但同時也存在另壹方面的難題,僅依賴於某些安全產品,不可能有效地保護自己的整體網絡安全,信息安全作為壹個整體,需要把安全過程中的有關各方如各層次的安全產品、分支機構、運營網絡、客戶等納入壹個緊密的統壹安全管理平臺中,才能有效地保障企業的網絡安全和保護信息投資,信息安全管理水平的高低不是單壹的安全產品的比較,也不是應用安全產品的多少和時間的比較,而是組織的整體的安全管理平臺效率間的比較。 完整的IT運維管理系統中必須要包含安全運維管理,通過建立網絡安全運維管理系統,將網絡安全日常運維管理各業務功能整合在壹個統壹的平臺進行管理。 企業外網的安全運維管理 企業通過Internet網提供Web網站、郵件、FTP、視頻服務等應用,這是目前很多企業網絡應用中都必須要解決安全方面的壹個***同問題。 防火墻是長期以來保障網絡安全最常用的工具,自然也是企業網絡安全保護的壹項重要措施。采用防火墻技術對於企業來說無疑是最佳的選擇,防火墻設置在不同網絡(如可信任的企業內部網和不可信的公***網)或網絡安全域之間的壹系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況, 以此來實現網絡的安全保護。在邏輯上,防火墻是壹個分離器,壹個限制器,也是壹個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻總體上分為包過濾、應用級網關和代理服務器等幾大類型。 對於Web網站安全來說,首先是Web服務器的安全,壹般用來架構web網站的UNIX系統,Linux系統,Windows系統,總的來說UNIX系統的Web站點的安全性較好、其次是Linux系統、目前被黑客和病毒攻擊最多的是Windows,因此在企業經濟條件允許的條件下,架構在AIX、Solaris以及HP-UNIX等UNIX系統平臺上web服務器的安全性是首選。當然無論選擇何種操作系統,系統補丁都要及時安裝,只是Web網站最基本的條件。其次是采用web服務器軟件的安全如IIS、Apache、Tomcat的安全配置,采用ASP/ASP.NET、PHP和JSP動態技術開發網站程序的安全,後臺數據庫系統的安全也是保證網站安全的重要因素。 虛擬專用網(VPN)是通過壹個公用網絡(通常是因特網)建立壹個臨時的、安全的連接,是壹條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。 通過“安全郵件網關”有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊,同時為郵件用戶提供:屏蔽垃圾郵件、查殺電子郵件病毒(包括附件和壓縮文件)和實現郵件內容過濾(包括各種附件中的內容)等功能。采用基於內容過濾、實現查殺病毒和防範垃圾郵件的產品,大大提高了防範的準確率,垃圾郵件過濾率最高可達98%。 上面是企業外網安全運維管理所采用的安全產品與策略,以及壹些安全措施。主要是保證網絡和業務應用的正常、安全與穩定的運行,但從實際操作運行來看,特別是從目前的蠕蟲、病毒、木馬、僵屍網絡、垃圾郵件等比較猖獗的情況下,通過安全產品和安全策略能抵擋壹些,但還是顯得“力不從心”,得不到人們想像的“預期效果”。 企業內網的安全運維管理 這裏的內網主要是指企業的內部局域網。隨著企業ERP、OA、CRM等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,內網信息網絡已經成了各個單位的生命線,對內網穩定性、可靠性和可控性提出高度的要求。內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統壹有機的整體,任何壹個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。 相對於內網安全概念,傳統意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統網絡安全考慮的是防範外網對內網的攻擊,即可以說是外網安全,包括傳統的防火墻、入侵檢察系統和VPN都是基於這種思路設計和考慮的。外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自於外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。 而內網安全的威脅模型與外網安全模型相比,更加全面和細致,它即假設內網網絡中的任何壹個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何壹個節點上。所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者的細致管理,實現壹個可管理、可控制和可信任的內網。由此可見,相比於外網安全,內網安全具有:要求建立壹種更加全面、客觀和嚴格的信任體系和安全體系;要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理等特點。 外網安全主要防範外部入侵或者外部非法流量訪問,技術上也以防火墻、入侵檢測等防禦角度出發的技術為主。內網在安全管理上比外網要細得多,同時技術上內網安全通常采用的是加固技術,比如設置訪問控制、身份管理等。當然造成內網不安全的因素很多,但歸結起來不外乎兩個方面:管理和技術。 由於內網的信息傳輸采用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用可管理的安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立壹套對系統的監控系統,並建立和實施有效的用戶口令和訪問控制等制度。為了維護企業內網的安全,必須對重要資料進行備份,對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。 在內網考慮防病毒時,防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵;防病毒軟件應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護。由於內部局域網壹般都是通過防火墻實現與互聯網的邏輯隔離,因此通過對防火墻的NAT地址轉換,終端PC機的IP/MAC地址綁定以及安全策略的實現內網安全。局域網內的PC機操作系統、應用軟件以及防病毒、軟件的補丁與升級、正版軟件的使用等也是影響內網安全的重要方面。 采用上網行為管理系統軟件,實現網站訪問限制、網頁內容過濾、即時通工具過濾、IP地址綁定、IP訪問控制等功能,為內網的用戶實現了高度智能化的上網行為管理,全面保障企業關鍵應用的正常運行。應該以動態的方式積極主動應用來自內網安全的挑戰,建立健全的內網安全管理制度及措施是保障內網安全必不可少的措施。 因此,企業內網的安全運維管理需要壹個整體壹致的內網安全體系,包括身份認證、授權管理、數據保密和監控審計等方面,並且,這些方面應該是緊密結合、相互聯動的統壹平臺,才能達到構建可信、可控和可管理的安全內網的效果。企業用戶內網安全管理制度、整體壹致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。 企業網管系統中是否需要安全運維管理 隨著企業網絡應用和規模的不斷增加,網絡管理工作越來越繁重,網絡故障也頻頻出現:不了解網絡運行狀況,系統出現瓶頸;當系統出現故障後,不能及時發現、診斷;網絡設備眾多,配置管理非常復雜;網絡安全受到威脅,現在企業可能會考慮購買網管軟件來加強網絡管理,以優化現有網絡性能,網管軟件系統已經變成企業不可缺少的壹項功能。 目前網管系統開發商針對不同的管理內容開發相應的管理軟件,形成了多個網絡管理方面。目前主要的幾個發展方面有:網管系統(NMS)、應用性能管理(APM)、應用性能管理、桌面管理(DMI)、員工行為管理(EAM)、安全管理。當然傳統網絡管理模型中的資產管理,故障管理仍然是熱門的管理課題。越來越多的業務將進入網絡管理的監控範圍,對於業務的監控的細分化,都將成為今後的網絡管理系統完善的重點。 安全運維管理在企業IT 系統中的應用 1、安全管理平臺及其應用 企業的網絡存在著各種風險,如何保證網絡安全有序運行成為用戶最為關心的問題。當企業的網絡工程師面對大量的網絡數據時,他需要的明確的思路、清晰的條理、實際可操作的依據,征對以上這些困惑,Broada安全管理平臺(簡稱Broada SOC)集中對安全威脅進行檢測和響應,使網絡工程師能獲取最新的安全信息,通過強大的實時故障處理、安全威脅響功能,進而查看企業IT系統的安全狀況視圖,從而整理出切實有企業有用的數據信息,提高安全管理效率,降低總成本並提高投資回報率。 下圖是Broada S0C系統功能架構圖,通過對防火墻、IDS等設備數據信息采集,能實時收集信息,然後通過事件處理中心,運行其獨特的數據挖掘和關聯技術能力,迅速識別出關鍵事件,自動做出響應,最大化地減少攻擊對網絡產生影響;同時強大的知識庫也可以集成各種故障處理事件,網絡工程師依據知識庫所提供的幫助就能解決大部分的網絡故障問題,有效減少了宕機時間,確保了運行效率,在此基礎上能提供企業安全趨勢分析,使網絡工程帥能輕松了解各種風險並采取明知決策。 2、桌面安全管理及其應用 目前網絡的另壹大難題就是,企業網絡規模的日益擴大,單純手工操作已無法滿足系統的需要,企業所需要的是能統壹對內網所有PC機、服務器進行操作管理的IT運維平臺,於是桌面終端安全管理系統的誕生就顯得相當必要了,它主要實現兩大功能:省去網絡工程師大部分手工操作的時間,提高IT服務部門的工作效率;對員工的行為操作做審計規範,從網絡參與者方面保障了網絡安全。 下圖是Broadaview廣通桌面安全管理軟件的功能示意圖,可以看到目前企業所亟需用到的網絡管理功能都壹應俱全。軟件分發、補丁管理、遠程維護等功能非常方便網絡工程師對整個企業網進行更新維護,同時可以通過事件報警器及時發現故障,幫助員工解決軟硬件難題;桌面安全評估、非法外連監控、IT資產管理則能從安全性上保障企業網的良好運行,能有效防止企業機密外泄、IT資產流失、非法外連導致內網中病毒等情況的出現。 3、安全應用案例 杭州市民卡項目總投資1.2億,是“數字杭州”的重點工程之壹;旨在建立高效、便捷的公***服務體系。該系統分為兩大部分:壹是市民基礎信息交換平臺和基礎信息資源的建設、管理與維護、市民卡的發行和日常管理、市民卡服務網點的管理等工作;二是市民卡的各種應用,如,以社會保障為代表的政府應用;以電子錢包為代表的電子支付應用;以城市交通為代表的公用事業應用等。 整個市民卡項目系統的主要由數據中心、交換平臺和服務網絡三部分組成。數據中心部分環境已有設備包括小型機、臺式PC服務器、磁帶庫等,此外還包括數據庫管理系統、中間件、備份管理系統等幾部分數據系統。交換平臺部分環境主要由消息中間件、部門交換前置機和遍布全市的服務網點系統組成。交換網絡鏈路為租用的網通VPN網絡。 為了保障整個系統正常、高效和穩定地運行,杭州市信息化辦公室在充分調研了目前市場上可選的網管系統產品的基礎上,通過公開招投標方式嚴格甄選,從穩定性、易用性、靈活性等方面進行了細致的考察,並從研發能力、核心技術、技術支持等方面進行了評估,最終決定采用廣通信達公司的Broadview網絡監控平臺軟件產品作為“杭州市民卡系統及網絡管理系統”的主要支撐系統。 Broadview軟件系統部署在壹臺PC服務器上,為杭州市民卡項目提供了壹站式全方位的IT管理解決方案。 Broadview網絡監控平臺可以實時監控網絡狀況,掌控PC機服務器的性能數據,並深入到應用層對數據庫、Web服務、Email服務監測,查看其運行健康度;強大的拓撲功能,能很快發現全網設備,讓網絡工程師直觀明確全網的運行支撐資源,然後展現成網絡拓撲圖,並能單獨提供每壹設備的詳細資料及運行情況,方便監控重要設備的運轉;網絡工程師還需要做的壹件事情就是向信息中心領導匯報IT投資情況,在Broadview網絡監控平臺的幫助下,哪臺設備出現故障,現用資金用於何種設備都能壹壹明確,可以說完全能給網絡工程師提供IT投資依據,從而在硬件上保障整個杭州市民卡系統的良好運轉。 廣通信達Broadview平臺采用面向運維服務的層次化系統架構,結構清晰,可擴展性強。系統具備全面的網絡監測和健全的業務管理功能,內置多種監測器,支持主流操作系統的服務器、多廠家的各種網絡設備、存儲系統等。同時Broadview系統采用高度模塊化設計,提供開放的API接口和高效的二次開發服務,方便地滿足了市民卡各種個性化需求。 杭州市民卡網管工程運行以來,網絡管理人員通過Broadview網絡、業務拓撲圖就可以實時監測市民卡網絡運行狀況、業務服務質量,並可通過Email、手機短信等多種方式及時接收報警,通過運維平臺協同處理告警,大大縮短了發現和解決故障的時間,有效保障了網絡的持續、穩定、高效運行,同時也大大降低了市民卡IT系統管理的運維成本。 三分技術,七分管理 總而言之,對於企業安全運維管理來說,三分技術,七分管理,在企業內部建立壹套完善的安全管理規章制度,使管理機構依據相應的管理制度和管理流程對日常操作、運行維護、審計監督、文檔管理等進行統壹管理,同時加強對工作人員的安全知識和安全操作培訓,建立統壹的安全管理體系,幫助企業識別、管理和減少信息通常所面臨的各種威脅,架構企業的安全保障體系。