| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
策略,安全管理的核心“球员”
安全产品线越来越长,您的企业内安全设备也越来越多 如何管理和利用这些安全产品,让它们整合出更好的安全效果? 构建以安全策略为核心的流程化安全管理体系是解决之道 为了解决信息与网络安全问题,企业中已经部署了的大量的安全设备或系统。然而,安全事件与安全问题还是不断发生,那么如何管理和利用这些安全产品,充分发挥它们真正的作用,是摆在我们面前的一个挑战与任务。由此,产生的深层问题:一是部署的安全产品与保障业务需求发展(IT战略目标或者安全策略)缺乏整合;二是各安全组件、各安全系统之间缺乏有效的协调和必要的集成;三是实施和运作这些安全系统的成本很高,而发挥的效益却有限。近些年来企业对信息与网络安全的重要性和重视程度正日趋加深,但如何去做,怎样落实安全管理与安全技术,企业却没有一套很完善的管理方法。 解决这些问题的有效方法是实施安全管理。对安全基础架构(安全体系)进行全面集中管理,并根据实际的业务需求提供高质量的IT安全服务,确保业务运作目标的实现。 度身打造安全策略 构建以安全策略为核心的流程化安全管理体系。首先,企业必须开发并制定符合企业IT发展战略的安全策略,而企业IT发展战略是依据企业业务发展的需要来制定的;其次,安全策略是依赖对企业信息资产的分析与风险评估的基础上开发的;最后,企业必须制定出以安全策略为核心的流程化安全管理体系。安全策略是安全体系的核心,所以要想实施企业级的完整的安全体系,必须首先制定企业的信息与网络安全策略,所有的防护、检测、响应都是依据安全策略进行实施的,企业安全策略为安全管理提供管理方向和支持手段。 安全策略是企业建立信息与网络系统安全的指导原则。如何建立企业安全的信息与网络系统,保护什么资源,得到什么样的保护。安全策略是企业控制信息与网络系统安全的安全规则。即根据安全需求、安全威胁来源和企业组织机构状况,定义安全对象、安全状态及应对方法。安全策略是企业检查信息与网络系统安全的唯一依据。企业信息与网络系统是否安全,安全状况如何,如何检查、修正,唯一的依据就是安全策略。安全策略涵盖于物理层、网络层、接入终端、服务层面、人员管理等各个和安全相关的过程中,具有全程安全。 如果说安全保障的最终目标是企业业务需求,那么业务需求本身的动态性就决定了安全策略的动态性,从而也就导致了管理流程的动态变化。只有真正了解了资产与安全架构组件之间的关系,才能对一个计划中的变更产生的影响进行合适的评估。企业开发出安全策略,有了安全策略也就有了我们要保护的目标,以及要达到的目标和达到这些目标的方法。 成功要素:人与方法论 安全管理体系的落实与执行离不开安全技术人员的参与,企业对信息安全人才有强烈需求,这些信息安全人员涵盖了与计算机相关的各个领域,而目前的现状是部分企业中计算机运行维护人员充当了安全管理的工作,没有成立专门的安全管理部门或者称为安全运行中心(SOC)。如果有了安全管理方面的人员,那么必须定义出安全管理的角色和职责,将这些安全管理的角色和职责落实到安全运行中心的每一个人员。信息与网络系统安全工作中,人是关键要素。人靠组织来管理,靠岗位来落实。 安全管理需要有一个方法论,需要有一套完善可执行的安全管理流程。企业可以根据自身的情况来开发安全管理流程。这些安全管理流程之间是协同工作的。安全管理流程可以参考ITIL的安全管理方法,它将安全管理流程分解为四个部分:策略,要达到的安全目标;过程,要实现目标采取的行为;程序,何人、何时、如何实现目标;规程,采取具体行为的规程。将所有的安全管理分解为具体的可操作的流程并落实到安全管理人员,这样才使得安全管理具有真正的可执行性。 安全事件集中管理 集中安全管理可以构建以安全事件为核心的流程化管理。企业面临大量的安全事件,而企业缺乏足够的技术措施或资源来处理越来越多的安全事件。信息与网络安全的集中管理的思想,最近几年已经广泛被业界认可。而其中集中的安全事件关联分析成为核心技术难点。关联规则挖掘发现大量数据中项集之间有趣的关联或相关联系。它在数据挖掘中是一个重要的课题,最近几年已被业界所广泛研究。集中安全管理中心集中收集和处理各类安全事件,对报警进行收集、分析、关联、转发。通过事件管理,安全管理人员可以方便、迅速、及时掌握各种安全方面的故障和警报,及时进行处理,保障系统的正常、稳定运行。 通过集中安全管理,使得分散的安全策略,得到统一管理和执行;将分散的安全知识库得到整合,使得各种安全系统中的知识库得到关联,为决策者提供更加全面和更具针对性的安全知识库;将分散的安全风险管理,集中进行控制与管理。将需要保护的资产与风险、策略真正关联起来。同时,集中安全管理更加注重安全管理流程,它将安全管理与安全技术有效的结合起来。通过对安全事件的应急响应处理流程。 安全管理建设是安全系统建设的重要部分,安全管理的根本目的是规范和约束相关的业务运行维护安全操作,辅助各项安全技术手段发挥正常功效,贯彻执行安全策略的各项要求,安全管理的具体表现形式往往为安全管理规范的出台和实施。 这种以安全策略为核心的流程化管理体系,保证了安全保护的目标是企业的业务安全需求并符合企业的IT发展战略。基于资产分析与风险评估上开发的安全策略,保证了安全策略是为了满足安全需求制定出来的。构建以安全策略为核心的流程化安全体系保证了安全管理是真正可操作、可落实、可执行的安全管理体系。 “流氓软件”引起关注 十六家企业共拟自律公约 6月21日,北京市网络行业协会召开了关于防治“流氓软件”的研讨会。与会者经过讨论一致认为,“流氓软件”已成社会公害,严重威胁着广大网民的安全。会后,新浪、搜狐、瑞星、网易、TOM、江民、金山、千龙、263等16家网络和软件企业,开始共同草拟《软件产品行为安全自律公约》。据悉,瑞星等企业在草拟的《软件产品行为安全自律公约》中,强调软件企业应遵守软件编写规范,开发安全的软件产品,互联网企业应阻止不符合规范的软件产品的发布和传播。 北京市网络行业协会秘书长王铁安指出,最近有关网民遭受“流氓软件”侵害的事件急剧增多,引起了社会舆论的强烈关注,对“流氓软件”的处理和监管将是网络行业协会近期工作的重点,他要求各大网站除了不发布、不传播“流氓软件”之外,还要在宣传方面配合网络行业协会的工作,在网站重要位置刊登“流氓软件”的举报方式,方便网民的投诉,网络行业协会将以最快速度处理网民投诉,还用户一个安全的网络环境。(李刚) 确保应用安全 CA发布eTrust IAM Toolkit 6月20日,CA日前发布了eTrust Identity and Access Management Toolkit (eTrust IAM Toolkit),该解决方案将帮助开发人员在其商业应用程序中打造强大、持续,并更具管理性的安全技术。通过实现安全程序的标准化和政策管理的集中化,eTrust IAM Toolkit可以清除与管理多个应用级安全“仓库”有关的问题,从而理顺安全管理、简化遵从性流程、统一审计任务,以及面对业务变化提高IT响应速度。eTrust IAM Toolkit提供了一个软件开发工具包 (SDK) 和其他一些技术,以帮助开发人员在应用程序中嵌入一系列经过精密调控、并基于身份的通用控件。(罗) 艾讯科技重拳出击 全线产品亮相IAC 2005年6月28日至30日,第九届国际工业自动化与控制技术展览会(IAC)将在上海新国际博览中心拉开工业自动化行业盛会的序幕。艾讯科技将携全线产品亮相IAC展,其中包括客制化嵌入式完整解决方案与无风扇嵌入式系统、全功能人机接口解决方案、全系列网络安全应用平台、立即还原备份软件等等四大主题。艾讯科技还将带来其超前顶尖技术的工业自动化解决方案,亦将有实际应用系统于现场进行动态演示,势必成为2005年IAC会场焦点。(李) 方正网略 中标中科院某所网管项目 中科院某所网络管理项目的结果于近日揭晓:方正信息安全技术有限公司的“方正网略综合网络和安全管理系统”凭借产品的优良品质和完善的售后技术支持,成功中标这一项目。有鉴目前国内网络环境情势较为严峻,在这次的招标中,该所负责人对各路竞标者提供的产品与售后技术提出了严苛的要求:除了能够实现网络系统现代化管理外,还要求产品必须在网络安全方面也能做到万无一失。此外,产品厂商也必须是国内数一数二的、技术能力必须具备足够的优势,还要有过硬的技术支持等。(李) ArrayNetworks 中标广州国土局 近日,Array Networks在广州宣布:Array Networks北京公司中标广州市国土资源和房屋管理局远程安全接入系统。此系统旨在帮助广州国土局建设一个高效、可靠、安全的网上政府信息管理与业务处理平台。经过层层筛选,Array SPX2000的SSL VPN解决方案以其卓越的扩展性、高速、安全性和最佳的性价比等优势一举中标。(李) |
||||||||||||||||||||||||
