传统的安全管理方式是将分散在各地、不同种类系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致。这种传统的管理运行方式是许许多多安全隐患形成的根源...
对于网络安全在经济生产中的地位,这里引用美国最新出版的《保护网络空间的国家战略》中的一段描述:先是911的打击,然后提到Nimda和Code Red攻击,两次攻击都给美国经济非常沉重的打击,严重影响了人们对网络的信心。但是网络的大规模应用的确明显提高了社会的生产效率,各种交易的成本也大幅下降。当前,国家已经将对于制造业、设备业、银行业、通信业的关键程序的控制权交付给了联网的计算机。但是,遗憾的是这一切都是在还没有对安全问题进行充分考虑的情况下发生的。”
“所有人都必须积极行动起来,实现其各自所处网络空间的安全性。”
可以看到,作为国际网络经济最为发达的美国,率先看到了网络给人们带了的巨大利益同时也带来的绝大威胁,并且号召、要求全国的政府机关、大中小型企业以及家庭和个人都重视网络信息安全:保护自己不被其他攻击者利用,保护自己的客户不被攻击者伤害,保护客户和员工的个人隐私,处于关键地位的大型企业和政府要起到示范作用。
作为当前经济生活所不可或缺的通信业务提供商,电信公司的网络和业务是我们整个国家关键基础设施的不可分割的一部分。对它的保护是企业自身业务的要求,也是维护国家安全而应尽的义务。
安全成为盈利手段
通常看来,安全相关的项目属于成本中心(Cost Center),相关的项目包括购买安全设备、购买安全服务、安全培训等,不直接产生营收和经济效益,所以在许多的网络建设项目中安全子系统属于附加的、从属的地位,反映在通常作为网管工程的补充,处于后台运行。这种观念在很大程度上使得“安全第一”流于空话,很多场合让位于具有严格考核指标的“生产第一”。
事实上,在世界领先的电信企业中,越来越多地开始将安全本身作为一个新兴的产业来经营,主要体现在以下方面:
电信网络进行了安全加强后,附带来的安全水平提高通过反映在服务水平条约(SLA)上面的提升而带来附加的收入,并且隐含的市场竞争力提升也为高等级安全电信商带来的额外的好处。在当前国内电信市场逐渐开放的氛围下,能够提供良好安全保证和客户信心的运行上必然会逐步取得竞争优势,赚取高于市场的超额利润。
电信商利用自己得天独厚的带宽、机房、运行维护经验等方面的巨大优势将会成为未来管理安全服务(MSS)市场的主角。相应的业务甚至有可能成为电信商的主要业务增长点。
客户在选择了该电信商提供的承载业务的同时,也意味着选择了对该电信商的某种程度上的信任。这种信任关系在未来的信息基础设施供需市场竞争中弥足珍贵。这也意味着电信商选择为用户提供附加的安全顾问和集成服务时,除了自己的网络集成经验之外,还有更高一层的竞争优势。
所以,对于电信商来说,本质上加强自身安全水平的一个前提是领导决策层对于网络信息安全的观点,将它看成防护本身(成本、开销),还是将它看成业务(市场、营收),带来的决策策略也不相同。
国际电信商安全状况
考察国际上先进的电信服务提供商,例如NTT Data、BT、ATT等,普遍地在内部和客户界面上推行安全(隐私权)概念,普遍做到理解安全,重视安全,愿意为安全支付成本。这里所说的安全在技术上包括查杀病毒、垃圾邮件、加密(普通用户界面)、认证、访问控制、审计、网络入侵检测、滥用检测(企业用户界面和内部),在管理上,普遍的推行集中监控和实时告警、处理,推行规范化的工程施工管理和运行管理,推行职业/专业认证上岗制度。
电信网络面临的主要威胁
内部误用和滥用。各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的,通常的比例高达70%。这样,如何高效地防止误用损失、阻止滥用、监测业务网络的健康运行,并且在实践发生后能够成功地进行定位和取证分析,这样的能力对于一个成功的电信级企业显得至关重要。
拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信级企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。
外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
病毒。病毒时时刻刻威胁着整个互联网。前段时间美国国防部和全年北京某部委内部网遭受的大规模病毒爆发都使得整个内部办公和业务瘫痪数个小时,而MS Blaster 及Nimda和Code Red的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。对病毒的彻底防御重要性毋庸置疑。
各种灾难和事故。现今世界存在各种自然灾害、灾难、恐怖事件等对于整个企业的业务可能都会随时造成毁灭性的打击。
电信公司面临的主要弱点包括技术方面的弱点和管理方面的弱点。
技术方面的弱点:
缺乏统一规划:电信公司都建立了多种(多个)统一平台,极大地提高了生产效率和投资回报,但同时也让安全问题更加复杂了,这样的统一平台要求全面统一考虑安全系统的建设,可以看出,目前的很多规划是基于单个系统的,这样考虑存在较大问题,我们认为,应当以安全域管理和划分为原则,统一规划整个安全体系的建设。
安全技术手段使用不足:电信公司都会采用了一些防火墙、入侵检测和防毒系统,但是大部分系统都存在大量空白的空间,不同安全域之间的连接都没有通过防火墙进行访问控制,无论是安全体系的纵深还是安全体系的强度都严重不足。
系统安全评估和增强不足:大量的UNIX/WINDOWS/NOTES等系统的缺省配置,开放不必要的端口,没有打安全补丁,口令强度严重不足,缺省的SNMP口令配置,这些弱点在电信公司均普遍存在。
缺乏实时集中管理手段:安全事故监控和响应都缺乏技术手段,缺乏必要的流程和组织。要通过少数人保证庞大的电信公司IP系统的安全,就必须充分利用集中监控、集中响应的技术机制。
缺乏足够的审计:作为所有安全防御机制的补充,审计工具和机制是一种重要的检测机制,通过他可以发现内部的误用和异常的趋势。
管理方面的弱点:
缺乏安全策略和规范:安全策略和规范包括策略、标准、手册和流程。电信公司在这些方面均不完整,安氏正在和电信公司总局合作开发相关的框架和规范,希望能帮助电信公司开发省局层面的安全策略。
缺乏信息资产风险管理观念: 企业应该建立以信息资产为核心的风险管理模型,这里面包括了资产分类、信息分级、风险评估、风险处置、配置管理和变更管理。
安全意识不足:尽管电信公司的各级经理和技术维护人员具备了较高的安全意识,但是,安全意识培训应该是以安全策略和规范为基础,给包括各级经理、省市系统维护人员和业务系统使用人员(营业员、座席等)的全面安全意识培训。
不完整的业务连续性计划:电信公司为业务连续性做出巨大努力,但是,这种努力主要集中在技术和产品层面,而管理层面,例如流程、手册、人员、培训、测试则较少涉及。
解决方案的目标
网络安全的水平体现在:使用经济上得益的投资来控制网络安全威胁在可以忍受的水平,挫败策略规划中的威胁方。
基于上面的出发点,考察国际上先进电信提供商的经验,我们设计的整个方案的完整实施将保证客户网络达到以下几个目标:
建立全网的策略、管理、组织和安全技术体系。参照后面的描述,建立起结合实际业务情况和安全需求的策略并通过相应的管理、组织、和技术体系进行落实和跟进。
实现关键业务的6个重要安全属性:机密性(Confidentiality)、完整性(Integrity)、可用性 (Availability)、可靠性(Reliability)、认证性(Authenticity)、审计性 (Accountability)。体现在对关键业务和数据的访问、修改、编辑、创建等过程都通过了严格的加密和认证措施,所有关键业务相关的网络活动被记录和审查。
实现关键业务的“全程全网”安全事件可视化(Visualization)。体现在全网关键业务和数据相关的网络事件可以非常直观地可视化回放,保证安全策略没有被违反,有能力进行事后的分析和追查,提供可以“呈堂”的证据。
全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整,使得全网的整体安全状况和风险情况以定性或半定量的形式及时展现出来。帮助企业管理层和客户建立信心。
保证全网的“抗打击能力”处于国内领先地位。在网络攻击、自然灾害、灾难、恐怖事件以及其它不可预见的威胁出现时,全网关键业务有能力进行迅速的响应和恢复。帮助自己的客户建立信心,从而提高企业的信誉和效益。
保证全网相关业务活动在网络安全方面的法律法规符合性。在整个企业的技术和商务活动中,都将建立法律法规符合性审核制度,保证企业的商业信誉和利益不受伤害。
解决方案
从前面的分析来看,我们综合目前电信公司面临的所有的风险和问题,主要集中以下三个方面:
缺乏统一的安全规划和安全职责部门,缺乏技术手段,统一的部署安全策略,响应安全事故,控制安全风险。
尽管已经采用了一些安全措施,但是目前安全措施的采用还是严重不足的,存在大量这样、那样的风险和漏洞。
安全管理仍然存在大幅度改进的空间,安全意识培训、安全策略和业务连续性计划都必须逐步完成并实施。
与此相对应的,我们建议针对这三个方面问题采取三种针对性的解决方案:
其一,我们强烈建议建设安全管理中心(SOC),进行统一集中的网络安全管理
其二,建设安全防护体系:从安全产品和服务方面对现有网络和数据的保护进行加强
其三,从管理方面进行策略、组织机构和管理考核制度方面执行安全考虑。
·安全管理中心(SOC)
传统的安全管理方式是将分散在各地、不同种类系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致。这种传统的管理运行方式是许许多多安全隐患形成的根源。
安全管理中心是针对传统管理方式的一种重大变革。它将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。
我们建议的安全管理中心(SOC)所涉及的安全管理管理范围包括:
所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其上应用)。
所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。
所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
负责协同高层领导,制定和实施企业长期安全目标和策略,并将其分解为中期和短期策略,负责日常安全配置和维护。
安全产品和服务
从前面的业务环境分析,我们知道虽然电信公司网络系统中已经部署了一些网络安全产品,但是这些产品没有形成体系,尚有许多薄弱环节没有覆盖到,不少安全产品没有得到有效利用。为了实现全面的安全目标,需要全面考虑对于安全产品和服务的部署需求,实现“全网”安全的目标。针对全网不同业务类型子网的相应的安全产品和服务详细布署方案将在下一步中提供。
·安全产品和安全服务
根据上面的分析,我们建议有重点地按照下面的策略来布署安全产品以大幅度提升全网的安全水平,安氏有能力就如下几方面提供全面的技术解决方案:
· 配置(增加)更为先进的防火墙和入侵检测系统,来增强已有的访问控制和审计响应手段;
· 配置国际先进的对抗DoS产品和一定的网络冗余设计来增强全网的抗拒绝服务攻击打击能力;
· 完善的反病毒体系(部分替换)来增强全网的抗病毒和蠕虫攻击能力;
· 布署全网统一的风险评估软件和安全信息库,提升全网的安全审计和风险管理能力;
· 布署集中的认证服务器和相应软件(带有高可靠性冗余设计),来提高全网的认证和访问控制能力;
· 在关键业务和数据网段布署国际先进的事件分析软件,提高对安全事件的分析、定位、追查等能力,提高全网的安全事件可视化水平;
· 在全网范围内布署适当的、基于PKI体系的加密、数字签名和安全认证产品和技术,提高全网关键业务的保密性、完整性、可靠性以及抗抵赖等安全属性
· 在安全管理中心布署集中的安全管理软件,集中监视全网关键设备和安全应用的运行状态和安全事件。
在具体配置和建设安全体系时,安氏建议采用以下的步骤和原则:
首先应该划分安全域:从大的层面来说、支撑网体系,合作伙伴接入是3个主要的安全域;每个安全域中间,有分成小的安全域,每个系统里面又可以划分成子域。使用安全域的概念,便于衡量不同的安全需求、威胁,从而确定如何采用访问控制、权限控制。
防火墙:当不同安全域对于安全需求程度不同,并且可以进行隔离的时候,应该使用防火墙进行隔离,必须注意的是,接口数量应该尽量控制,统一规划,不能到处都是防火墙隔开的接口。防火墙配置的主要位置:Internet接口、合作伙伴接口、拨号接入接口(电信公司办公和维护用)、各安全域之间、重点主机保护、数据库、DMZ保护等。
入侵检测:网络入侵检测应该至少和防火墙联合使用,入侵检测系统和防火墙系统是互为补充的,建议每个防火墙后面均部署入侵检测系统。入侵检测系统还可以在内部误操作和内部攻击检测和审计方面起到巨大的作用,因此可以考虑在重要的局域网内均部署网络入侵检测系统。在一些重要的主机保护时,防火墙可能会带来性能和可用性的问题,这时候可以单独部署网络入侵检测系统。主机入侵检测系统从主机内部提供良好的防御和检测机制,但是主机入侵检测系统会对系统资源的使用造成一定影响,因此应该慎重对待。
防毒系统:现代防毒最主要注重防毒系统的管理能力,只有有很强的集中管理能力的防毒系统,才可能贯彻杀毒和更新。防毒除了要体统通常的工作站防毒,email防毒和网关式防毒已经越来越越成为消除病毒源的关键。电信公司原来已经部署了部分防毒软件,我们建议把不适合集中管理的系统更换掉。首先保证邮件服务器和关键的PC服务器有防毒系统的保护,然后建立保证OA、座席、营业员等工作站系统完全实现可集中管理的防毒体系。
SOC功能:SOC内置的功能至少应该包括:实时集中监控和告警系统、漏洞评估系统、基于资产的风险管理系统、集中认证和认证管理功能、故障解决跟踪和控制系统(trouble ticket机制)、报表和分析系统。SOC管理的主要对象是全部安全系统,如防火墙、入侵检测系统等,同时也应该可以覆盖关键业务系统的安全状况,这些信息收集可以通过agent、syslog、snmp来实现。
PKI:PKI体系建立可以解决全网基本所有的认证要求,例如营业、客服的认证需求,客户服务的认证需求,OA的Email、内部Portal 访问的需求,Internet客户自服务的需求,VPN认证和密钥交换的需求等等。但是PK的全面部署并非意味着购买和安装CA服务器。重点是相应的应用软件需要进行修改或者购置新的模块,因此PKI应该是一个长期的目标,并使用较长的时间来达到最终目标。