作到底遺漏了多少有益的要素。

　　見招拆招：實例解析內(nèi)網(wǎng)安全管理

　　也許在95%的講解內(nèi)網(wǎng)安全管理的文章中，內(nèi)網(wǎng)都用來代指與互聯(lián)網(wǎng)相對的局域網(wǎng)絡(luò)。但是在實際的安全管理情景中，內(nèi)網(wǎng)往往還需要被劃分成不同的區(qū)域。有的時候是因為組織業(yè)務(wù)的需要，網(wǎng)絡(luò)已經(jīng)被進行切割;而有的時候則是為了讓安全體系更加具有層次，所以令不同安全等級的數(shù)據(jù)只能在自己的區(qū)域中流動。

　　有相當(dāng)多的技術(shù)可以實現(xiàn)網(wǎng)絡(luò)隔離，例如防火墻設(shè)備、中繼網(wǎng)關(guān)、應(yīng)用代理、三層交換機、VLAN等等。盡管很多企業(yè)都應(yīng)用低層的物理隔離設(shè)備來分割網(wǎng)絡(luò)，但是事實上應(yīng)用最廣泛的仍舊是防火墻類型的設(shè)備。而另外一個較為明顯的趨勢是，大部分組織都應(yīng)用了一種以上的技術(shù)或設(shè)備來進行網(wǎng)絡(luò)區(qū)域的劃分和管理。

　　然而，如果只是利用這些傳統(tǒng)的、基本的設(shè)施來進行網(wǎng)絡(luò)隔離管理是相當(dāng)?shù)托У模埠茈y與數(shù)據(jù)隔離、應(yīng)用隔離等安全管理手段相互融合。所以更加受到推崇的方式，是在一個統(tǒng)一的管理平臺之下，將面向各種層面和各種方向的防護機能整合起來。

　　另外，對于那些出現(xiàn)安全問題同時可能對內(nèi)網(wǎng)其它節(jié)點造成破壞的計算機，整個安全管理體系可以智能識別并將其與內(nèi)網(wǎng)切斷。這樣的體系可以簡化安全管理員的負(fù)擔(dān)，甚至每一臺計算機都可以被視為內(nèi)網(wǎng)中的一個內(nèi)網(wǎng)，管理彈性可見一斑。