边界安全与边界管理
2016-11-26
引言:对于现代企业而言,企业更加依赖于面向全世界高度开放和互联的信息网络,而网络的安全性就成了令人头疼的首要问题。从某种意义上来说,边界管理的效益将直接影响企业的发展水平。笔者将尝试探讨一下如何将企业管理与网络边界安全防护融合起来,以便在企业架构的边界更好地提升管控的效率、安全性与可靠性。
企业网络与边界安全
企业边界(包括管理边界与业务边界)的发展使企业的结构方式变得网络化,企业的组织架构可以看成是一种动态的、具有弹性的企业网络。根据自身的状况和发展的要求,企业可以构建不同类型的企业网络,比如管理网络和物理网络,而信息资产与计算机网络就属于物理网络的范畴。由此可见,网络边界是由企业边界来定义的,网络边界必定要架设在企业边界上,它必须满足企业边界的管理目标,同时受制于企业边界的现状。
从信息安全的角度来看,网络边界的安全不可能脱离明确的管理需求而单纯用技术去实现,其安全功能与扩展性能很大程度上取决于企业网络的坚韧程度与成熟能力,毕竟最根本上来说,技术最终是服务于管理的。在以往的IT管理实践当中发现,不少IT技术人员往往只是习惯用点对点的方式来对网络边界的安全(乃至整个企业信息资产的安全)进行外科式的、针对单个事件性的处理,却容易忽略技术与管理之间的依存关系,这样就难以避免陷入重技术而轻管理的思维模式,而这一点却是笔者经常强调需要去注意的环节。
下面笔者将以一个中型制造企业的信息环境与管理框架为例,简单阐述位于边界的信息资产安全管理,以及在管理边界上进行信息网络出入关口的安全防护,并介绍在网络边界安全管理中实现安全管理目标的简要过程。
企业管理框架与基础信息平台概述
笔者仅以电子制造加工行业为范例背景。假设该企业名为“欣雨电子科技有限公司”(以下简称“欣雨电子”),其 核心业务是电子类产品的研发设计、加工生产、销售与贸易等,产品以国内市场为主,部分产品出口外销。在产业链的上游和中游耕耘多年之后,欣雨电子已具备一定的经营规模,业务外延的触角已覆盖了渠道、物流、下游销售网络与互联网电子商务。该公司管理层希望在未来3年内,企业的经营规模和业务水平能达到一个新的层次,并实现IPO的战略发展目标。
欣雨电子内部采用三层职能管理体系,简单来说是由决策管理层、各业务系统负责主管以及基层单位主管来共同承担企业的管理工作。近年来该企业的信息基础设施发展很快,目前已具备相对完备的IT基础平台,业务系统平台涵盖了公司业务的延伸领域,包括 OA、ERP、HR、CRM、PDM、E-MAIL、电子商务、渠道销售、生产过程与工程设计等各种业务系统,所有平台的运作最终产生并交换了企业的核心运营数据,这些数据是企业最为宝贵的信息资产。
然而也和很多企业一样,欣雨电子同样也存在自己的信息安全问题,例如管理细节上存在很多漏洞,某些IT管理流程执行效果较差,网络边界安全没有进行过清晰的设计,没有专门的管理人员与明细的管理策略,凸显安全管控上的缺失等,这些问题对安全管理成本、企业运营审计和业务发展的稳定性都造成了不利的影响,亟需予以解决。
驱动型管理策略的规划
IT管理人员(应对管理的制度、流程与策略作出一些适当的调整,使之更具备达成管理目标的驱动能力。在这里,笔者把这种管理方式称为“驱动型”管理策略,其包含了三个方面的管理策略。
1.目标管理驱动
管理人员应该根据企业各项实质性的、可量化评估的工作目标,来设计具备可操作性的管理策略,同时根据需求目标的动态变化能及时、灵活地做出调整,以适应不同的目标达成需要。比如欣雨电子的管理体系比较单一,缺乏灵活性。
因此,欣雨电子的IT管理部门还应该引入项目管理、矩阵管理等管理模式,将信息平台的安全管理分解成各种小型化的管理流程,以进一步提高信息安全管理的效率。对于网络边界的安全管理,实施项目管理流程能够以小项目、小单位、小节点与小成本的小型化方式进行边界安全的评估、防御与响应处理。而矩阵化管理方式则能让IT管理人员在可控的能力范围之内,跨职能部门将那些与信息安全具体项目相关的人和物的资源整合起来,有效地进行沟通、协调、实施部署以及后续的效益评估等过程,这样就能以较低的成本代价来达成预期的安全管理目标。
2.安全风险与损害成本驱动
包括网络边界在内的信息安全风险威胁经常给企业造成很大的经营损害。欣雨电子的IT管理人员需要对安全威胁给企业造成的成本支出有一个清晰地认识。这就要事先对信息安全的风险威胁与恶意攻击将可能导致的直接损害和潜在损失做一次详细的评估,根据威胁攻击的损害程度划分好评估等级,并大略计算威胁可能造成的损失数值,且纳入企业的运营成本之中,然后对损害数值较大的威胁采取严格的管控措施,并须给予优先处理。
3.业务定向驱动
企业的各条业务线,包括核心业务、扩展业务和边缘业务,为适应市场和竞争的需要,总是在不断地发生改变,笔者认为一方面这属于业务对外部环境的变化所做出的适应性调整,这是不可避免的。而另一方面,业务也可能忽略了企业内部的整合能力,业务自身缺乏定型化的过程目标,内适应不佳而导致冲突不断,其中也包括与信息安全管理上的相互冲突。
对此笔者认为,一个解决的办法就是明确业务的定向性目标和流程,再施以针对性的安全管理策略。例如欣雨电子可以根据业务数据对外界人员访问的敏感程度,在边界路由器和边界防火墙等安全节点设置数据包和用户身份审核机制,并定向到DMZ区域或其他管制区域,只允许访问特定授权的资源,这样便能避免业务系统在对内部与对外部的人员提供服务时容易发生的冲突问题。
网络边界安全防护方案规划与部署
在简单介绍了与信息安全紧密相关的管理类型之后,接下来笔者将着手在技术上阐述网络边界安全防护的规划原则、管理策略、产品部署与实施过程,力求结合管理的思想与方法,尽可能完整地描述笔者对于网络边界安全管控上的一些个人看法。
网络边界属于企业信息基础架构的一部分,信息资产的平台是立体性的、多层次的结构,那么网络边界安全管理就应该从信息安全纵深防御的角度入手,体现出安全防护的层次化,并与其他部分的安全策略紧密结合,作为一个安全整体来进行规划。
以欣雨电子为例,其网络平台具备三层网络结构,主要是核心层、汇聚层和接入层,为企业内部的信息交互与数据传输提供高速、稳固的基础网络支撑。但是其信息架构的外接边界则比较薄弱,既缺少管理上的清晰定义,也缺乏足够的技术规划和产品配置。因此,应该在其基础网络架构中划分出第四层,即网络边界层,并参照信息安全纵深防御的思想进行具体的安全设计。下面笔者将分阶段来说明欣雨电子网络边界安全防护方案的规划和部署过程。
阶段一:企业安全管理边界与业务边界的规划
经过IT部门协同相关业务管理人员进行详细的现状和需求分析,最终确定了在欣雨电子的管理体系中,与网络边界安全相关的管理边界和业务边界范畴。
其中,安全管理边界范围包括:
1.内部安全管理制度的改进与细化;
2.明确相对应的管控方针和策略;
3.人员管理制度(比如明确有关奖惩制度,员工信息安全意识与应对能力的常规化培训制度等);
4.IT安全预算、技术人力、技能培训等资源投入的规划等方面。
安全业务边界范围包括:
1.安全业务体系的规划,评估网络边界的攻击威胁可能会损害到的业务类型和业务价值,并划分价值等级。
2.企业信息资产评估,依照资产价值将之划分为三类主要的信息资产类型:核心资产类、重要资产类和普通资产类。其中核心资产类是指企业具有最高价值的、关键性的信息资产,一旦受损将对企业的业务发展造成重大损失和负面影响;重要资产类是指对企业的业务运营负有重要作用的信息资产,如果受损将可能影响主要业务线的正常营运,但不会轻易造成业务停顿和崩溃的灾难后果。普通资产类则是指一般性的软硬件资产,对企业只是产生局部的和小范围的作用,即使遭受恶意攻击也不会在企业内部引发严重后果。
一般来说,核心资产类的损失往往是难以接受的,需要给予最高级别的安全风险评估与策略防控,其运营可靠性应当保持在99%以上;重要资产类可以进行及时有效的恢复,经过安全评估可允许存在部分非严重性的潜在风险;普通资产类可接受中等程度的损失,只需实施一般性的安全防护策略即可。
阶段二:安全节点的设计
为更好地对网络边界相关的安全领域进行聚焦,以方便IT部门集中管控,我们可以把企业的每一个网络边界接口划为一个网络节点,在相应的网络节点上部署应对性的安全管理措施,笔者把这样的网络节点称为网络安全节点。安全节点分为两种类型:外部网络安全节点与内部网络安全节点。外部网络安全节点设置在企业网络管理的边界,是企业主干网络与外部环境进行信息通讯的关口。内部网络安全节点一般是以业务部门或者核心的子网络作为边界,其节点往往分布在部门级交换设备和其他重要业务环境的网络连接设备之上,作为企业内部信息访问和网络安全防御的集中管控边界。
图1 外部网络安全节点设置与访问渠道
图2 信息平台外部威胁流和潜在损害
欣雨电子除了位于广州的企业总部之外,在东莞与惠州还拥有两家分支机构(均为制造企业),而在企业的外界网络环境,欣雨电子需要和多种类型的远程用户进行访问交互,包括下属分支机构、外部客户、供应商、渠道合作伙伴和出差员工等远程访问点,因此需要在企业外部边界设置多个不同的网络安全节点,同时设计相应的安全管理策略。
以下是欣雨电子网络边界外部安全节点说明(如图1),IT管理人员可以针对下属分支机构和外部伙伴用户这两种不同方式的访问渠道,分别设置两个主要的外部网络安全节点,这样IT部门便能对各个网络安全节点单独进行规划,并且更好地将企业安全管理制度及具体节点的IT安全防护策略结合起来投入实施。图1展示了欣雨电子外部主要安全节点的一个简单示例。
在欣雨电子信息资产整体安全架构的规划基础上,IT管理人员可以进一步分析企业可能会遭受的潜在风险与威胁流,以及各种威胁攻击可能会导致的损害后果。此外,IT管理人员还需要在网络边界以及关联区域边界中标注对应的安全节点,以便能直观地规划相关的安全管理策略。图2展示了一个外部威胁攻击流和潜在攻击损害的简化示例图样,其中已标注了欣雨电子外部及内部网络安全节点的关键管控位置。
阶段三:网络边界安全防护拓扑模型的构建
大多数企业内部的IT基础设施都包含有多种不同的信息资产类型,这些信息资产是由业务与数据的敏感程度来定义的,需要对其加以区分管理。在本文中,笔者引入“安全区域”的概念,将安全级别和安全策略相似或相同的信息资产类型,划分为一个安全区域,并进一步分解为较小的安全管理区域。
根据这一设计思想,欣雨电子的信息基础平台可划分为以下几个主要的安全管理区域:边界连接区(主要针对互联网与广域网链接)、DMZ隔离区、数据中心管理区、生产管制区、内网办公区(可按业务部门的环境进一步分解)以及测试管控区等几个安全区域,每个安全域对应一个或多个安全节点,以便进行安全策略的细化部署。
在完成了上述的准备步骤之后,IT部门需要结合欣雨电子信息平台的整体架构来设计网络边界安全的拓扑模型。为了能直观地展现网络架构模型,这里仅画出一个比较简单的拓扑模型,其中网络边界安全体系采用了纵深防御的设计结构,如图3所示。
图3 纵深边界防护信息基础架构拓扑模型
阶段四:边界安全纵深防护体系的部署
从上图3可以看出,欣雨电子的信息基础平台同样具有多层次、多领域的结构。因此,欣雨电子需要部署一套深层次的边界防护解决方案,而其中重点是要覆盖网络通信、传输状态、数据保护以及应用层安全等在内的多个层级目标,它应该工作在第2层(数据链路层)到第6层(表示层)乃至第7层(应用层)的OSI网络架构区间,这样才能更好地保障信息资产立体防御的运作效果。
部署纵深安全防护体系需要多种类型的安全设备与系统作为基础支撑。欣雨电子IT部门通过综合考量各种因素后认为,在网络边界上应该侧重部署由边界路由器、边界防火墙、边界交换机、VPN与应用层防御系统等多重设施组成的边界纵深防护方案,这样既可达到较为有效的防护效果,又能使方案的成本投入容易为企业管理层和预算决策主管所接受。
网络边界安全防护方案的总结
本文所述之内容是将企业边界管理的思想应用于网络边界安全防护的一个综合性方案,并且在一家模拟的制造企业中加以实施。这个方案从纵深防御的角度入手,将网络边界进行分解管理,能够有效地提高网络边界乃至企业信息资产平台的安全防御水平。但每一家企业的信息环境和所面对的安全问题各不相同,因此本文的最终目的是希望能给企业管理人员和IT管理人员一个简单的参考,向广大同行们学习交流更多的成熟经验,并且也欢迎同行们的批评指正。