分享好的经验.doc

安全管理中心SMC 1 前言－信息安全管理的挑战 1.1 当前信息安全管理存在的问题 如何应对现在新的网络安全环境？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中断和收入损失。 因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要性。 有很多相关的因素共同导致了这种僵局，例如： 用于保护和监控网络的各种安全设备――防火墙、IDS、VPN、身份验证设备等――具有不同的、不一致的报告机制。 各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于网络攻击的信息。 一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息，以至于操作人员无法有效地处理这些信息。 综合起来看，我们企业遇到的安全管理问题主要归结为一下五个方面： 对实时安全信息不了解，无法及时发出预警信息 安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识 事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长 缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高 对某些特定安全事件没有适合的方法，如DDoS攻击，蠕虫病毒等 1.2 保障信息安全对管理的需求 近年来，企业的网络安全意识逐步提高，很多企业根据核心数据库和系统运营的需要，逐步部署了防火墙、防病毒和IDS等安全产品，并配备了相应的安全策略。有了这些措施，看起来好象一切问题都解决了，但是为什么在面对网络攻击时依然损失惨重呢？ 如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的 迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒……可以说，网络从没有象今天这样脆弱不堪、危机四伏，不知道什么时候灾难 就会降临。 在黑客技术发展层面，以及越来越频繁爆发的网络危机来看，黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略。他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体，如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络安全提出了新的挑战。 从另一个角度来看，企业在网络建设初期网络安全并没有很好地规划。随着网络建设的深入，安全产品不断增加，整体缺乏统一管理，相互间没有沟通交互，信息无法有效整合，是一些信息安全的孤岛，各个应用系统之间缺乏有效联系，信息得不到整合，发挥不出其应有的价值。同样的问题放在网络安全上，这一效应就有可能放大成为风险，给企业IT系统的持续运转埋下隐患。 现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。 其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独立地看待这些来自单一设备的信息，很有可能会忽略到一些重要的细节或关键因素，致使网络遭受重大打击。 设想，当一个攻击发生时，防病毒、防火墙、IDS产品都发出了自身的报警信息，由于缺乏事件的关联性，一个事件会引起多个或大量的安全信息。这使网络管理人员无法进行及时处理，往往顾此失彼，手足无措，无法针对事件做出及时响应，迅速地给出一个良好、有效的解决办法。 不同安全产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整整个网络的防御策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭受病毒或攻击的时候，最大限度地减少所遭受的损失。 如果这种状况持续下去，网络安全管理员所看到的永远只是一个相对独立的安全信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问题的全部，那些细节和隐藏在外表下的真相可能恰恰被忽略，而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众 多的大型企业，这种问题尤为突出。 我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上，作安全的事后审计。一个大型的网络，包含若干的网络产品，这