SQL(SQL Server培训 mySQL培训 ) Slammer病毒的爆发再次证明了“安全孤岛不存在”的道理,只有正确地评估自己的信息资产所面临的安全风险,按照科学的风险管理模型进行处置,才能确保合理的投入得到合理的保护效果。
安全体系建设选择有三
网络安全大致可以分为组织策略类和产品技术类,前者包含安全策略、组织机构、管理流程等;后者包含各种各样的安全产品、网络攻防技术等。前者与其他业务管理的共性较多,较为容易借鉴其它业务管理的经验和模式,在贯彻实施上有挑战性;后者具有很强的时效性和实战性,通常一个新的安全漏洞从发布到利用公开的手段传播只有几个小时,换句话说,留给防守者的时间窗口只有几个小时。
据一项国际调查显示,通常一个安全管理员或者专家,每天需要花费两三个小时以寻找、整理各种新出现的安全漏洞和与之对应的新技术。不及时的安全响应和更新可能会使整个安全体系原来的投资形同虚设。这与传统的电信业务或者TCP/IP技术有很大的不同。另外,安全技术人员的信息获取和沟通往往是这些专业人员能否快速成长的一个关键因素。总之,网络安全技术具有对抗性、时效性的特点,网络安全技术队伍要求具有高度专业化和一定的规模化。对于一个大型企业来说,在网络安全体系的建设上面可以有三种选择:一,建设自己的专业队伍,并完全依靠它实现自己的网络安全体系;二,寻找可信任的专业伙伴,将自己的安全建设完全外包给它;三,建设自己一定规模的专业队伍,同时寻找可信任的专家队伍,外包一部分安全建设、维护的任务,自己的专业队伍只要做好建设规划、验收、核心业务保护等即可。
这种选择不是技术问题,而是业务问题,它关系到整个企业的业务定位和策略。三种选择从技术上都可以达到非常高的安全水平。但是成本和效果不同。第一种选择需要维护一个较为庞大的专业队伍(专业化、规模化),成本非常高;第二种选择不容易把握安全建设的方向,可能会导致企业核心机密外泄;第三种选择在成本和效果方面应该是一种更为平衡的选择,它对于大多数企业来讲都是比较适合的。
风险管理分三层
网络安全归根结底是信息资产的风险管理问题。当前,业界已经有多个非常著名的风险管理模型。但是,不管哪个风险管理模型,都很难做到一步到位。从发展和建设的过程,往往可以分为三个层次:
一,快速、大量部署安全产品,如防火墙、入侵检测、反病毒等。该层次属于急药猛药,可以在短时间内较快地的提高网络防护水平。但是,即使我们假设这些产品都得到了有效的利用和配置,这些产品部署后的效果,是否存在盲点、短路、过时等问题,还是不能有效解决。大多数企业在安全建设伊始会采用这种方式,这种方式也最容易被IT部门或者网络部所接受。当然,就如同前面的分析结果,实际的风险管理效果也停留在这个层次上面。
二,通过定期、不定期的风险评估和加固,及时发现安全问题,并尽快弥补。基于以上层次的分析,如果我们在第一个安全层次的基础上再加装扫描器定期扫描网络,这样的安全效果将如何呢?这种思路没错。扫描器可以经常地、定期地检查企业信息资产的弱点,例如是否有新的主机或服务出现,是否某个主机或服务不见了。但是,仅仅依靠扫描是不够的,更为关键的是,对于由扫描发现的弱点能够及时地做出弥补。这就需要“加固”这一当前正在变得越来越普遍的安全专业服务。而且,在通常的情况下,仅仅依靠“扫描”的手段并不完善,其中还需要专家“渗透”测试、组织管理审计,甚至包括社会工程、信息泄漏测试等更为复杂的手段来全面地评估企业的风险状况。在此基础上,建立企业相关的资产信息库,对资产、弱点、威胁、风险等保持跟踪和及时更新,发现漏掉的以及新出现的安全风险。处于该层次风险管理水平通常代表着企业对网络信息安全、安全风险管理等达到了一个新境界,在安全上面的投资效益也获得了进一步的提高。
三,建立集中统一的安全管理平台,对整个企业内的安全策略、信息资产、安全属性、风险以及相关的安全事件、安全事件的响应和处理、配置等都进行实时、集中、统一的管理。尤其是对于大规模、跨地域的电信级网络,这种集中统一的安全管理平台可以大幅度提高整个体系中安全产品的效果,提升投资效益。使得管理层,即信息资产的所有者能够实时地了解到威胁和风险状况,在投资和其它处理方式上作出更为准确的判断。
上述三个层次的安全时效性是逐渐上升的,按照笔者的经验和观点,这三个层次不能互相替代,但是不排斥同时建设、并行处理的做法。
集中统一管理受青睐
当前,国际上先进的运营商或者关键企业网络为了保证网络时刻处于安全状态,正在越来越多地采用第三个层次的实时风险管理模型。例如,国际著名企业,如英国电信(BT)、南方贝尔(Bell South)、索尼、杜邦等都已经建立起覆盖自己整个企业网络的统一风险管理体系。在国内,中国电信和中国移动总部等也进行了许多前沿的探索和实践。
应该说,在遭受到Nimda、CodeRed、SQL Slammer攻击后,信息安全业界正在不断进行反思。只有保证安全风险能够得到“实时”的控制和管理,才有可能在下一次更为凶猛的攻击到来时,使自己的网络做到高枕无忧。
网络安全技术的时效性和对抗性要求相应的安全风险管理体系也具有这样的专业性和时效性,才有可能起到理想的防护效果。为了达到这样的时效性和专业性,安全外包往往是值得考虑的一种方式,但是外包的内容、方式、对象、管理等需要企业认真地研究考虑。在风险管理的体系方面,从部署安全产品到采用安全服务,最后发展到实时风险管理。这三个层次,在实时性方面逐渐上升。采用自己的专家队伍与适当外包相结合的策略,以建设集中统一的实时风险管理体系为目标,可以最为有效地利用投资,保护自己的信息资产。
--------------------------------------------------------------------------------
如何挑选安全外包商
安全外包是最近越来越受到关注的一个话题,它可以有效地利用安全方面的投资,充分利用外包方的专业安全技术和专家知识,使得企业可以专注于自己更为擅长的领域。但是,如何选择外包方,外包些什么,如何管理外包,保证外包质量?笔者也曾经在以前的讨论中多次涉及这一话题。
一般来说,在选择一家安全外包商和签署外包合同前,通常需要事先考虑好以下四方面的内容:
1.外包前的计划和准备。这一点必须通过企业中具有相当专业知识、对业务深入了解的委员会认真讨论,根据自己企业的特点来决定。原则上,安全审计、评估加固、培训、开发、安全通告、紧急响应等适合外包,策略的建立则需要自己的专家深层次介入。
2.了解面临的风险。通过自己的专业委员会或者专业顾问的分析,鉴别出关键业务和核心机密,正确判断外包节省的费用与外包管理失败带来的损失之间的平衡关系。
3.外包方的实力和成功案例。选择外包方时,需要重点考察其综合实力、成功案例和业界的信誉。
4.管理外包合作关系。外包过程建立在相互信任的基础上,双方的技术人员和商务人员都需要紧密接触,及时澄清可能存在的误解。
(责任编辑:郁单曰) |
