隨著網絡安全技術的不斷發展,網絡惡意攻擊者的技術也在不斷的改進和創新,以前簡單的網絡邊界安全解決方案,已經不能從整體上解決企業網絡安全隱患,企業管理者不再簡單滿足于架設防火墻和防病毒等安全產品,內網安全管理體系已經越來越得到企業安全管理者的重視。而內網安全管理又相比較邊界網絡管理更加復雜,本文就是從一個安全行業從業者的角度提出一些內網安全管理的經驗和辦法。
2 內網安全建設理論
內網安全需要有自己的安全標準和策略作為建設的指引和目標,這樣才能保證安全建設的體系化和規范化。但目前各種安全標準和規范很多,國內的包括GB 17859、GB/T18336,BS7799、信息系統安全等級保護評估、實施指南等,國外的包括ISO/IEC 15408、ISO17799、ISO13335、SSE-CMM模型、IATF模型等。各種各樣的標準可能讓管理者難以選擇,且全部符合各項標準也是不切合實際的事情。筆者認為內網安全建設應該滿足以下建設準則:
2.1易操作性原則
目前各種標準規范都是從一個IT業務系統建立的完整生命周期去考慮問題,即分別在系統的設計、規劃、實施、運維和廢棄等幾個階段考慮了IT安全建設的問題,而目前國內企業中可能大多都是基于已建造好的IT業務系統上考慮安全問題,所以必須考慮到生產系統上的安全解決方案的可操作性問題,此外還需要滿足采用的措施不能影響系統正常運行,同時應便于維護以及安全措施的操作簡易性,因為措施要由人來完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
2.2安全建設措施、成本和需求的平衡性原則
必須考慮到不同的信息資產的價值不同,則保護措施也不一樣,企業不可能投入相同的資金保護價值不一樣信息資產,比如普通PC機的安全管理成本和服務器是完全不同的。
2.3整體性原則
任何一處的安全薄弱點被惡意攻擊者利用的話,都有可能導致整個安全體系的崩潰,這就是安全的“木桶原理“,所以需要從整體考慮內網安全管理的各個方面。
基于上述原則,我們提出內網安全建設的兩個階段的概念,即內網安全建設首先需要進行安全域的劃分,再結合ISO7498的APDR模型結構進行各個安全域的建設。
所謂安全域,就是根據不同類的信息資產的價值不同、安全目標和使命不同、保護等級不同而提出的概念,即在內網中,把不同的信息資產進行有效的整合,從邏輯上劃分為不同的區域。所謂APDR即指A(評估),P(保護),D(監測),R(恢復),即根據不同安全域的特點,提供安全措施滿足上述4個安全需求。
3 安全域劃分
一般來說,安全域可以劃分為三個大區域,分別是外部域、接入域和內部域,安全等級從低到高,內容如下:
1、外部域,外部域主要是指企業外部接入部分和企業對外提供服務的邏輯邊界部分,如企業對外提供訪問的WEB服務器、EMAIL服務器等。
2、接入域,接入域主要指企業內部局域網的辦公、運維和生產用機,在接入域中又可以劃分為內部用戶域、外部用戶域、管理員域。內部用戶域主要是指企業辦公人員所使用主機、PC機等邏輯區域;外部用戶域主要針對第三方人員訪問時候的網絡接入區域;管理員域是指企業運維人員辦公設備所在用區域。
3、內部域,內部域主要是指企業實行大集中時候,各業務系統主機所放置區域,內部域又可劃分為核心處理域和開發測試域,其中業務系統服務器和數據庫歸入核心處理域,開發測試域主要包括了企業內部自開發軟件所使用的環境,如測試服務器,開發服務器等。
下圖為典型企業的安全域劃分拓撲圖,從下圖可以看出,企業劃分了外部域、接入域和內部域,外部域主要是防火墻DMZ區域內的對外提供服務的服務器區域;接入域主要包括內部局域網的辦公客戶端、管理員客戶端和第三方訪問用戶的客戶端,同時也包括各分支機構的辦公客戶端,由于采用了VPN技術,我們可以把分支機構網絡認為是企業的內部網絡;內部域主要包括各業務系統的生產服務器和開發、測試服務器。
4 各安全域安全措施
4.1 外部域
#p#副標題#e#
4.2 接入域
4.3 內部域
5 小結
以上僅是筆者的一點經驗,但在內網的安全管理體系中,不光是安全技術方面的要求,更多的將體現在內網的安全管理上。從企業的整體運作看,基于企業業務流程方面的ITIL建設,將是企業整體網絡安全保障體系的最終目標。
