如果說(shuō)我們從技術(shù)點(diǎn)出發(fā)來(lái)建設運維管理平臺系統��、從業(yè)務(wù)應用的角度出發(fā)來(lái)設計應用管理策略���,從整個(gè)IT管理出發(fā)來(lái)建設流程管理ITSM��。這些都是非常重要的工作��,但是這些都是建立在安全管理基礎上進(jìn)行的����。沒(méi)有安全這一切都將很脆弱�。
傳統的網(wǎng)絡(luò )安全
我們來(lái)分析一下網(wǎng)絡(luò )的安全管理�。目前大部分運維管理人員對黑客����、病毒攻擊的危險性都有了深刻的認識��,所以很多網(wǎng)絡(luò )都大量投資了防火墻�、入侵監測�����、防病毒軟件等����。但一段時(shí)間運用下來(lái)�����,發(fā)現效果并不理想�,病毒依然時(shí)常泛濫��、重要信息常被泄露�、網(wǎng)絡(luò )安全受到挑戰��,原因何在���?關(guān)鍵在于安全并不是幾個(gè)產(chǎn)品就可以解決的問(wèn)題�,而是一個(gè)完整的體系���。運維人員往往只是單純的考慮某種安全問(wèn)題并沒(méi)有從整體IT管理平臺的高度來(lái)考慮整體安全體系架構�,這就是很多單位雖然耗費了大量的資金����,但是安全問(wèn)題卻依然沒(méi)有有效解決的原因�����。
傳統的網(wǎng)絡(luò )安全從時(shí)間來(lái)看�����,網(wǎng)絡(luò )安全解決方案往往只考慮事前防范�,缺乏必要的事后追蹤及審計能力�����,時(shí)間層面上并沒(méi)有端到端考慮���?臻g層面并沒(méi)有端到端考慮���。從網(wǎng)路層面來(lái)看���,往往側重于業(yè)務(wù)層的安全�,對網(wǎng)絡(luò )層和用戶(hù)層的安全缺乏必要關(guān)注�����。
很多用戶(hù)購買(mǎi)了大量的防火墻�、入侵監測設備���、防病毒軟件����,目的是通過(guò)數據隔離���、加密����、過(guò)濾����、管理等技術(shù)��,加強整個(gè)網(wǎng)絡(luò )的安全性�。
但這些都是在于防���,而對事后跟蹤能力考慮很少�,在安全事件發(fā)生前后�����,要求網(wǎng)絡(luò )所能提供的支持也是不同的�,其花費的代價(jià)與技術(shù)實(shí)現難度有非常大的差別從空間來(lái)看���,往往側重于考慮對來(lái)自外網(wǎng)的黑客防御�����,對于內部的安全控制缺乏必要手段�����。
任何的安全產(chǎn)品都不能保證自己可以100%的做到安全防范��,當安全問(wèn)題出現的時(shí)候我們應該如何處理�����?這個(gè)時(shí)候我們就需要一個(gè)事后處理方案�。
事后跟蹤:通過(guò)對用戶(hù)上網(wǎng)端口�、時(shí)間��、訪(fǎng)問(wèn)地的記錄�,全面提供用戶(hù)上網(wǎng)的追溯能力���,從而為后期的分析提供第一手的資料�����。
實(shí)際上日志記錄�����、地址簿等功能是一個(gè)非常良好的追溯手段����,在出現問(wèn)題時(shí)可以根據記錄迅速查找源頭�,防止事態(tài)進(jìn)一步擴大���;例如在發(fā)生未知病毒傳播或者是黑客攻擊的時(shí)候���,傳統的事前防范常常失效�。怎么快速的確認問(wèn)題�����,找到問(wèn)題源�����,解決問(wèn)題�。這在傳統的功能模塊很難完成�����,基于平臺的網(wǎng)絡(luò )安全架構體系通過(guò)安全數據分析系統����、IP地址安全管理���、配合設備的管理功能輕松解決這些問(wèn)題�。
以往的安全體系側重在外網(wǎng)防范上下工夫�����,而對內網(wǎng)安全考慮很少�����。接入Internet的外網(wǎng)與辦工系統的內網(wǎng)所面臨的網(wǎng)絡(luò )環(huán)境�、安全防范的目標���、對用戶(hù)的管理力度都有很大的差異���,所以必須針對外網(wǎng)與內網(wǎng)的不同特點(diǎn)制定有效的安全策略����。策略分為兩大部分�,第一部分是外網(wǎng)�����,通過(guò)VPN����、加密等保證信息安全��,通過(guò)網(wǎng)絡(luò )防火墻���、病毒防火墻等防范網(wǎng)絡(luò )攻擊���,側重的是防范���。第二部分是內網(wǎng)��,通過(guò)對用戶(hù)的識別�,IP/MAC綁定等技術(shù)保證合法的用戶(hù)訪(fǎng)問(wèn)合法接入��,并做好訪(fǎng)問(wèn)記錄�,側重的是監控�。
在目前這樣一個(gè)人員高動(dòng)流動(dòng)的時(shí)代���,大部分的泄密均源自?xún)染W(wǎng)��。原因是傳統網(wǎng)絡(luò )提供的是一個(gè)平等的數據交換平臺���,而實(shí)際上不同的人員其訪(fǎng)問(wèn)的范圍應該是有所不同��。比如普通員工只能談問(wèn)本部門(mén)的辦工服務(wù)器���,而領(lǐng)導則可以訪(fǎng)問(wèn)某些重要服務(wù)器����。如果不對人員訪(fǎng)問(wèn)權限進(jìn)行合理的控制��,則必然對重要信息產(chǎn)生極大威脅��。原有的在應用層進(jìn)行用戶(hù)鑒權與訪(fǎng)問(wèn)控制的方案由于用戶(hù)已合法接入網(wǎng)絡(luò )��,可以監聽(tīng)到相關(guān)信息�,實(shí)施攻擊��,所以效果往往不盡如人意�。也正是因為這個(gè)原因����,今天的安全已是一個(gè)涵蓋網(wǎng)絡(luò )級����、應用級的在內的完整概念��。從網(wǎng)絡(luò )級就對用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制���,使非法用戶(hù)接入網(wǎng)絡(luò )就成為聾子����、瞎子����,將大大增加非法用戶(hù)進(jìn)一步實(shí)施盜取與攻擊的難度�,從而增強安全防護體系的效能���。
傳統的網(wǎng)絡(luò )安全比較容易疏忽的一點(diǎn)在傳輸的加密上����。網(wǎng)絡(luò )管理多以SNMP的方式進(jìn)行取數和管理���,這種管理存在安全隱患越來(lái)越受到管理人員的重視�����。新的IT管理平臺在SNMPV3�、HTTPS等新的傳輸加密技術(shù)上的使用成為必不可少的功能�����。
基于平臺的網(wǎng)絡(luò )安全架構體系
從完整的安全體系架構的角度來(lái)看����,安全的威脅包括基礎網(wǎng)絡(luò )資源本身以及承載的數據兩大方面��,而對安全的保障也應該是一個(gè)從發(fā)送端到接收端的完整的端到端的安全防護模型:這就包括了:數據傳送保證機密性����、完整性及正確性�����,網(wǎng)絡(luò )資源防止路由欺騙����、地址盜用�,對于帶寬和端口的占用可以有效的管理與控制�,均是構成一個(gè)完整安全體系不可缺少的組成部分����。這些你會(huì )發(fā)現都是基于網(wǎng)絡(luò )整體架構的安全���。
基于平臺的網(wǎng)絡(luò )安全架構體系并表現為傳統的某個(gè)安全模塊��,而是在網(wǎng)絡(luò )綜合管理平臺總無(wú)處不在����。在網(wǎng)絡(luò )層:保障網(wǎng)絡(luò )路由�����、網(wǎng)絡(luò )地址�����、網(wǎng)絡(luò )傳輸加密等基礎網(wǎng)絡(luò )的安全�����。用戶(hù)接入層:確保合法的用戶(hù)接入����,訪(fǎng)問(wèn)合法的網(wǎng)絡(luò )范圍����,并保障用戶(hù)信息的隔離等用戶(hù)接入網(wǎng)絡(luò )的安全����。業(yè)務(wù)層:保證用戶(hù)訪(fǎng)問(wèn)內容的合法性與安全性���。
隨著(zhù)網(wǎng)絡(luò )上應用的進(jìn)一步增多��,隨著(zhù)網(wǎng)絡(luò )進(jìn)一步深入人們的生活�,入侵與反入侵���、盜用與反盜用的斗爭也必將升級���。而網(wǎng)絡(luò )的安全防護作為一個(gè)系統工程�����,其范圍與深度早已超出了我們原來(lái)的預料��,并還將進(jìn)一步發(fā)展����。只有在整體平臺角度從網(wǎng)絡(luò )管理�����、用戶(hù)管理����、業(yè)務(wù)管理及管理制度等多層次���、多方位地多管齊下才能做到“天網(wǎng)恢恢�,疏而不漏”����。
