内控安全解决之道

时间:2022-06-01 19:41:54

 
  首先讲一下这个方面的热点问题。大家现在都知道现在的防护已经出现一个主体的方向,就是由防外为主转变为防内为主、内外兼防,70%以上的信息安全事故为内部人员和内部勾结所为,而且呈上升的趋势。另外一个热点是由单一的产品防护转为系统防护,少数产品满足信息安全防护的需求的时间已经过去了,信息安全建设不是简单的产品采购与系统堆叠,紧密结合,协同防护才能适应当前最新的安全威胁。如果做一个木桶,木桶是有很多块做在一起的,必须要用一个钢箍联在一起,如果不联在一起就做不到一个整体的一个木桶,网络安全也是这样。第三个热点,由被动防御转变为积极主动防御。“堵漏洞、筑高墙”的被动防御的方式只能是防不胜防。“主动防御,事先预警”的策略使安全更加的健壮可靠。由粗放式防御向细粒度防御过渡,访问控制的细化、监控审计的细化、加密需求的细化、介质怎么样控制、打印怎么控制、接入控制、电磁辐射、行为控制。还有一个就是可信化的热点,包括可信网络、可信计算等。

  萨班斯法案,主要的目的就是要规范上市公司实现企业内控。在这个法案当中有很多的条款,比如说302、404、409、802等条款,实际上都与信息安全有着紧密的关联。05年8月Gartner在《萨班斯法案的最佳实践指导》中指出,IT遵从投资项目应该包含三大方面:遵从管理、内容管理、应用访问与控制。我们的核心内容就要理解成这样一句话,萨班斯法案核心的需求实际说是要做到内控安全。

  下面讲一讲内控安全技术的发展趋势,刚才谈到很多发展新的热点,趋势基本上可以总结为如下几点。以密码技术为核心的趋势,其中包括认证、授权、数据的安全、系统的安全、审计、监控等等。全方位防范的趋势由原来的单点扩展到现在整个内网,在内控方面要做什么呢,终端、服务器、网络系统、应用系统,在我这个系统当中游离的介质、打印等众多方面与信息有关的环节。网络安全就需要向信息安全全面过渡。一体化协同防御的趋势,在众多安全产品和功能模块紧密结合,互相联通而非传统的产品堆叠、安全管理粒度更细到人和行为。

  下面谈一谈内控安全的体系与防御重点。我们理解的这个体系主要有两个核心,以密码为核心、以安全管理和密钥管理为核心。三重防御包括:信息源头安全、应用边界安全、传输通道安全。对应起来看就是要做防御网终端,服务器提供了应用我怎么样保护它,在这两者之间怎么样做到通路的安全可信,所以总的来讲这个体系的指导思想就是两个东西,安管、密管,构建三重防御系统。

  在这个防御思想的指导下,防御重点分成以下八个方面:身份认证与授权访问,就好比人与人之间最开始要有信任,知道你是谁、确认你的身份之后才给你什么样的权利,或者说给你什么样的访问权限,这是一个道理。终端认证与本机的安全,现在终端比较通用的就是windows的用户名和密码,实际上只要用点心就可以把它全部搞定,简单的就是我可以把这些告诉你进去,那么就需要做一体化的部署,所以引入了终端监控与行为审计、另外的还有终端接入认证与监控之、数据数据备份安全与交换、服务器控制与系统加固、介质管理与打击控制,移动笔记本控制,还有在整个网络当中经常看到的就是可以很容易的拿个U盘就可以进入内网,还有移动笔记本的管理,在我们的生活当中,除了固定PC机以外,还有移动的笔记本以及从来不联网的单机怎么管理,这是防御重点的八个方面(PPT)。

  身份认证与授权访问,包括服务器群的访问保护,现在有很多应用系统比较迫切的需求就是每一个应用系统都有一套帐号,做的比较好的单位蔽日说利用员工的工牌在设计之初把这些帐号进行统一建立。还有做的不好都是用户自己上去添加信息然后得到帐户,这样就非常慢。证书的认证包括Windows的域等等,基于证书的认证方式是比较适合当前的认证需求的,物美价廉,而且有很多东西都可以在上面做。API的开发支持主要是指在身份认证与授权访问的基础上还可以提供一套可以定制的信息。

  终端认证与本机安全,刚才谈到了开机认证,本机的个人文件保护,其实在个人的计算机中都会或多或少的设置一个私人目录、工作间、工作版和私人相关的目录,和公司相关公司希望这个数据不要丢失、不要泄露,所以对文件的安全保护也是很重要的,谁可以访问它、谁可以拿到我的计算机后得不到我的数据,这就需要强制访问控制与自主访问控制相结合采用数据加密的方式来做到。除了你要限制使用者以外还要考虑到构建这个平台自身的安全性。

  另外就是终端的监控与行为审计。我们现在的笔记本或者PC机有很多外设,包括存储类的、网络类的、打印类的等等,实际上最简单的一点就是有可能把信息传递出去的端口都是终端监控的重点,我需要防御哪个出口可以出去,就像回形的水管一样,如果这个水管被扎破了水就泄出去了,因此计算机的外设端口就好比这个水管上扎破的洞被我们补起来,真正需要取水的时候可以可控的把它拨离出来。
  刚才讲到了认证、授权、监控三个方面,下面讲一下数据备防御安全交换,我们怎么有效的控制空间,或者在有效的空间之内做加密控制、实现信息同步和自身系统审计。完成信息交换的过程,构建了这套系统以后可以做数据交换的审计,不用到外地出差就可以直接带上认证的令牌、登录我的信息、取我的内容。服务器控制与系统加固,我们可以把执行程序按照用户进行区域的圈定,比如我现在有A、B、C、D四个程序,对应的有1、2、3、4四个管理员,这样就可以灵活的配置管理员到底管理哪些程序。介质管理与打印的控制,分成两个方面:介质的认证与加密控制,还有打印的控制。介质的认证,除了接入到内网以外另外需要认证,控制这个的方法也比较多,由于时间的认证这块就不多讲。还有就是放在上面的认证需要进行加密,我这个介质丢了以后还有办法。移动笔记本及单机,这需要集中管理与收钱,做到离线控制与证据提取,像全盘加密技术、端口封闭技术、定时锁定基础等等。

  这里有一些典型应用:多人共用计算机的应用,用户有了KEY以后可以到处漫游、到处走,共用计算机的资源,不管是网络也好还是本机也好。移动办公的应用,比如刚才我所谈到的,我们出差的时候就可以带一个含个人数据的认证令牌,这可以达到数据始终都在我可以访问的范围内,经过身份的认证可以达到访问的目的。开发中心的源代码管理,主要分三个方面:集中存储的安全保护、个人终端的输出控制,行为审计,安管就是来负责把所有与安全事件相关进行集中汇总的平台。

  最后我小结一下,内控安全是信息安全发展的大趋势,并且是一个复杂的系统工程,需要做体系的设计,有重点的进行切入,分步的进行实施,因为不可能所有东西一步到位,是一个动态演进的过程,因此我们需要做体系的规划、再分步进行实施,有重点的进行深入.