放之四海：具有通用性的內(nèi)網(wǎng)安全管理體系

　　盡管很多時(shí)候人們不可遏止地覺(jué)得守護(hù)目標(biāo)不讓黑客對(duì)其進(jìn)行攻擊是一件很酷的事情，但是在絕大多數(shù)情況下，安全管理都是建構(gòu)在規(guī)范和嚴(yán)謹(jǐn)之上的一件工作。這其中不但需要正確的應(yīng)用安全技術(shù)，同時(shí)也需要前期的規(guī)劃和設(shè)計(jì)以及后期的運(yùn)營(yíng)和支持。在這里我們將嘗試給出一個(gè)內(nèi)網(wǎng)安全管理體系的基本模型，我們希望它具有廣泛和長(zhǎng)期的適應(yīng)性，同時(shí)覆蓋內(nèi)網(wǎng)安全各個(gè)主要的問(wèn)題域。

　　一般來(lái)說(shuō)，一個(gè)內(nèi)網(wǎng)安全解決方案從形成到正式開(kāi)始運(yùn)行，要經(jīng)歷如圖所示的一系列階段。從認(rèn)識(shí)到有需要解決的內(nèi)網(wǎng)安全問(wèn)題或者內(nèi)網(wǎng)存在安全問(wèn)題開(kāi)始，首先需要形成一份需求定義文檔。這份需求文檔應(yīng)由信息安全部門(mén)和行政部門(mén)的管理人員進(jìn)行評(píng)估，然后表決通過(guò)。

　　在此之后，應(yīng)根據(jù)需求進(jìn)行實(shí)際內(nèi)網(wǎng)安全防護(hù)體系的構(gòu)建，這其中通常還可以展開(kāi)很多子步驟，例如進(jìn)行安全體系的具體設(shè)計(jì)等。當(dāng)一個(gè)內(nèi)網(wǎng)安全體系經(jīng)過(guò)評(píng)估之后將融合到現(xiàn)有的信息基礎(chǔ)設(shè)施當(dāng)中，同樣地，如果基礎(chǔ)設(shè)施發(fā)生變化，相對(duì)應(yīng)的也要進(jìn)行評(píng)估。而在這些工作完成之后，需要對(duì)已經(jīng)成型的安全體系進(jìn)行評(píng)價(jià)和驗(yàn)證，以證明其有效性。

　　如果不存在漏洞和考慮不周之處，該內(nèi)網(wǎng)安全體系將投產(chǎn)于實(shí)際的工作環(huán)境，而后續(xù)的針對(duì)應(yīng)用環(huán)境變更所做出的調(diào)整、日常的安全管理、發(fā)生安全事件時(shí)的應(yīng)急響應(yīng)和支持等工作將會(huì)有序地開(kāi)展。

　　按部就班：如何操作內(nèi)網(wǎng)安全管理

　　從管理目標(biāo)來(lái)說(shuō)，內(nèi)網(wǎng)安全所處理的主要問(wèn)題還是內(nèi)網(wǎng)中的信息也即數(shù)據(jù)。雖然說(shuō)Web、電子郵件、即時(shí)通信、業(yè)務(wù)管理系統(tǒng)等建構(gòu)在局域網(wǎng)和互聯(lián)網(wǎng)上的應(yīng)用為企業(yè)帶來(lái)了大量的效率提升，但是并不是所有的人都明白這些應(yīng)用會(huì)給企業(yè)的數(shù)據(jù)帶來(lái)什么風(fēng)險(xiǎn)，更不知道如何來(lái)控制這種風(fēng)險(xiǎn)。

　　通過(guò)對(duì)信息進(jìn)行分級(jí)并映射其可能的安全風(fēng)險(xiǎn)，以及在這些安全風(fēng)險(xiǎn)變成現(xiàn)實(shí)時(shí)可能遭受的損失，在擁有這些基礎(chǔ)素材之后安全管理人員才能開(kāi)發(fā)出有效的控制措施來(lái)將風(fēng)險(xiǎn)降低到可以接受的程度。在形成了完善的信息分級(jí)系統(tǒng)之后，組織就可以著手形成自己的基本安全策略。

　　安全策略除了確認(rèn)信息作為受保護(hù)資產(chǎn)的地位之外，更重要的價(jià)值在于規(guī)定當(dāng)信息依照其所在等級(jí)的風(fēng)險(xiǎn)情況應(yīng)該受到何種程度的保護(hù)。而在預(yù)期的成本和目標(biāo)效果的指導(dǎo)之下，安全管理人員應(yīng)選擇與之相適應(yīng)的技術(shù)和產(chǎn)品來(lái)構(gòu)建安全防護(hù)措施。

　　當(dāng)然，在一切都被搭建起來(lái)之后，還有很多安全管理工作需要被周而復(fù)始地執(zhí)行。然而不得不承認(rèn)的是，很多情況下安全管理人員都直接將構(gòu)建安全設(shè)施作為內(nèi)網(wǎng)安全管理的起點(diǎn)，同時(shí)以很低的效率和很盲目的姿態(tài)來(lái)開(kāi)展后續(xù)的工作，這樣做最可能的結(jié)果就是形成一個(gè)可能發(fā)生安全事件的內(nèi)部網(wǎng)絡(luò)。從下面提供的一份示例清單中可以看出，這種未經(jīng)足夠準(zhǔn)備就開(kāi)始的安全工作到底遺漏了多少有益的要素。

　　見(jiàn)招拆招：實(shí)例解析內(nèi)網(wǎng)安全管理

　　也許在95%的講解內(nèi)網(wǎng)安全管理的文章中，內(nèi)網(wǎng)都用來(lái)代指與互聯(lián)網(wǎng)相對(duì)的局域網(wǎng)絡(luò)。但是在實(shí)際的安全管理情景中，內(nèi)網(wǎng)往往還需要被劃分成不同的區(qū)域。有的時(shí)候是因?yàn)榻M織業(yè)務(wù)的需要，網(wǎng)絡(luò)已經(jīng)被進(jìn)行切割;而有的時(shí)候則是為了讓安全體系更加具有層次，所以令不同安全等級(jí)的數(shù)據(jù)只能在自己的區(qū)域中流動(dòng)。

　　有相當(dāng)多的技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離，例如防火墻設(shè)備、中繼網(wǎng)關(guān)、應(yīng)用代理、三層交換機(jī)、VLAN等等。盡管很多企業(yè)都應(yīng)用低層的物理隔離設(shè)備來(lái)分割網(wǎng)絡(luò)，但是事實(shí)上應(yīng)用最廣泛的仍舊是防火墻類(lèi)型的設(shè)備。而另外一個(gè)較為明顯的趨勢(shì)是，大部分組織都應(yīng)用了一種以上的技術(shù)或設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)區(qū)域的劃分和管理。

　　然而，如果只是利用這些傳統(tǒng)的、基本的設(shè)施來(lái)進(jìn)行網(wǎng)絡(luò)隔離管理是相當(dāng)?shù)托У?，也很難與數(shù)據(jù)隔離、應(yīng)用隔離等安全管理手段相互融合。所以更加受到推崇的方式，是在一個(gè)統(tǒng)一的管理平臺(tái)之下，將面向各種層面和各種方向的防護(hù)機(jī)能整合起來(lái)。

　　另外，對(duì)于那些出現(xiàn)安全問(wèn)題同時(shí)可能對(duì)內(nèi)網(wǎng)其它節(jié)點(diǎn)造成破壞的計(jì)算機(jī)，整個(gè)安全管理體系可以智能識(shí)別并將其與內(nèi)網(wǎng)切斷。這樣的體系可以簡(jiǎn)化安全管理員的負(fù)擔(dān)，甚至每一臺(tái)計(jì)算機(jī)都可以被視為內(nèi)網(wǎng)中的一個(gè)內(nèi)網(wǎng)，管理彈性可見(jiàn)一斑。