整体理念企业信息系统安全建设的整体思路

晃晃

1023 主题	3 听众	359 积分

设计实习生

Rank: 2

纳金币: 335582
精华: 0

电梯直达

楼主

发表于 2011-8-25 09:09:45 |只看该作者 |倒序浏览

一：企业信息系统安全防护的价值
1、信息系统安全建设的普遍性
在网络相当普及的的时代，安全一直是焦点话题。每个人或企业或多或少对各种安全威胁和安全事件都有亲身的感受：对于个人计算机用户而言，灰鸽子、熊猫烧香、冲击波使得大家领会到了病毒攻击的威力，而各种垃圾邮件、网络欺诈或诱骗的钓鱼软件、各种盗号的木马也使得PC用户在进行安全防护的时候一筹莫展，尽管各种杀毒软件防火墙等技术手段都使用上了还是不能解决问题；对于企业而言，intenet出口遭受DDoS攻击导致业务瘫痪、内部信息绝密文档或者核心技术出现泄漏、对外提供web服务的计算机服务器遭到攻击导致外部web服务失效等等，都直接或间接的对企业的正常生产运转造成了严重的影响。再联想到前不久发生在韩国政府网站的DDoS攻击，人们可以清晰的看到，现阶段的安全威胁已经相当的普遍，无论是个人用户、企业用户或者政府机关等，都需要面对和考虑如何来进行有效的安全防护，避免安全威胁导致的负面影响。

2、“业务系统流程化”是IT安全建设的驱动力
随着企业的信息化水平的提高，各行各业对于IT系统的依赖性也越来越高，企业的新业务应用也逐渐在标准化和流程化，各种应用系统如ERP、CRM、Notes办公系统为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，将成为IT系统安全防护的主要目标和关键驱动力。

3、IT安全的建设也是“法规遵从”的需要
安然公司作为全球500强的明星企业，由于不诚信经营及财务作假，导致企业最后破产，这成为SOX合规法案制定（即“萨班斯法案”）的导火索。美国政府2002年7月推出SOX企业合规法案的目的在于促进企业责任感（302条款），完善内部控制（404条款），加强信息向公众的披露（409条款）、提高财务报告和审计的质量及透明度，并对违反证券法律和其它法规的行为加大惩罚力度及加重其刑事责任（906条款）。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。IT环境的安全水平对企业的财务健康有着不可低估的作用。从这个角度来看，类似SOX法案等合规性要求，也对企业信息系统安全建设提出了明确的要求。

二：企业信息系统安全建设的现状分析
1、企业信息系统安全建设成熟度模型
基于企业的生产业务对IT系统依赖性的不同，以及企业CEO等高层领导对于信息安全的重视程度的差异，导致不同的企业在信息系统安全防护方面，有着截然不同的信息安全政策和建设的思路，从而造成信息系统安全建设参差不齐。国际权威的咨询机构Gartner将企业的信息安全建设程度分成了盲目自信阶段、认知阶段、改进阶段、卓越运营阶段等4个阶段，并在2007年对福布斯前2000家企业的信息安全建设情况进行了一次全面的调查。结果发现：超过50%的企业还处在对信息安全的认知阶段，他们开始认识到信息安全的价值，并开始重点进行安全团队的建设，制定新的信息安全政策并着手启动信息安全项目等；只有20%左右的企业位于改进阶段和卓越运营阶段，开始关注到信息安全建设的流程改进并进行持续性的流程优化。从Gartner企业信息安全成熟度模型可以看出，多数的企业信息安全建设还处在一个较低的水平。

图：企业信息安全成熟度模型
2、企业信息系统安全建设的现状
在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几个方面的不足：
1）安全危机意识不足
IT安全可能造成的危害性并没有为企业的高层领导所认同，尤其是在非信息化产业（如大型的制造业）中这种现象更为明显。就像大多数人虽然知道地震的后果很严重，但是在地震发生前总是认为真正的地震不会到来。
2）缺乏整体安全策略和组织保障
良好的安全防护水平离不开组织的保障，而很多企业缺乏专业安全队伍包括安全管理人员和技术维护人员。这种组织保障的缺失反映出企业对于整体安全策略的缺失，体现在安全人才配备与实战技能方面均无法满足企业IT系统安全保障的需要；
3）安全制度和规范不健全
企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如随意使用u盘导致整个公司的网络受到病毒感染，或者是对网络的任意使用导致公司的机密文档被扩散造成新的安全风险。同时在发生网络安全问题的时候，也因为缺乏预先设备的各种应急防护措施导致安全风险得不到有效控制
4）应用系统和安全建设相分离
在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪，或者大流量负载情况下响应缓慢设置了伏笔。
5）缺乏整体的安全防护体系
对于安全的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联。

3、“简单叠加、七国八制”存在的主要不足
1) 各自为战，只关心“局部”问题，不考虑综合防治
这种关心局部、忽视整体的建设方式，将直接导致对安全威胁的传播途径考虑不足，尤其在现阶段，安全风险不是孤立的出现，往往需要从网络的多个层面进行综合的防护才能有效解决。就如同病毒防护，需要考虑的因素包括internet网关的防病毒，桌面存储介质导致的病毒防护，以及需要考虑PC接入网络之前的端点准入认证，避免PC之间相互传播病毒等等。这种解决方案并不是单纯的依靠病毒网关、或者是客户端病毒软件安装所能解决的，而是需要考虑网络的病毒隔离防护、存储介质的使用限制等等。只有综合的解决方案，才有可能更好的解决问题。
2）相互缺乏关联耦合，无法实现方案之间的安全联动
分散建设的安全解决方案，可能在某一个层面上解决了一些问题，但是却缺乏方案之间的关联耦合，就像企业建立了端点准入系统进行接入控制，也使用了防火墙（FW）进行安全域隔离，但是在接入用户实施安全攻击时，即使防火墙进行了检测，也无法反馈到用户接入模块，告警信息甚至会被淹没在大量的安全日志之中。或者像用户的接入行为控制，在合法接入网络后利用internet进行信息泄漏，即使网关检测到这种行为，也因为瞬时IP地址无法和用户名对应导致不能真正发现泄漏人等。
3）缺乏统一的安全管理，无法了解整网安全状况
简单叠加建设的安全方案由于缺乏统一规划指导，很可能会涉及到多厂商不同类型的各种设备，这将导致多设备之间的安全日志格式不统一，且各厂商管理平台只能管理自身的设备，缺乏对其他厂商之间的适配，系统缺乏整体安全事件统一分析管理的能力，从而无法实现对安全事件的整体把握。当然，还有一个直接的问题就是：多厂商设备的存在造成配置管理风格不统一，管理人员维护工作量大，影响问题处理的效率。

三：企业信息安全建设的原则和部署建议
1、企业信息安全建设的原则
企业的信息化安全的建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则：
1）统一规划设计：信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设” 的原则；应用系统的建设要和信息安全的防护要求统一考虑。
2）架构先进，突出防护重点：要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品；分清楚信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。
3）技术和管理并重，注重系统间的协同防护：“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。
4）统一安全管理，考虑合规性要求：建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应；基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。
5）高可靠、可扩展的建设原则：这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要，。

2、企业信息安全风险的关键区域
基于企业信息安全建设的原则，分析企业的组件构成和相应的安全风险，可以发现企业的安全防护重点及部署要关注以下几个方面：
1）总部园区网络的内网安全风险控制：主要包括园区接入用户的端点安全，园区用户的桌面安全管理，以及园区网络不同部门之间的安全隔离和访问控制（如研发部门需要和其他部门的网络进行隔离）。同时，在园区的内网安全控制中，需要考虑到企业的信息泄漏的风险，因此对于桌面U盘等存储介质需要管控，对于员工的internet行为如QQ/MSN聊天等需要进行相应的解决方案部署。
2）企业边界安全防护：按照安全域的划分原则，企业网络可能包含了内部园区、internet边界、DMZ，数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。另外针对关键业务服务器区域的安全防御更需要针对web应用的攻击，以实现2-7层的安全防护。
3）企业数据中心的安全：数据中心是企业的安全防护的核心区域。针对数据中心的安全防护需要，需要在高性能高可靠的原则指导下，在使用高性能的FW实现数据中心和其他安全域的隔离、使用Ips进行关键服务器的应用层攻击防护的基础上，需要关注大流量的DDoS防护，尤其是关注数据中心应用交付的效率，必要的情况下需要考虑并部署负载均衡等应用优化类设备，以实现对外业务的可靠快速的交付。
4）广域分支的VPN互联：总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输时是通用的选择，如部署IPSec VPN结合GRE进行site-to-site的接入；对于部分移动出差用户，也可以部署SSL VPN或者L2TP+IPSec的接入方式，在这种情况下，如何做到将多种VPN类型客户的认证方式统一、或者精细化的访问权限划分是需要重点考虑的问题。
3、整体安全防护体系设计的部署建议
在进行整体的防护体系建设时，需要彻底抛弃“简单叠加，七国八制”的建设方式，着重在以下几个方面进行综合的考虑：
1、建设综合的VPN接入平台
无论是IPSec，还是L2TP，或者是IPSec over IPSec，或者是SSL VPN，都是企业在VPN建设过程中必然会遇到的需求。使用统一的VPN接入平台，可以规范并统一其VPN用户的权限控制、统一接入认证的方式如采用USBKEY或者是token动态令牌等，甚至在设备采购时就可以预先要求设备商使用一台设备、一套认证管理软件同时支持这些需求。这将给管理员的日常维护带来极大的方便，从而提升企业整体的VPN接入水平
2、优化安全域的隔离和控制，建设L2-L7层的安全防护
在建设安全边界防护控制过程中，面对企业的多个业务部门和分支机构，合理安全域划分将是关键。为此需要了解企业的网络部署，需要调研分析企业内部的关键业务服务器和关键业务区域，并针对这些关键业务区域进行安全域划分，根据其面临风险的高低优先级选择合适的解决方案，确保对不同的安全防护区域进行有针对性的防护。如使用单纯的FW进行安全隔离，或是选择FW+IPS等设备进行深层次的安全防护，或者提供进行“防垃圾邮件，web访问控制”等解决方案进行应对，以实现对当前流行的web层攻击的攻击防御，从而真正实现2-7层的安全防护。
3、强调方案之间的耦合联动，实现由被动防御到主动防御的转变
统一规划的技术方案，可以做到方案之间的有效关联，实现设备之间的安全联动。在实际部署过程中，在接入用户端部署端点准入解决方案，实现客户端点安全接入网络。同时启动安全联动的特性，一旦安全设备（如FW或者IPS）发现有内网用户正在对网络的服务器进行攻击行为，即可对攻击用户接入点有效定位，直接找到该用户的接入点，并采取类似关闭接入交换机端口或者将用户踢下线的动作响应，真正实现从被动防御向主动防御的转变。
4、关注完整的用户行为关联分析
在企业关注的安全事件中，信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严，员工可以通过很多方式实现信息外泄，常见的方式有通过桌面终端的存储介质进行拷贝、使用纸件文档进行打印、或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为，企业在建设信息安全防护体系的时候，单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中，系统从用户接入的那一时刻开始，就对用户的桌面行为进行监控，同时配合internet上网行为审计设备，对该员工的上网行为进行监控和审计，并可直接输出基于用户名的用户行为审计分析报告，提供详细的审计日志以备事后确认查询，真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中，提升企业的防护水平。
5、体现对整网安全事件的“可视和可控可管”
统一建设的安全防护系统，还有一个最为重要的优势，就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备如FW、IPS、UTM等发出来的大量的安全日志，单纯靠管理员的人工操作是无能为力的，而不同厂商之间的安全日志可能还存在较大的差异，难以实现对全网安全事件的统一分析和报警管理。因此在设计之初，就需要考虑到各种安全设备之间的日志格式的统一化，需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表，需要考虑对各种安全设备实现统一的配置管理和策略管理，只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发以及整网安全设备的防控策略的统一管理，最终实现SOC管控平台的建设。

五：结束语
企业安全防护体系的建设是一个长期的持续的工作，不是一决而就可以实现的，就像现阶段的安全威胁的发展也在不断的发展和更新，针对这些安全威胁的防护手段也需要逐步的更新并应用到企业的安全建设之中，这种动态的过程将使得企业的信息安全防护更有生命力和主动性，真正为企业的业务永续运行提供保障。