近几年,从防火墙的诞生开始,我们所有的基础架构都在如火如荼地做着客体安全防护,防火墙、IDS、反垃圾以及纵深防御体系等。同时我们也看到,在内部管理层面很多情况下是“因陋就简”的,整体架构里一直有“防御重于管理”的理念。但事实上,互联网的内部管理绝对是不容忽视的。
那么,互联网管理到底有哪些风险点呢?
互联网管理的四个风险点
首先,对于主体“人”的管理。“互联网行为”的定义是互联网主体主动或被动发生的上网行为,这里人的因素就比较关键,因为“技术可以学习,流程可以复制,只有人是个性的”。如果要关注人的行为安全,发现潜在的主体行为隐患,互联网上的管理是一个很有效的方法。
这是因为互联网行为已经成为人的第二行为,就像在著名的游戏《第二人生》中那样,任何人的真实行为在互联网中都会有这样或者那样的体现。当一个人想离职的时候,他会在互联网上出现一些苗头和征兆。例如频繁访问招聘网站,在友商的网站上浏览过多等。如果我们通过友善的监控获悉这种苗头,管理者就可以去采取相应的措施。
目前的互联网管理存在着很大的困境。就现在的互联网现状来说,对互联网行为主体的识别并不清晰,这主要表现在三个方面:第一,通常采用的是IP地址联系方式,IDS和防火墙最常用的;第二,均采用地址转换技术IPv4,因为IPv6现在还没有成熟;第三,没有专门的互联网认证体系,虽然有OA认证、准入认证、数据库认证,但是互联网外发没有专门的认证,这给我们带来的风险点是很明显的。
内外定位均失效。在内部,当我们想看一个人行为发展趋势的时候,只能看到IP地址,根本无法对应到个人。对于外部,我们根本无法把内部和外部的地址连接起来。因为经过地址转换以后,这个数据是瞬时的,是留不下来的。其次,任何一个外部人到公司来都可以上网,可能会带来一定隐患(如病毒蔓延、信息泄密等)。因此说,互联网管理其实只有50%的管理是对主体的管理,是对人的体现。
其次,对互联网行为(下拉与上传)的管理。互联网行为是访问主体主动与被动的行为。互联网行为主要包括两个方面:信息的“下拉”与“上传”。“下拉”包括文字性的下拉、文件性的下拉。可以说,下拉信息中大量是我们不希望看到的信息。在FTP浏览当中,会有×××、病毒;对于电子邮件来说,垃圾邮件也很多。
“行为”的第二个层面就是“上传”。DLP(数据丢失保护)是现在一个很热的概念,它有文件级的,也有行为级的。对于互联网来说,行为级是很重要的。假如外发的文字没有记录,文件没有记录,人们根本无法谈“阻断”,这就有可能给我们带来风险(例如法律风险)。很多人通过外发邮件、BBS发帖、博客记录,就有可能无意识地把公司的核心机密以及最新动向泄露出去。由于对于文字和文件的外发没有任何记录,我们也很难控制核心信息的外泄。
第三,投资保护。在IT基础设施中,软件硬件的投入都具有很高成本。“低投入、高产出”是用户信息化建设努力追求的目标。倘若我们高价租用的带宽、高价采购的服务器被一些无关业务的流量(例如,电影下载、网络电视、网上购物)占据着,这种资源浪费是每位管理人员都不愿意看到的,更是企业所不允许的。
最后,工作效率。互联网的诱惑导致工作效率的下降,可以用一个百分比的图表呈现出来。一项数据统计显示,我们企业员工平均的有效工作时间是45%。这就是网络行为对于工作效率的影响,我相信没有任何一个企业会希望这种风险的发生。
有了以上的风险点,其实已经足够引起我们来重视互联网行为。但我们能不能通过现有的防御体系把它解决,这是有难点的,主要表现在三点上。
第一,客体安全情况下通常是信任内部的。像防火墙在很多情况下是断掉了外部主动发起的连接,但会放行内部到外部的连接,因为我们对内部是信任的。这种情况下,这种互联网的行为往往是从内部发向外部,是很难控制的。
第二,新技术的产生会使得合法的端口被多种功能借用。其实互联网行为有时候是“披着羊皮的狼”,它往往是披着合法的外衣,比如上班时间的P2P、网络购物,这已经是屡见不鲜。
第三,在内容控制层面,细节无法作为判断依据。比如说,在FTP里面,人们无法判断它是一个.C文件,还是.H文件,还是.doc文件、.PDF文件,对于source coding来说,.H和.C的文件对于一个公司来说是致命的。而在这种情况下,传统的安全防护体系很难去做。因此,在这个层面上,很值得把互联网行为单独拿出来管理。
互联网行为管理要点
当我们知道了互联网的风险以及现有的安全管理难点之后,我们又该如何管理它?作者在长期的研究和分析当中,我们把互联网行为分为“传统应用”和“新兴业务”。
“传统应用”指的是互联网诞生时就产生了http 、电子邮件、FTP等。“新兴业务”指最近流行的P2P、即时通信等,这些新兴功能带来了我们以前无法用传统互联网来实现的内容。“新兴业务”中有一点是“增值应用”,它并不是信息的下拉与上传,它关注的是动态。比如说炒股,我们不关注文件的下载,而关注的是趋势。比如说游戏,我们关注的是一个过程。这些都没有信息的下拉和上传,仅仅是一个流的过程。作者把互联网的行为定为以上6种应用。在6种应用上它会有哪些风险点值得我们关注呢?
图1中的每一个点,我们都需要关注到。有效的主体识别,文字信息、文件信息的下拉与上传,IT投资保护,以及企业工作效率。我们可以看到,左边的“行为”加上右边的“关注点”全交叉在一起,就构成了互联网管理行为,这就是互联网管理理念所必须要关注的要点。
行为管理的五个步骤
作者根据相关报道分析了一套互联网行为架构体系,总体来讲会分成五步实施。
第一,灵活接入。很多企业都有了现行的网络构架,在这种情况下,我们进行系统改造不能伤害整网的架构。所以, 灵活接入是构建互联网体系很重要的一部分。无论是出口的路由,还是单链路、双链路串行接入,是否使用了代理服务器,我们都要实现这种“无痛接入”。
第二,必须建立有效的行为主体识别机制。既然互联网行为管理有50%是关注在主体安全上,那么建立有效的行为主体识别是至关重要的。“离开了人,互联网行为管理就成了一门技术;加入了人,互联网行为管理就成为了一门艺术。”
第三,“洞悉”我们的互联网行为。当搭建好了基础平台,搭建好了基础架构,就涉及到所有IT系统遵循的理念,这就是科技倡导的“洞悉 管控 驾驭”。提供的解决方案能够对企业网络进行全面实时监控,帮助管理员“洞悉”网络中正在发生的行为;通过制定完整的策略,针对人员、时间、应用进行全面的“管控”和审计;再通过对用户行为进行回溯查询与综合分析,不断地优化管理策略,实现对企业员工访问互联网的全方位的“驾驭”管理。
那么,我们是如何实现“洞悉”呢?第一步,会帮助客户建立有效的综合互联网监控系统,无论是网页、流量还是分布、带宽,都会及时得到。第二步,我们会把客户的信息有效地沉淀下来,供随时浏览、随时分析,这是友善的监控。第三点,当我们达到“洞悉”以后,才能知道客户当前的问题在哪里,就可以做下一步的处理,及时地管控。
第四,“管控”我们的互联网行为。提供海量的URL数据库作为预分类,同时我们可以对网上下载的文件类型以及电子邮件的下拉进行行为控制,这个是“管控”的第一点。管控的第二点就是上传。我们对文件类型的上传、对邮件类型的上传、对于其他类型的上传,会进行相应的控制。
我们帮助企业节省带宽投资,提高用户的效率,把与工作无关的一些应用根据企业的相应风险屏蔽掉。比如说,上班时间不允许炒股,不允许玩游戏,但下班时间可以开放这些应用。我们可以通过丰富的行为列表、树状化的行为列表表达我们的控制效果。
第五,开展有效的统计分析。互联网行为管理理念最核心的就是要坚持不懈地统一管理。只有不断地统计挖掘,才能知道我们的前端问题到底在哪里。