2007年4月19日下午,由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里,来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解,并详细解答了与会技术人员提出的技术问题。
王锁杰:今天我讲的主题主要是如何判断我的网络是否安全。这个问题也是我从业以来,所接触的客户最关心的核心问题。当我们在做解决方案或者安全架构的时候,客户经常会问到这个方案是不是能够真正保证我的网络成为一个安全的网络。那么如何评估方案的有效性,又如何评价我们现有网络的安全性呢,下面就给大家做个讲解。
安全的组成要素
安全的组成要素很多,首先网络的基础属性很重要,然后基础属性应用什么样的安全解决方案,最后要有相应的人员如何执行。表面上好象只有三个要素评估,但是实际会牵连很多的内容。比方说安全解决方案设计的很多,选购产品是一方面,在企业信息安全建设的时候,以什么样的流程控制安全项目的实施又是一方面。所以安全组成要素中第一重要内容就是建设安全的策略与方针。
与安全建设相关的要素,从大体来说,一共是分为四部分。即:
建设安全的方针
实现安全的手段
落实安全的保障
执行安全的实体
最重要的一块就是方针,有了得当的方针,然后使用相应的手段——产品,有了方针和产品之后,我们需要相应的流程去执行它,它是落实安全的保证。就相当于我们的国家一样,国有国法,家有家规。我们怎么样去落实它能够真正起到效果。应该按照一定流程来做,只有这样我们才能最终影响到底下的基础,就是人员。因为所有计算机的安全最终由人员在使用过程中来体现。
这里面四者的关系在于我有了相应的策略,安全的手段,安全的保障,就能够解决我需要购买什么样的产品。然后我的策略决定之后,我需要落实这些产品能够正常的在网络中运行非技术性的手段,就是行政条款以及终端的人员如何去使用这些产品,它有一个依据。所以在这一块,我们还是反复强调四者之间关系的处理非常重要,它处理的好就会解决一些问题,我们可以尽量用少的产品,尽量少的投入来达到安全的最大化。
在这四个组成要素中,第一就是对策略的建立,我们要有一个很针对性的流程让我正确的执行策略,以及相应的辅上针对性的产品。了解了我们需要评估的对象,我们就开始做如何评估。我们很多企业或者是我们的很多行业的服务提供商,它会给我们的客户提供安全评估,或者是渗透性攻击。但是它整个评估的基础往往都是依赖于技术,它就看比方我们模拟一次攻击,看看防不防不的住,它往往都是技术得分。可能往往有家企业在技术得分非常高,采购了非常多的安全产品及那么是不是采购了多的安全产品就安全呢?我们说不然。除了技术得分之外,我们还要考虑很多因素。依照组成安全要素来看我们会评估几块。
技术分很关键,但是还要通过人来落实。如何保证人能够有效的落实技术,我们会通过策略和流程以及相应的配备相当多的有组织结构的人员配备。所以我们的整体评估步骤或者要素会从几个方面去落实。第我们会从每一个大块中的子项里面得出相应的分数。大家可以看一下,我们要做得是按照这样的流程,安全PDCA(计划、执行、检查、调整)的流程。
第一块要找出我们方针的策略目的,就是客户希望达到什么样的安全等级。首先我们要知道客户主观的安全期望,就是我希望能够做到什么样子。随后,调查客户的网络客观现状。在你现在的情况下,我们现有的人员,现有的安全采购预案,以及现有的设备、防病毒解决方案,是不是能够达到你的期望,找到他们之间的差距。我们往往会发现,我们的期望和现状存在不小的差距。这个差距会带来一个问号,如何去弥补。这个才是一个评估的关键。我们要告诉他,怎么样去弥补这个差距,这才是评估结果所具有意义的地方。而不是说你需要采购某个解决方案,这个根本不能解决客户的实际问题。我们希望通过找到差距、差异来告诉客户,我们在评估之后,应该怎么做。
而且,由于我刚才说过的这种差距以及解决方案的实效性,它在一个固定的时间段可以解决很多问题,但是它可能在一个时间段之后没法应对新的威胁。所以这样一个评估会通过定期的更新。我们可以看到这张图标不是一个直线性进行的,而是通过一个圆循环,不断去沟通、发现。只有这样我们才会发现这个评估是有效的,实时的。否则很多客户买的评估是一年评估一次,往往在一个财年结束后做资产评估,后来发现现有的问题没有得到结果,新的问题又出现了。按照现有的方式再过一年又评估,这个间隔非常长,导致我们评估之后要做得事情非常多,最后变得人力资源不够,问题解决不了。往往最后只能通过非常疯狂的购买相应的解决方案来做。所以,与以往的评估弱点在于间隔时间长、实效性比较差,以及解决方案有相应的落差。
企业应该如何评估
趋势科技这一块提出的评估方式,第一个首先客户需要做到什么样的安全级别要非常明确。现有的状况能不能做到,如果不能做到我告诉你如何弥补。而且这个间隔我们通常会以一个季度,或者半年来做。通过这种定期更新的方式,实时地去发现网络中有什么样的漏洞,及时去弥补。通过这样的方式不断维护网络客户安全评估来维持安全的现状。
说到评估就是对网络中的安全的四个组成要素进行评估:策略、产品、流程以及相应人员的漏洞。
一、评估防病毒框架的技术和产品
评估的内容包括防病毒软件安装率、部署率,相应的计算机操作补丁的安全率,以及对于整个防病毒体系监控的效能和结果。有一点非常重要,如果我们监控到一台机器有问题,这台机器是不是能够被及时、准确的定位,这是非常重要的。这个决定我们快速定位,以及快速定位问题的处理。
二、评估防病毒框架的流程
评估技术之后,我们现在要解决的是如何快速的解决这些技术上出现的问题。这里面我们会去处理一个流程,当出
现一个问题之后,是不是有相应的组织结构,就是IT的网管人员能不能及时的处理问题。没有及时处理是由于我们人员的配备不够,还是说是由于我们人员的知识储备不够,这一块我们都会找出相应的原因。如果人员不够,我们会提出外包服务。如果技术不够,我们会提出相应的建议进行人员的培训。
在这几点里面,我们主要侧重整个处理程序上提出相应的补救措施,以及对于我们的客户来说,最重要的一点去评估了策略是否完整,评估流程是否依赖性、是否合理之后,我们要评估人员这一块。人员的漏洞可能很长时间以来都被我们忽略,我们经常评估一些计算机物理的漏洞,以及防病毒软件的安装率、补丁率。我们发现一个网络中最容易感染病毒或者发生安全事件的,往往是在非技术部门,在那些安全意识比较薄弱的节点上。所以我们在评估过程上也会把人员的因素考虑进去。
具体怎样实施呢?我们会通过一种类似于病毒攻击的模式去演习。通过发送执行类似的病毒攻击,我们让客户在这次攻击中去实时的进行响应。发现这些网络中哪些人员容易在攻击中导致病毒进入我们的计算机,哪些人员由于安全意识薄弱导致病毒攻击对他有效。做完这块,我们其实把这四个关键因素考虑进去了。策略的合理性、流程的合理性,计算机技术的合理性、人员的安全意识都会考虑进去。考虑进去之后,我们会把它们按照不同的分置和列项进行汇总。
三、评估防病毒框架的组织和人员
我们会对防毒软件进行汇总,包括补丁、监控体系、响应流程。对于人员意识上,我们可能把跟防病毒相依赖性的,比如补丁管理、网络分类,这种重要的深层网络,我们重要的OA网络的分类。我们很多生产型的企业可能都没有进行不同性质的网络归类。还有一些访问资源的归类,以及我们这种流程上的,就是我们在人员配备上是否合理。综合这些分数,我们有比较合理的算法,算出最终的得分。
我们可以看到这张表上,这个分数本身是不具备任何意义,因为不具有可比性。什么时候具有意义呢?我们要把客户A的得分,跟他同行业所在的平均分、最高分、最低分进行比较,找出他所在的位置,这个时候分数才是有意义的。因为每个客户的期望值都是不一样的,比如金融企业不允许出现任何问题,小的办公室觉得可以容忍一些小问题,所以我们要把这个分数放在同行业里面进行比较。
在这个案例中,这是我们评估实际客户的一个情况。它的组织由于它的网络非常的庞大,所以它间建立了一个非常完善的IT管理团队,所以他的组织分数很高,他非常详细这个组织里面IT人员的能力。实际在运行一年之后,整体的运行状况并不是很理想。经过我们的第一次评估以后,我们发现原来出现的问题是在于解决方案运用的不是很完整和丰富,而且在使用中出现更新、安装率以及补丁管理上的缺失。
另外一块,他的安全人员虽然能力非常强,也非常乐意去给他的终端用户解决问题,终端用户遇到任何安全问题,并不是通过正常渠道找安全人员维护,而是通过自己上百度、Google解决相应的问题。有些问题很简单可以解决,有些问题没有实时反映下面的体系,造成问题的积累,导致在技术层面、流程层面有相当大的缺失,最终总的得分不是很高,会低于他的行业标准非常多。
一个安全网络的必然条件在于完善的安全架构
关键是要去确认安全组成的四个要素,以及在这四个要素确认之后我们相应的对每个要素进行评估,而不是停留在要么是技术层面,要么是策略层面,应该是四个要素整合在一起,找出差距进行弥补。因为光有一个评估并不是很完整,只有都结合在一起这个网络才会安全。
一个网络是否安全,一方面我们可以通过评估来决定,但是这个评估我们的建议是应该是一个持续性的流程,是一个不断更新的评估流程。它的结果是需要通过这样的方式来达到或者得到。所以完善的网络安全架构,首先要有丰富的技术方案支撑。其次要有非常严谨的、行政的策略方针来落实、处理,以及不断进行更新。
我们在做完评估之后,告诉你的网络是安全的,你是90分,业界平均是80分,你就可以什么都不做了吗?一个网络的安全,它得到相应的结果之后还需要进一步的维护,没有最安全,只有更安全。怎么样做到更安全。
最可行的一种办法就是建立厂商和客户之间的长效合作模式。因为只有这样我们才能真正了解客户的网络中出现什么样的情况,客户的网络中有什么问题需要解决,我们才能针对性的提供实效性,时间比较短的解决方案,来解决现在正在面临的问题,而不是解决之前面临的问题。
所以完善的安全架构必须包括:
需要丰富有效的产品支撑
需要有效的技术以及行政手段来落实
需要不断的进行论证,不断的循环
王锁杰简介
毕业于上海理工大学通讯信,2004年加入趋势科技,负责趋势中国的中高端收费服务,有着丰富的经验。王先生曾经为多家大型企业做过安全顾问,熟悉网络防病毒的行业现状,现从事计算机病毒的安全防护理念和服务开拓。