信息安全是一個動態(tài)的復(fù)雜過程���,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期����。信息安全的威脅來自于內(nèi)部破壞�����、外部攻擊�����、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害�。
必須按照風(fēng)險管理的思想�,對可能的威脅�、脆弱性和需要保護(hù)的信息資源進(jìn)行分析����,依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?�,妥善?yīng)對可能發(fā)生的風(fēng)險���。
安全掃描工具:在網(wǎng)絡(luò)安全體系的建設(shè)中��,安全掃描工具花費(fèi)低��、效果好、見效快��。它與網(wǎng)絡(luò)的運(yùn)行相對獨(dú)立且安裝運(yùn)行簡單���,可以大規(guī)模減少安全管理員的手工勞動�,有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定,是進(jìn)行風(fēng)險分析的有力工具�����。
安全掃描技術(shù)基本上也可分為基于主機(jī)和基于網(wǎng)絡(luò)兩種��,前者主要關(guān)注軟件所在主機(jī)上的風(fēng)險與漏洞���,而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測其他主機(jī)的安全風(fēng)險與漏洞�。
人工安全檢查:系統(tǒng)掃描是利用安全評估工具�����,對絕大多數(shù)評估范圍內(nèi)的主機(jī)����、網(wǎng)絡(luò)設(shè)備等方面進(jìn)行漏洞掃描。但是評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略弱點(diǎn)�、部分主機(jī)的安全配置錯誤等并不能被掃描器全面發(fā)現(xiàn),因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查����。
主要考慮以下幾個方面:
1. 是否最優(yōu)地劃分了VLAN和不同的網(wǎng)段,保證了每個用戶的最小權(quán)限原則����;
2. 內(nèi)外網(wǎng)之間、重要的網(wǎng)段之間是否進(jìn)行了必要的隔離措施����;
3. 路由器、交換機(jī)��、主機(jī)等設(shè)備的配置是否最優(yōu)�����,是否配置了必需的安全參數(shù)����;
4. 安全設(shè)備的接入方式是否正確,是否最大化地利用了其安全功能而且又所占系統(tǒng)資源最小�,是否影響了業(yè)務(wù)和系統(tǒng)的正常運(yùn)行。
滲透測試:滲透測試是指在獲取用戶授權(quán)后,通過真實(shí)模擬黑客使用的工具�����、分析方法來進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測試方法�����。這種測試方法可以非常有效地發(fā)現(xiàn)最嚴(yán)重的安全漏洞���,尤其是與全面的代碼審計相比���,其使用的時間更短��,也更有效率。
在測試過程中,用戶可以選擇滲透測試的強(qiáng)度�����。例如��,不允許測試人員對某些服務(wù)器或者應(yīng)用進(jìn)行測試或影響其正常運(yùn)行��。通過對某些重點(diǎn)服務(wù)器進(jìn)行準(zhǔn)確��、全面的測試���,可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)��,以便對危害性嚴(yán)重的漏洞及時修補(bǔ)�,以免出現(xiàn)后患。
安全審計:安全管理機(jī)制��,定義了如何管理和維護(hù)網(wǎng)絡(luò)的安全保護(hù)機(jī)制�����,確保這些安全保護(hù)機(jī)制正常��,而且正確地發(fā)揮其應(yīng)有的作用��。
安全服務(wù)提供方的安全評估和審計����,不僅要完全遵循ISO17799信息安全管理標(biāo)準(zhǔn)的要求,而且需要通過問卷調(diào)查和顧問訪談等方式對信息系統(tǒng)的安全管理狀況進(jìn)行調(diào)查����,并進(jìn)一步與國際信息安全管理標(biāo)準(zhǔn)進(jìn)行差距分析����,以尋求最佳解決方案���。
安全策略評估:安全策略是對整個網(wǎng)絡(luò)在安全控制�����、管理�����、使用等最全面和最詳細(xì)的策略性描述����,它是整個網(wǎng)絡(luò)安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略�����,它必須能回答整個網(wǎng)絡(luò)中與安全相關(guān)的所有問題�。
例如:如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性?如何控制遠(yuǎn)程用戶訪問的安全性����?如何在廣域網(wǎng)上的數(shù)據(jù)傳輸實(shí)現(xiàn)安全加密傳輸和用戶認(rèn)證等等。
對這些問題做出詳細(xì)回答��,并確定相應(yīng)的防護(hù)手段和實(shí)施辦法��,就是針對整個網(wǎng)絡(luò)的一份完整的安全策略�����。這一步工作��,就是從整體網(wǎng)絡(luò)安全的角度對現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局性的評估����,它也包含了技術(shù)和管理方面的內(nèi)容,具體包括:
1. 安全策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的安全性描述����;
2. 在安全策略中描述的所有安全控制����、管理和使用措施是否正確和有效�;
3. 安全策略中的每一項(xiàng)內(nèi)容是否都得到確認(rèn)和具體落實(shí)。
綠盟科技專業(yè)服務(wù)部總監(jiān) 王紅陽
