隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)惡意攻擊者的技術(shù)也在不斷的改進(jìn)和創(chuàng)新,以前簡單的網(wǎng)絡(luò)邊界安全解決方案,已經(jīng)不能從整體上解決企業(yè)網(wǎng)絡(luò)安全隱患,企業(yè)管理者不再簡單滿足于架設(shè)防火墻和防病毒等安全產(chǎn)品,內(nèi)網(wǎng)安全管理體系已經(jīng)越來越得到企業(yè)安全管理者的重視。而內(nèi)網(wǎng)安全管理又相比較邊界網(wǎng)絡(luò)管理更加復(fù)雜,本文就是從一個安全行業(yè)從業(yè)者的角度提出一些內(nèi)網(wǎng)安全管理的經(jīng)驗(yàn)和辦法。
2 內(nèi)網(wǎng)安全建設(shè)理論
內(nèi)網(wǎng)安全需要有自己的安全標(biāo)準(zhǔn)和策略作為建設(shè)的指引和目標(biāo),這樣才能保證安全建設(shè)的體系化和規(guī)范化。但目前各種安全標(biāo)準(zhǔn)和規(guī)范很多,國內(nèi)的包括GB 17859、GB/T18336,BS7799、信息系統(tǒng)安全等級保護(hù)評估、實(shí)施指南等,國外的包括ISO/IEC 15408、ISO17799、ISO13335、SSE-CMM模型、IATF模型等。各種各樣的標(biāo)準(zhǔn)可能讓管理者難以選擇,且全部符合各項(xiàng)標(biāo)準(zhǔn)也是不切合實(shí)際的事情。筆者認(rèn)為內(nèi)網(wǎng)安全建設(shè)應(yīng)該滿足以下建設(shè)準(zhǔn)則:
2.1易操作性原則
目前各種標(biāo)準(zhǔn)規(guī)范都是從一個IT業(yè)務(wù)系統(tǒng)建立的完整生命周期去考慮問題,即分別在系統(tǒng)的設(shè)計、規(guī)劃、實(shí)施、運(yùn)維和廢棄等幾個階段考慮了IT安全建設(shè)的問題,而目前國內(nèi)企業(yè)中可能大多都是基于已建造好的IT業(yè)務(wù)系統(tǒng)上考慮安全問題,所以必須考慮到生產(chǎn)系統(tǒng)上的安全解決方案的可操作性問題,此外還需要滿足采用的措施不能影響系統(tǒng)正常運(yùn)行,同時應(yīng)便于維護(hù)以及安全措施的操作簡易性,因?yàn)榇胧┮扇藖硗瓿桑绻胧┻^于復(fù)雜,對人的要求過高,本身就降低了安全性。
2.2安全建設(shè)措施、成本和需求的平衡性原則
必須考慮到不同的信息資產(chǎn)的價值不同,則保護(hù)措施也不一樣,企業(yè)不可能投入相同的資金保護(hù)價值不一樣信息資產(chǎn),比如普通PC機(jī)的安全管理成本和服務(wù)器是完全不同的。
2.3整體性原則
任何一處的安全薄弱點(diǎn)被惡意攻擊者利用的話,都有可能導(dǎo)致整個安全體系的崩潰,這就是安全的“木桶原理“,所以需要從整體考慮內(nèi)網(wǎng)安全管理的各個方面。
基于上述原則,我們提出內(nèi)網(wǎng)安全建設(shè)的兩個階段的概念,即內(nèi)網(wǎng)安全建設(shè)首先需要進(jìn)行安全域的劃分,再結(jié)合ISO7498的APDR模型結(jié)構(gòu)進(jìn)行各個安全域的建設(shè)。
所謂安全域,就是根據(jù)不同類的信息資產(chǎn)的價值不同、安全目標(biāo)和使命不同、保護(hù)等級不同而提出的概念,即在內(nèi)網(wǎng)中,把不同的信息資產(chǎn)進(jìn)行有效的整合,從邏輯上劃分為不同的區(qū)域。所謂APDR即指A(評估),P(保護(hù)),D(監(jiān)測),R(恢復(fù)),即根據(jù)不同安全域的特點(diǎn),提供安全措施滿足上述4個安全需求。
3 安全域劃分
一般來說,安全域可以劃分為三個大區(qū)域,分別是外部域、接入域和內(nèi)部域,安全等級從低到高,內(nèi)容如下:
1、外部域,外部域主要是指企業(yè)外部接入部分和企業(yè)對外提供服務(wù)的邏輯邊界部分,如企業(yè)對外提供訪問的WEB服務(wù)器、EMAIL服務(wù)器等。
2、接入域,接入域主要指企業(yè)內(nèi)部局域網(wǎng)的辦公、運(yùn)維和生產(chǎn)用機(jī),在接入域中又可以劃分為內(nèi)部用戶域、外部用戶域、管理員域。內(nèi)部用戶域主要是指企業(yè)辦公人員所使用主機(jī)、PC機(jī)等邏輯區(qū)域;外部用戶域主要針對第三方人員訪問時候的網(wǎng)絡(luò)接入?yún)^(qū)域;管理員域是指企業(yè)運(yùn)維人員辦公設(shè)備所在用區(qū)域。
3、內(nèi)部域,內(nèi)部域主要是指企業(yè)實(shí)行大集中時候,各業(yè)務(wù)系統(tǒng)主機(jī)所放置區(qū)域,內(nèi)部域又可劃分為核心處理域和開發(fā)測試域,其中業(yè)務(wù)系統(tǒng)服務(wù)器和數(shù)據(jù)庫歸入核心處理域,開發(fā)測試域主要包括了企業(yè)內(nèi)部自開發(fā)軟件所使用的環(huán)境,如測試服務(wù)器,開發(fā)服務(wù)器等。
下圖為典型企業(yè)的安全域劃分拓?fù)鋱D,從下圖可以看出,企業(yè)劃分了外部域、接入域和內(nèi)部域,外部域主要是防火墻DMZ區(qū)域內(nèi)的對外提供服務(wù)的服務(wù)器區(qū)域;接入域主要包括內(nèi)部局域網(wǎng)的辦公客戶端、管理員客戶端和第三方訪問用戶的客戶端,同時也包括各分支機(jī)構(gòu)的辦公客戶端,由于采用了VPN技術(shù),我們可以把分支機(jī)構(gòu)網(wǎng)絡(luò)認(rèn)為是企業(yè)的內(nèi)部網(wǎng)絡(luò);內(nèi)部域主要包括各業(yè)務(wù)系統(tǒng)的生產(chǎn)服務(wù)器和開發(fā)、測試服務(wù)器。
4 各安全域安全措施
4.1 外部域
#p#副標(biāo)題#e#
4.2 接入域
4.3 內(nèi)部域
5 小結(jié)
以上僅是筆者的一點(diǎn)經(jīng)驗(yàn),但在內(nèi)網(wǎng)的安全管理體系中,不光是安全技術(shù)方面的要求,更多的將體現(xiàn)在內(nèi)網(wǎng)的安全管理上。從企業(yè)的整體運(yùn)作看,基于企業(yè)業(yè)務(wù)流程方面的ITIL建設(shè),將是企業(yè)整體網(wǎng)絡(luò)安全保障體系的最終目標(biāo)。
