维普资讯 http://www.cqvip.com B 2兰 兰二lⅢ:: 二二: [ :: _\—— 责任编辑:宿建光 Jg@cWW net c 从管理角度看网络安全发展趋势 口中国网通集团研究院郭牧 一、网络安全现状 要求不断完善其内容。 2. 涉及网络安全的各个层次,特别 结合起来,形成一个相互推动、相互联系 地整体,通过实际的工程运作和动态的运 3 身份认证技术。80%的攻击发生在 内部,而不是外部 内部网的管理和访问 是基层人员对网络安全工作的重要性认 营维护,晟终实现安全工作的目标。 我国的网络安全产业经过十多年的探 识不足,必须强化把网络安全作为一项 完善的网络安全体系应包括安全策 索和发展已得到长足了发展。特别是近几年 重点工作开展,并对如何开展安全工作 略体系、安全组织体系、安全技术体系、 来,随着我国互联网的普及以及政府和企业 和需要做哪些安全工作、达到什么目标 安全运作体系。如图1所示。 信息化建设步伐的加快,对网络安全的需求 有明确要求 也以前所未有的速度迅猛增长,这也是由于 3 网络安全管理组织不完整,现阶 网络安全问题的日益突出,促使网络安全企 业不断采用最新安全技术,不断推出满足用 控制相对外部的隔离来讲要复杂得多。 在一般人的心目中,基于RadiuS的鉴别、 授权和管理(AAA)系统是一个非常庞 大的安全体系,主要用于大的网络运营 商,企业内部不需要这么 复杂的东西 这种看法越 来越过时,实际上组织内 部网同样需要一套强大的 AAA系统 根据IDC的报 告,内部的AAA系统是 目前安全市场增长最快的 部分。 段网络/应用系统的安全工作基本上由 各维护单位和人员承担,安全责任相对 比较分散,存在一定程度的安全责任无 珐落实到具体人的现象 4 5 具有普及性的安全教育和培训不 在物理与环境安全、系统和网络 足,人员信息安全意识水平不统一。 安全管理、系统接人控制方面仍然存在 户需求、具有时代特色的安全产品,也进一 步促进了网络安全技术的发展。 应当说,在这十年来,网络安全产品 从简单的防火墙到目前的具备报警、预警、 分析、审计、监测等全面功能的网络安全 系统,在技术角度已经实现了巨大进步, 也为政府和企业在构建网络安全体系方面 提供了更加多样化的选择,但是,网络面 4 人侵监测和主动 防卫技术 入侵检侧和主 动防卫(IDs、IPS)作为 一定差距,在安全策略、安全组织、人员 管理、资产分类控制、安全审计方面存在 种实时交互的监测和主 临的威胁却并未随着技术的进步而有所抑 明显不足。 制,反而使矛盾更加突出,从层出不穷的 6 防病毒系统没有实现整体统一, 网络犯罪到日益猖獗的黑客攻击,似乎网 动防卫手段,正越来越多 的被政府和企业应用,但 如何解决监测效率和错 存在防病毒的局部能力不足 7 网络/应用系统防护上采取了防 络世界正面临着前所未有的挑战,下面简 安全策略体系应包括网络安全的目标、 报、漏报率的矛盾 需要继续进行研究。 单分析网络安全环境的现状。 1 在网络和应用系统保护方面采取 火墙等安全产品和硬件冗余等安全措施, 方针,策略、规范、标准及流程等,并通 但安全产品之间无法实现联动,安全信 过在组织内对安全策略的发布和落实来保 5 加密和虚拟专用网技术 组织的 员工外出、移动办公、单位和合作伙伴之 了安全措施,每个网络/应用系统分别部 息无法挖掘,安全防护效果低,投资重 证对网络安全的承诺与支持。安全组织体 间、分支机构之间通过公用的互联网通 署了防火墙、访问控制设备等安全产品, 复,存在一定程度的安全孤岛现象。另 系包括安全组织结构建立、安全角色和职 信是必需的,因此加密通信和虚拟专用 采取了备份、负载均衡、硬件冗余等安全 外,安全产品部署不均衡,各个系统部署 责划分、人员安全管理、安全培训和数育、 网(VPN)有很大的市场需求。IPSeC已 措施,2实现了区域性的集中防病毒,实 了多个安全产品,但在系统边界存在安 第三方安全管理等。安全技术体系主要包 经成为市场的主流和标准。 现了病毒库的升级和防病毒客户端的监 全空白,没有形成纵深的安全防护 6 网管。网络安全越完善,体系架 括鉴别和认证、访问控制、内容安全、冗 控和管理;3 安全工作由各网络/应用 8 对终端管理没有统一策略,操作 余和恢复、审计和响应。安全运作体系包 构就越复杂。管理嘲络的多台安全设备 系统具体的维护人员兼职负责,安全工 系统版本、操作系统补丁等没有统一的 括安全管理和技术实施的操作规程,实施 需要集中网管。集中网管是目前安全市 作分散到各个维护人员;4 应用系统账 标准和管理 手段和考桉办法 安全运作体系提供安全 场的一大趋势 号管理、防病毒等方面具有一定流程,在 网络安全管理方面的流程相对比较薄弱, 9 没有应急响应流程和业务持续性 管理和安全操作人员具体的实施指导,是 (二)从管理角度讲应遵循以下原则 1 整体考虑,统一规划。网络安全 取决干系统中最薄弱的环节 “一点突 破,全网突破”,单个系统考虑安全问题 计划,发生安全事件后的处理和恢复流 整个安全体系的操作基础 需要进一步进行修订;5 员工安全意识 程不足,对可能造成的业务中断没有紧 有待加强,日常办公中存在一定非安全 急预案。 操作情况,终端使用和接人情况复杂。 这可以说是现阶段具有代表性的网 络安全建设和使用的现状,从另一个角 并不能真正有效的保证安全,需要从整 三、网络安全的体系架构 从管理和技术两个维度推进网络安 全工作不仅是现阶段解决好网络安全问 体IT体系层次建立网络安全架构,整体 考虑,全面防护。 度来看,单纯依靠网络安全技术的革新, 不可能完全解决网络安全的隐患,如果 想从根本上克服网络安全问题,我们需 网络安全的任何一项工作,都必须 题的需要,也是今后网络安全发展的必 2 战略优先,合理保护。网络安全 工作应服从组织信息化建设总体战略, 滚动式实现系统安全体系的统一。在此 前提之下,追求适度安全,合理保护组织 信息资产,安全投人与资产的价值应相 匹配 在网络安全组织、网络安全策略、网络安 然趋势 要首先分析距真正意义上的网络安全到 全技术、网络安全运行体系的综合作用 (一)从技术角度而言 底存在哪些差距 下才能取得成效。首先必须有具体的人 l 逻辑隔离技术。以防火墙为代表 和组织来承担安全工作 并且赋予组织 的逻辑隔离技术将逐步向大容量,高效 相应的责权;其次必须有相应的安全策 率,基于内容的过滤技术以及与人侵监 略来指导和规范安全工作的开展,明确 测和主动防卫设备、防病毒网关设备联 一~二、差距分析 仨 C J’l7l 3 集中管理,重点防护。统筹设计 安全总体架构,建立规范、有序的安全管 应该做什么,不应该做什么,按什么流程 动的方向发展,形成具有统计分析功能 就目前而言,企业的网络安全还存 和方法来做,再次若有了安全组织、安全 的综合性网络安全产品。 在这样或那样的问题,离真正的安全的 目标和安全策略后,需要选择合适的安 2 防病毒技术。防病毒技术将逐步 网络还有不可逾越的差距。 全技术方案来满足安全目标;最后在确定 实现由单机防病毒向网络防病毒方式过 l 网络安全管理体系不完善,需要 了安全组织、安全策略、安全技术后,必 渡,而防病毒网关产品的病毒库更新效 通过实施策略对流程进行细化,其它体 须通过规范的运作过程来实施安全工作, 率和服务水平,将成为今后防病毒产品 系也需要按照网络安全管理体系和流程 将安全组织、安全策略和安全技术有机地 竞争的核心要素。 理流程,集中管理各系统的安全问题,避 免安全“孤岛”和安全“短板”。 4 七分管理,三分技术。管理是企 业网络安全的核心,技术是安全管理的 保证。只有制定完整的规章制度、行为准 则并和安全技术手段合理结合,网络系 统的安全才会有最大的保障。蛾