雖然企業信息化管理在不少企業已經開花結果了,但是,不幸的是,網絡安全管理還是很薄弱。我個人的感覺,我們的很多企業,網絡安全就好像一層薄紙,輕輕一點就可以捅破。這其中有很大一部分原因,主要是在網絡安全體系設計中,有不少網絡管理人員犯了一些方向性的錯誤。其實,這些錯誤我在以前也犯過,還好后來及時調整過來。下面筆者就對這些談談自己的看法,希望能夠對大家有所幫助。
迷失方向一:注重邊界安全,忽視內部威脅
筆者在企業網絡安全管理這個領域內,也是有一定的知名度的。平時在跟一些網絡安全管理人員討論企業網絡安全話題的時候,發現大家更多的是關注企業網絡邊界的安全,而忽視了來自于企業內部的安全威脅。
但是,根據有關權威部門的統計,企業網絡的安全威脅,真正的來自外部的威脅只占到20%,而80%的網絡安全威脅事件來自于企業內部。來自互聯網的攻擊,無論是木馬、黑客還是惡作劇,都是很少,而且,對企業造成的影響也不是很大。但是,來自于企業內部的安全威脅則日益突出。特別是員工隨意把企業內部的機密信息泄露、甚至轉賣給企業的競爭對手,給企業造成了很多的損失。現在就有很多類似的官司。如前不久就有一家公司的銷售經理離職的時候,復制了公司的所有客戶信息與產品信息,離職后自己開辦了企業,挖走了公司很多的客戶。也有公司的技術骨干被企業的競爭對手挖走,隨著他們的離職,很多技術資料也被他們帶了過去,從而引發了官司。這里雖然也有人員管理上的問題,但是電子文檔管理不完善,這也是導致企業損失的一個不可推卸的失誤。
為此,筆者認為,相對于企業外網而言,內部的威脅應該更應該引起網絡安全管理人員的重視。
如如何對電子文檔進行管理,限制無關人員的訪問,特別是對于電子文檔的復制、分發等需要進行嚴格的控制。如如何對于移動設備存儲進行管理,U盤等移動設備由于其體積小、容量大,所以是用來存儲電子文檔最好的工具之一,所以網絡安全管理人員需要采用有效的措施來規范移動存儲設備的使用,必要的時候禁用他。
對于如何應對企業內部的安全威脅,筆者有如何建議:
1、對電子文檔進行安全等級管理。對于安全等級級別高的電子文檔,如客戶信息、產品研發信息等等,需要采用加密等手段來保護文件的安全。如采用WINDOWS操作系統的EFS加密技術,當這些機密文件脫離特定的用戶,在其他電腦上都無法打開利用EFS加密過的文件。這無疑是保護企業機密文件安全的一種很好的手段。
2、規范移動存儲設備的使用。在一般情況下,需要禁止使用移動存儲設備。如我公司現在就是禁止各種移動存儲設備的使用,包括移動硬盤、U盤、MP3、外置刻錄光驅等等,都無法使用。這個技術手段也很簡單,就是禁用掉主機的USB接口即可。
3、監控企業員工的郵件。除了移動存儲設備外,電子郵件也逐漸在成為企業信息安全帶頭號殺手之一。電子郵件由于其隱蔽性高、使用方便等等,已經開始對企業的信息化安全產生了重大的威脅。所以,在有必要的情況下,需要對企業重要部門的員工郵件進行監控。筆者現在的企業,采用的安全規則是,一般員工的話,都不能發送外部郵件,只有內部員工之間的郵件可以對發。而有權限發送外部郵件的員工,他們的郵箱都受到監控,什么時候給什么人發送了什么內容的郵件,都可以追蹤到。如此的話,就可以最大限度的減少員工利用電子郵件工具泄露企業機密信息。
迷失方向二:西瓜、芝麻都要
在網絡安全管理中,很多企業還喜歡面面俱到,只有這么大的胃口,還西瓜、芝麻都想抓在手中。結果呢,就是揀了西瓜丟了芝麻。
如對于郵件監控來說,很多企業采用的措施是對于所有的員工都采取監控措施。一個公司幾百名員工,從大到企業副總、部門經理,小到下面的司機,都對他們進行郵件監控。可是帶來的問題就是,如何去查看這些監控信息。若我們不能及時過濾這些監控信息的話,則我們采取郵件監控措施的話,根本沒有任何意義。所以,筆者認為,在企業網絡安全管理中,沒有必要做到面面俱到,而是應該抓重點。
具體的來說,筆者有如下建議
一是重服務期安全,輕單機安全。企業的服務期中,存儲有企業大量的機密信息。如文件服務器存儲有很多企業的機密信息,如產品研發、測試資料等的功能;再如ERP服務器中,存有所有的客戶資料、訂單信息、產品物料清單等等。在實際工作中,我們應該鼓勵用戶把相關的資料存儲在企業服務器中。因為在服務器上,我們可以采取統一的安全策略,如對相關信息進行及時備份、采取統一的訪問控制策略、利用服務期訪問日志記錄訪問信息等等。若管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。故,在安全管理中,我們應該把管理的中心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。
二是對于信息的安全管理要輕重有別。我們都知道,文件訪問的效率與安全往往是背道而馳的。當文件安全性級別高,往往就需要添加很多訪問的限制,如需要員工憑用戶名與密碼才能夠訪問;或者需要用戶通過特定的途徑才能夠訪問;或者對于用戶訪問文件的地點有限制等等。一般來說,安全級別越高的文件,其訪問更加復雜,所以,訪問效率也就比較低。故我們網絡安全人員在設計安全體系的時候,需要在安全性與訪問效率之間取得均衡。而取得這個均衡的最好的一個方法,就是對信息實施“輕重有別”的管理方法。就拿筆者公司為例,企業員工的考勤信息一般都是公開的,所以,對這個信息就沒有必要采用很強的訪問控制策略,只需要限制未經授權的用戶更改這個文件即可。而公司工資信息則是保密的,一般只有員工本人與少數的幾個人員才能夠獲悉,所以,對于工資明細這個文件就需要采用比較嚴格的訪問控制策略,對于訪問的人員、訪問的途徑等等都需要進行嚴格的控制。如此的話,才可以實現企業的要求。故,對企業的信息進行如此分級管理的話,我們就可以把更多的精力放在一些機密性程度比較高的信息上面;同時,對于一些機密程度不高的文件,就可以提高其的訪問效率。而不是不管三七二十一,一幫子打死。
三是必要的時候,把某些部門劃為禁區。如筆者現在的企業,產品研發部門是企業的核心,我們企業產品的專利樹目在國內企業中是數一數二的,所以對于專利的保護就非常的重視。為了保護這些產品信息,特別是產品配方、產品測試資料的安全性,公司采用了虛擬局域網技術,把研發部門跟財務部門劃分成獨立的網絡,限制其他部門對于這兩個部門電腦的訪問。如此的話,就把這個兩個企業重要部門隔離開來,提高了這些主機的安全性。這對于企業的信息安全起到了很大的保護作用。所以,筆者建議,在網路設計的時候,就需要開始企業網絡與信息的安全。在有必要的時候,把一些重要的部門獨立的保護起來,從網絡底層限制其他用戶對其的訪問。
企業這么大多一個信息網絡,存在這么多的安全威脅,而且要往往不會配備很多的網絡安全人員,一般就一名到兩名。很多企業還沒有獨立的網絡安全管理人員,都是網絡管理員在兼職。所以,在這種背景下,若還要去爭取“面面俱到”的話,則最后的結果必然是功虧一簣,撿了芝麻,丟了西瓜。故筆者在這里強烈建議,我們在設計企業網絡安全管理體系的時候,需要輕重有別。大家在考慮問題的時候,可以參考我上面的意見。雖然有些地方可能不是百分之百的準確,可能還有一些沒有考慮到的點,但是,我相信,這些方法對于大家從整體上提高網絡與信息的安全性,是具有非常好的作用。因為我現在就是這么做的,而且已經取得了非常明顯的效果。
