內網安全已經不是需不需要的問題,而是怎樣去管理的問題,用一句話來形容內網安全問題那就是"老生常談,不得不談"。這一門錯綜復雜的學問,想要完全掌握也不是一朝一夕的事情。因此,本文主要從內網安全的范圍及特點、制度的建立和人員管理及產品選擇幾個角度來簡單討論一下。
古人云:"知己知彼,百戰不殆。"想要保障企業內網的安全,肯定要對內網安全的定義以及范圍有所了解,就像看病一樣,要"對癥下藥"。
內網安全的范圍
內網安全直接影響到企業信息的機密性,所以怎么強調都不是過分的事情,若想要做好內網的安全防范,對于其特點就要有一個明確的理解。
一位外企信息安全官李洋曾談到:"內網安全問題主要來源于兩方面,一個是從外到內的(交界、邊界安全),另一方面是從內到外的。根據不同來源的安全問題,會有不同的防范措施。"
的確如此,當說道安全問題,一方面很自然地就想到要如何防范來自互聯網的攻擊,如何防范攻擊者入侵到內部網絡,如何控制遠程接入的訪問權限等等,這些就是從外到內的安全問題;另一方面還要控制從企業內網到外網的訪問,內部移動設備的接入,分發管理等等。
可見,內網安全具有一個雙向交互的管理特點,所以單從一方面去管理是不全面的,因此,在技術方面就會造成一定的管理難度。然而,除了技術方面,內網安全管理的難點還包括行業差異和制度的建立兩個方面。
內網安全管理的難點
第一:企業的IT建設、行業的不同需求造成的安全管理會有很大的差異。有的企業可能是注重于數據的防泄漏,有的企業可能注重于員工日常的上網行為控制,還有的企業更注重于內外網的接入和訪問等等。相較于外網的防護,內網安全更加雜而亂,沒有一個常規的防范標準。
第二:內網安全所涉及的技術和產品也非常多。身份驗證,權限控制,系統管理,行為管理,網絡監控,應用管理等等,這么多相關的技術和產品讓安全人員應接不暇,根本上也是因內網安全需求的復雜度而引發的。
第三:制度不完善。很多企業在遇到內網安全問題的時候,往往不是因為技術方面的不足,而是人員管理的問題。很多員工并不是安全人員,不會意識到某些操作會帶來安全威脅。例如,A企業安裝了上網行為管理產品,控制員工的網絡使用。然而某員工還是通過3G網絡接入外網,造成了數據泄漏。若在數據泄漏之前,公司明文規定嚴禁以任何形式接入外網,并有效地推動此規定的實施,想必這樣的事情也不會輕易發生。
可以說,在一定程度上規范制度的建立是為了進行更好的人員管理,那么針對內網安全,在制度和人員管理方面應該注意哪些問題呢?
制度的建立和人員管理
針對制度的建立和人員管理問題,李洋對此也深有感觸,他道:"針對不同的行業,會有不同的人員管理需求(制度,規定章程方面)。
例如,金融行業,在金融行業的IT的治理,面對不同的部門,不同的階層,制定不同的安全等級,達到一個安全目標。
例如,普通員工的日常工作安全標準,運維人員的安全標準,管理人員的安全標準都是不同的。如果落實在章程中,會非常的細致,比如在職人員的安全管理,離職人員的安全管理等等。
另外,人對工具使用。針對安全工具(產品)的使用,以及日常辦公軟件的使用,因為每個人的素質不同,對于這些工具的使用,安全防范意識是不同的。"
可見,由于人為因素的加入,讓內網安全管理變得更復雜。那如何制定一個適合企業的內網安全管理制度呢?在這里提出如下幾個建議:
◆了解自身業務需求
日常業務操作是企業的命脈,因此從根本出發,在業務工作流程中分析員工的日常工作行為,找出薄弱環節,制定符合業務需求的工作規范。
◆了解安全風險
要弄清楚企業內網有可能面臨哪些風險,現有條件下對這些風險的承受程度如何。只有在了解了這些風險的前提下,才能制定相關的防范措施和應急措施,從而保障業務的連續性。
◆提高員工素質
實際上大多數安全問題都是由人直接或間接造成的,因此,培養以及提高內部人員的職業素質,信息和網絡安全素質,制定合理的安全管理制度和工作流程,是非常有必要的。
安全總是相對的,百密總會有一疏,但是要盡量將企業的安全制度和措施相結合起來,環環相扣,其中還有最重要的一點:想盡一切辦法去實施這些制度!
有了內網安全制度和人員管理機制后,我們就需要結合一些安全產品來加強內網的防護,那么下面我們就來談談安全產品的選擇問題。
產品選擇
相信不少安全人員都會有這方面的困惑,面對有限的預算,面對廠商天花亂墜的宣傳,選擇一個合適的產品是一件不容易的事情。那么如何選擇安全產品呢?
信息安全官李洋對此的看法是:"對于一般的企業來說,如果具備上網行為管理,敏感信息管理,端點防護(控制病毒等的傳播)和數據防泄漏,這四個方面就可以達到一個基本的內網安全的防護標準,然后再針對不同企業的特別需求進行安全模塊的添加。在這方面,我希望能夠采用多個廠商的安全產品。這樣做的原因如下:
第一,是每個安全廠商的(產品)所專注的領域不同,在效果方面肯定也會不同。
第二,如果多個安全模塊全部由一個廠商提供,盡管兼容性很好,但是這樣在價格方面會比較高,這種打包式的產品具有壟斷性和排它性。所以我希望我們所采用的安全產品是多元化的。
但是,這其中就會存在一個兼容的問題。如果我們使用的產品是各個不同廠商的產品,肯定會存在兼容性問題,這里我們就需要先從全局考慮,在選擇產品的時候,可以要求廠商開放一些(產品)端口,看看他們是否能夠提供這樣的服務,其中他們的服務態度也是非常重要的。"
看來這位安全人士在產品的選擇上更注重產品的擴展性和多樣性。那么除了這些問題,還應該注意哪些問題呢?下面來簡單總結一下。
◆可用性和易操作性
在選擇內網安全產品的時候,首先要想到安裝了此產品后,會對我們的業務操作帶來什么樣的影響。不能過分強調安全而降低了IT業務的操作性,這個就需要在購置產品前考慮到整體的業務操作流程和安全策略的規劃。
◆安全建設措施、成本和需求的平衡性原則
必須考慮到不同的信息資產的價值不同,則保護措施也不一樣,企業不可能投入相同的資金保護價值不一樣信息資產,比如普通PC機的安全管理成本和服務器是完全不同的。
◆整體性
任何一處的安全薄弱點被惡意攻擊者利用的話,都有可能導致整個安全體系的崩潰,所以需要從整體考慮內網安全管理的各個方面。
◆穩定性和可擴展性
穩定性是必須的,產品在使用過程中若動不動就崩潰肯定是不行的,類似于可用性的內容,不穩定必定會影響到日常業務的操作。另外就是可擴展性,這個也就如之前那位用戶談到的產品多元化問題。
◆政策要求
這點也是我們必須要考慮到的,尤其是一些國有企業、政府行業和事業單位中,政策要求往往會更重要。
結語
關于內網安全管理我們討論了它的范圍,管理的難點和要點,以及制度的建立、人員管理和產品選擇的問題,而這些也只是內網安全管理的冰山一角,在今后的安全建設中我們還需要不斷地去完善安全體系,去解決各種各樣的問題。在上期的51CTO技術沙龍中,我們也討論了內網的相關問題,最后也做了視頻總結,感興趣的朋友可以前去觀看。
京公網安備 11010502049343號