内网安全已经不是需不需要的问题,而是怎样去管理的问题,用一句话来形容内网安全问题那就是"老生常谈,不得不谈"。这一门错综复杂的学问,想要完全掌握也不是一朝一夕的事情。因此,本文主要从内网安全的范围及特点、制度的建立和人员管理及产品选择几个角度来简单讨论一下。
古人云:"知己知彼,百战不殆。"想要保障企业内网的安全,肯定要对内网安全的定义以及范围有所了解,就像看病一样,要"对症下药"。
内网安全的范围
内网安全直接影响到企业信息的机密性,所以怎么强调都不是过分的事情,若想要做好内网的安全防范,对于其特点就要有一个明确的理解。
一位外企信息安全官李洋曾谈到:"内网安全问题主要来源于两方面,一个是从外到内的(交界、边界安全),另一方面是从内到外的。根据不同来源的安全问题,会有不同的防范措施。"
的确如此,当说道安全问题,一方面很自然地就想到要如何防范来自互联网的攻击,如何防范攻击者入侵到内部网络,如何控制远程接入的访问权限等等,这些就是从外到内的安全问题;另一方面还要控制从企业内网到外网的访问,内部移动设备的接入,分发管理等等。
可见,内网安全具有一个双向交互的管理特点,所以单从一方面去管理是不全面的,因此,在技术方面就会造成一定的管理难度。然而,除了技术方面,内网安全管理的难点还包括行业差异和制度的建立两个方面。
内网安全管理的难点
第一:企业的IT建设、行业的不同需求造成的安全管理会有很大的差异。有的企业可能是注重于数据的防泄漏,有的企业可能注重于员工日常的上网行为控制,还有的企业更注重于内外网的接入和访问等等。相较于外网的防护,内网安全更加杂而乱,没有一个常规的防范标准。
第二:内网安全所涉及的技术和产品也非常多。身份验证,权限控制,系统管理,行为管理,网络监控,应用管理等等,这么多相关的技术和产品让安全人员应接不暇,根本上也是因内网安全需求的复杂度而引发的。
第三:制度不完善。很多企业在遇到内网安全问题的时候,往往不是因为技术方面的不足,而是人员管理的问题。很多员工并不是安全人员,不会意识到某些操作会带来安全威胁。例如,A企业安装了上网行为管理产品,控制员工的网络使用。然而某员工还是通过3G网络接入外网,造成了数据泄漏。若在数据泄漏之前,公司明文规定严禁以任何形式接入外网,并有效地推动此规定的实施,想必这样的事情也不会轻易发生。
可以说,在一定程度上规范制度的建立是为了进行更好的人员管理,那么针对内网安全,在制度和人员管理方面应该注意哪些问题呢?
制度的建立和人员管理
针对制度的建立和人员管理问题,李洋对此也深有感触,他道:"针对不同的行业,会有不同的人员管理需求(制度,规定章程方面)。
例如,金融行业,在金融行业的IT的治理,面对不同的部门,不同的阶层,制定不同的安全等级,达到一个安全目标。
例如,普通员工的日常工作安全标准,运维人员的安全标准,管理人员的安全标准都是不同的。如果落实在章程中,会非常的细致,比如在职人员的安全管理,离职人员的安全管理等等。
另外,人对工具使用。针对安全工具(产品)的使用,以及日常办公软件的使用,因为每个人的素质不同,对于这些工具的使用,安全防范意识是不同的。"
可见,由于人为因素的加入,让内网安全管理变得更复杂。那如何制定一个适合企业的内网安全管理制度呢?在这里提出如下几个建议:
◆了解自身业务需求
日常业务操作是企业的命脉,因此从根本出发,在业务工作流程中分析员工的日常工作行为,找出薄弱环节,制定符合业务需求的工作规范。
◆了解安全风险
要弄清楚企业内网有可能面临哪些风险,现有条件下对这些风险的承受程度如何。只有在了解了这些风险的前提下,才能制定相关的防范措施和应急措施,从而保障业务的连续性。
◆提高员工素质
实际上大多数安全问题都是由人直接或间接造成的,因此,培养以及提高内部人员的职业素质,信息和网络安全素质,制定合理的安全管理制度和工作流程,是非常有必要的。
安全总是相对的,百密总会有一疏,但是要尽量将企业的安全制度和措施相结合起来,环环相扣,其中还有最重要的一点:想尽一切办法去实施这些制度!
有了内网安全制度和人员管理机制后,我们就需要结合一些安全产品来加强内网的防护,那么下面我们就来谈谈安全产品的选择问题。
产品选择
相信不少安全人员都会有这方面的困惑,面对有限的预算,面对厂商天花乱坠的宣传,选择一个合适的产品是一件不容易的事情。那么如何选择安全产品呢?
信息安全官李洋对此的看法是:"对于一般的企业来说,如果具备上网行为管理,敏感信息管理,端点防护(控制病毒等的传播)和数据防泄漏,这四个方面就可以达到一个基本的内网安全的防护标准,然后再针对不同企业的特别需求进行安全模块的添加。在这方面,我希望能够采用多个厂商的安全产品。这样做的原因如下:
第一,是每个安全厂商的(产品)所专注的领域不同,在效果方面肯定也会不同。
第二,如果多个安全模块全部由一个厂商提供,尽管兼容性很好,但是这样在价格方面会比较高,这种打包式的产品具有垄断性和排它性。所以我希望我们所采用的安全产品是多元化的。
但是,这其中就会存在一个兼容的问题。如果我们使用的产品是各个不同厂商的产品,肯定会存在兼容性问题,这里我们就需要先从全局考虑,在选择产品的时候,可以要求厂商开放一些(产品)端口,看看他们是否能够提供这样的服务,其中他们的服务态度也是非常重要的。"
看来这位安全人士在产品的选择上更注重产品的扩展性和多样性。那么除了这些问题,还应该注意哪些问题呢?下面来简单总结一下。
◆可用性和易操作性
在选择内网安全产品的时候,首先要想到安装了此产品后,会对我们的业务操作带来什么样的影响。不能过分强调安全而降低了IT业务的操作性,这个就需要在购置产品前考虑到整体的业务操作流程和安全策略的规划。
◆安全建设措施、成本和需求的平衡性原则
必须考虑到不同的信息资产的价值不同,则保护措施也不一样,企业不可能投入相同的资金保护价值不一样信息资产,比如普通PC机的安全管理成本和服务器是完全不同的。
◆整体性
任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整个安全体系的崩溃,所以需要从整体考虑内网安全管理的各个方面。
◆稳定性和可扩展性
稳定性是必须的,产品在使用过程中若动不动就崩溃肯定是不行的,类似于可用性的内容,不稳定必定会影响到日常业务的操作。另外就是可扩展性,这个也就如之前那位用户谈到的产品多元化问题。
◆政策要求
这点也是我们必须要考虑到的,尤其是一些国有企业、政府行业和事业单位中,政策要求往往会更重要。
结语
关于内网安全管理我们讨论了它的范围,管理的难点和要点,以及制度的建立、人员管理和产品选择的问题,而这些也只是内网安全管理的冰山一角,在今后的安全建设中我们还需要不断地去完善安全体系,去解决各种各样的问题。在上期的51CTO技术沙龙中,我们也讨论了内网的相关问题,最后也做了视频总结,感兴趣的朋友可以前去观看。
