实际上设计一个局域网安全管理方案并不困难,只要给出一个构建局域网安全管理方案用处理步骤和流程,每个企业都可以为自己建立一个局域网安全管理方案。但建立局域网安全管理方案并不意味着一定能行得通,一定最适合目前及以后的发展及企业最关心的投资回报率问题。对中小企业来说,一个最佳的局域网安全管理方案,如果不适合企业现在的安全防范需求和将来的发展需求,它依然是没有任何价值的。那么,要如何才能确保局域网安全管理方案是有效的呢?这就要求我们在制定局域网安全管理方案之前,先来认真回答下列四个问题: 1、 企业中哪些资产是需要保护的? 要回答这个问题首先就是制定一个企业网络基础设备分布结构图,然后在其中标明所有基础性网络资产的具体位置和名称。在这个阶段,网络中的每个网络设备都应该全部标明,这些设备包括服务器、工作站、笔记本、路由器、交换机,以及无线访问点和接入点、打印机及其它与网络连接的设备。这个网络基础结构图为管理和测量网络中存在的漏洞提供最基本的基础,也让我们明白需要保护的是什么。 但是,网络基础设施是随着企业的发展不断地变化着的,例如增加服务器、工作站,扩大网络规模等等,这就要求我们在每一次网络基础变更的时候都应该重新按上述方面进行一次。 标明了网络基础设备,接下来就是分别了解每个设备,包括服务器、工作站、应用程序的商业价值,也就是按价值对网络资产进行分类。按照每个设备在业务处理过程中的重要性进行优先级分类是安全防范工作中至关重要的一个环节。每个企业使用网络系统的作用并不完全相同,这也就决定了每种设备在不同的网络当中有不同的优先级别。 2、 目前有什么威胁可以损害这些资产? 了解以往和目前的网络威胁类型就可以很好地回答这个问题。就目前来说,木马病毒、拒绝服务攻击(DoS)、网络钓鱼、零日攻击、垃圾邮件、无线局域网攻击和来自企业内部员工的威胁及社会工程学攻击,仍然是中小企业网络资产最主要的安全威胁。 3、 目前企业网络中存在什么样的弱点和漏洞,以及允许它们存在的最大范围和损害的最大程度? 现在的网络结构越来越复杂,每一个网络当中存在各种不同的网络设备、操作系统和服务器,快速准确地找出这些设备当中存在的漏洞和配置弱点是一件必需的重要工作。但这并不是一件容易的事情,因此需要一个强有力的漏洞检测机制来帮助实施。 与此同时,在得到企业网络中存在的弱点和漏洞报告后,我们就应当根据我们制定的最低安全风险级别决定需要将这些漏洞和弱点控制在什么样的范围之内,以及我们可以接受的最大损害程度等。要做出这样的决定,我们可以根据我国制定的信息安全风险管理制度中规定的方法来划分。 4、 存在的弱点或漏洞被利用的机率有多大?以及被利用后可能造成资产损害的风险有多大? 当发现企业网络中存在某些漏洞和弱点后,还必需通过模拟攻击的方式来检测这些漏洞和弱点可能被利用的机率有多大。检测应当按由外至内和由内至外两个方面进行,由外至内的方式用来检测黑客从企业外部可能利用企业内网中存在的漏洞和弱点的机率,而由内至外就是检测攻击者从企业内部可能利用企业网络中存在的漏洞和弱点的机率。这样做的目的就是用来了解企业网络中的这些漏洞和弱点的风险级别。 同样,在进行上述这两种方式的模拟检测时,如果漏洞和弱点利用成功,那么还应当进一步了解利用成功后对企业网络资产会造成多大的损害。也就是攻击可能获得企业网络中哪些机密信息,损坏哪些重要数据,这些机密信息的损坏和泄漏会给企业带来什么样的经济和无形资产的损失等等。 一旦上述这4个问题弄清楚以后,我们就可以知道我们需要什么样的安全防范措施,并且明白需要将这些安全防范措施实施到什么地方,才有可能将风险减小到企业可以接受的水平之内。同时,我们还应当慎重考虑安全防范的投资回报率问题。安全防范不能给企业创造价值,但是,它却能为企业网络中的资产保值,保值就意味就间接地为企业创建了价值。我们也是根据安全防范措施能达到的最大保值值来计算它的回报率的。 但是现在许多SIEM产品却只能解决中小企业安全防范过程中诸多问题中的一部份,甚至一些中小企业根本不能通过它取得任何的安全防范效果。这是由于现在大部分的SIEM产品都是建立在关系型数据库之上,由于关系型数据库不能承受每天记录100万或上十亿条安全事件的能力,这就严重影响了它们在当今企业环境中应用时的可扩展性。而且,购买现成的SIEM产品需要企业花费额外的费用,这些费用对于处于经济危机时期的中小企业来说也是一个不小的负担。 但无论怎么样,不管中小企业是使用自己制定网络安全管理方案,还是使用现成的SIEM产品来帮助企业完成网络安全防范任务,这都能够让企业在安全防范过程中再也不会感到迷惑,局域网安全管理目标将会更加容易实现。
|