随着计算机与网络的兴起,“地球村”的概念改变了企业管理模式,当企业的“活动”全部跑在IT基础设施上时,整个网络系统是否能安全、持续地服务就成了CIO不可回避的问题。美国萨班斯法案要求企业的商务信息要达到网络安全审计,我国的等级保护要求信息系统要建设全面的安全保障,英国的BS7799与国际的ISO也给出了IT管理的最佳实践……标准有了,产品技术有了,但网络安全保障建设的整体思路还很模糊。 尤其是信息安全领域具有一些特殊性:防护手段要落后于攻击技术,单纯的防护等同于亡羊补牢。怎样把众多的网络安全技术有效地结合在一起?面对众多技术的选择,企业的CIO应该先选择哪些,再选择哪些呢?花瓶模型把安全保障看成网络安全防护、网络监控与网络行为审计三个维度的安全平台,给了我们清晰的企业信息安全建设思路。
1、揭开花瓶模型面纱
网络安全管理体现的是对一个安全事件发生与处理的过程,它是动态的,具有自己的生命周期。花瓶模型把网络安全保障看作是一个时间函数,分为三个维度:网络安全防护、网络监控与网络行为审计,分别对应安全事件发生的前、中、后进行安全保障。从形态上看,下边是信息收集网络,中间是三个安全维度形成的功能平台,上端是每个维度的客户操作与管理界面,整体构架好象是一个漂亮的花瓶,因此称作花瓶模型。花瓶模型的管理平台是网络安全管理与控制中心,称为SOC(安全运营中心)。
2、花瓶中的水
水就是模型中的信息流,为管理平台提供分析所需的数据,同时又把修改的策略与配置送给设备。数据采集平台就比如是花瓶中花的根系,为花朵提供足够的养分。水多而清,水多才能保持营养的新鲜,花才能开得娇艳。 所谓流动的水才新鲜,失去了水的花就会凋谢。这种水的来源有多种方式:网络设备的日志(以部分处理的信息)、安全设备的安全事件(预警信息)、链路的原始信息(数据报文)等。对这些水的吸收方式也是多种多样,可以通过SNMP、NetFlow等协议从网络设备取得,也可以通过镜像交换机端口(或物理分光)从物理链路中获得。获取的信息可以先到信息收集设备中进行预处理,去粗取精,再送给功能模块,进行展示与分析。
3、花瓶中的花枝
安全管理功能的三个维度网络安全防护、网络监控与网络行为审计,既分离又相互依赖,建立在一个信息收集平台上。它们也是花瓶中的三束花,同时也形成了信息安全体系的事前防护、事中监控及应急调度、事后审计三个阶段的全方位网络安全管理。其中防护是提高自身的抵抗能力,重点处理网络中初级的、易识别的病毒与攻击,常用于网络的边界或不同安全域的隔离。 局域网监控是分析系统中的异常行为,包括行为、状态、流量、协议等,以及处理当前的安全事件,尤其是新出现的、防护手段还不健全的新型攻击。审计是针对内部人的,把你的行为记录在案,从管理角度给以震慑,出手必被抓,提高犯罪的成本。审计不是亡羊补牢,而是重现过程,提取证据,并分析攻击的轨迹,为新的防护手段提供依据。花瓶中三束花枝通常对应的安全技术如下: (1).网络安全防护管理。包括边界上的防护(防火墙、IPS、防水墙、UTM、防DOS攻击、流量整形系统、防垃圾系统)、统一身份认证系统、数字签名、通信加密、主机(服务器与终端)安全系统、防病毒系统、补丁管理系统、系统(主机、存储、链路)备份与容灾;
(2).局域网监控与应急平台。包括IDS、漏洞扫描系统、病毒扫描系统、异常流量分析系统、网络状态监控系统、业务持续性服务监控系统、机房监控系统;
(3).局域网网络安全审计。包括网络行为审计、运维管理审计、数据库安全审计、业务合规性审计。
4、花瓶中的花朵
花瓶中赏心悦目的自然是花瓶中绽开的花朵,也就是模型中功能平台的用户界面。其中防护部分是安全设备的管理与安全策略的下发,比如防火墙的访问控制、补丁的自动升级。 局域网监控部分是安全事件的分析与预警,并对事件能快速定位,显示其威胁级别,同时也是紧急事件处理的调度平台。审计部分是事件重现,报表生成的地方,也是新安全策略分析与研究的地方。三个平台可以一体,也可以分开,有各自的用户管理权限。从客户的角度看到的是SOC的工作平台,与网络安全管理中心(NOC)共同成为企业业务管理的支撑基础。
花瓶模型的一个理念是把各种安全体系有机地结合起来,提高系统整体的安全保障能力;另一个理念是统一建设安全体系的信息收集与控制网络,这样不仅可以消除以前的网络监控安全系统孤岛,而且为未来的安全技术加入提供了接口,让企业的网络安全管理走向可管理、持续性建设的阶段。
|