安全对“事”更对“人”

　　萨特有句名言“他人就是地狱”，这位存在主义者的激进言论，也许放到今天的网络安全的环境中却颇为适合。因为所有惊心动魄的安全事件都来自于“人”，而攻击者与防护者之间的较量，最终都将是“人”与“人”的较量。

　　在以往的问责体系中，我们往往喜欢说“对事不对人”。然而，安全技术今日的发展，使得仅仅锁定“安全事件”来展开防护工作或者建立防护体系已经远远不够。目前，新一代身份认证技术、端点管理技术、网络准入控制技术、以及上网行为管理技术等的快速发展，使得以“人”为核心的安全体系建设成为可能。

　　“人防”成为新重点

　　在IDC连续6年的信息安全年度报告中，有一条结论一直被广为引用，那就是企业所面对的信息安全问题，超过80%来自于内部。而这80%的内部隐患中，几乎七成与员工个体行为有关。为此有安全专家认为，以“安全事件”为核心的防御体系正在成为历史，2007年安全的重点已经转入“人防”，即对企业内部员工的管理与控制。

　　当然，这种转入并非一蹴而就，事实上即便在安全事件频发的今天，仍有大量的用户对于“人防”感到陌生，以至于疏于防范造成安全隐患的案例不绝于耳。在此，首先有必要纠正用户对于安全管理的对象的认知。

　　合勤网络的产品总经理范振华在接受采访时表示，当前网络安全的对象不仅仅是各种安全设备，在网络安全策略部署到相关设备后，网络使用者的行为往往成为安全考虑的盲点。

　　事实上，人的行为错综复杂且难以预料，不仅仅是安全防范的重点，也是难点。深信服的安全产品经理邬迪认为，在网络安全领域，人的防护和管理在多个方面都有涉及，其中用户较为熟悉的是来自Internet的恶意攻击和入侵，在这方面，多数用户做的工作还是比较多的。而局域网中，则存在着更多的需要“管人”的地方，例如内网用户共享P2P文件使企业的带宽被吞噬，或通过IM、邮件等方式泄漏了企业的机密信息，或是在网上发表不良言论等等。对于后者，一些用户已经意识到了其风险，并在采取措施。但对于中国大多数用户来讲，还没有完全意识到局域网不良行为带来了安全隐患。

　　对此，网康科技CEO袁沈钢举例说，根据多年的经验，一般企业员工的网络访问行为如果不加控制，就会带来三种风险：第一，带宽被蚕食。企业带宽虽然不断扩大，业务应用却依然得不到满足，这就是网络资源滥用的直接后果了，因为不加限制的P2P下载、在线视频等就是网络带宽的最大杀手；第二，效率被降低。炒股、聊天、购物、游戏等行为，与工作无关的视频、语音、图片、文档的上传和下载，必然带来严重的生产力流失；第三，机密被泄漏。EMC“邮件门”事件、惠普“电话门”事件等，都在告诉我们一个事实，通过外发邮件、BBS论坛等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息，很可能会被在职甚至离职员工有意或无意地泄露出去。

　　他表示，只有从管理的角度，制定具体到使用人员的细粒度策略，提高对内容访问的控制力度、对上网行为的控制和审计，防患于未然，才能降低因网络带来的安全风险。

　　越来越多的证据显示，网络安全所提供的服务是面向内网使用者的，内网使用者必须具备“安全意识”。在实际企业的网络安全部署中，要求每位员工时时提高安全意识当然是一个理想，更多的时候企业把“安全意识”认为是IT网络管理员的职责。

　　为此，目前大量的企业开始关注“用户上网行为”，各网络安全厂商也争相把用户上网行为管理列为产品开发重点。由简单的“全面禁止”到“高细粒度”的判别机制，让IT网管人员按需配置用户上网策略，更能灵活地顺应瞬息万变的企业网络环境。

　　从单点到集合

　　正如业内专家分析的那样，对于人的管理复杂且具有多样性。在这种情况下无疑提出了新的挑战：传统单点布局的安全产品必须做到统一、关联，并与企业的管理策略相结合。

　　当然，这样的要求同样颇具挑战。对此，国家应急响应中心的杜跃进博士表示，当前国内用户必须从两个方向上把握对人的管控思路：第一，尽量做到企业安全的自主、可控；第二，必须从策略和政策上要求员工自觉地遵守企业和国家的法律法规。

　　另外，他也提示说，所谓“对于人的管理”主要指的是对人行为的管理，而不是对思想意识的管理。行为安全技术是为了防范风险，对行为的输入、过程与输出、行为产生的环境、行为特性和与其它内容与行为关联性进行综合研究、分析、监控、管理，并发现问题点的技术。因此对用户而言，一个有效的行为管理技术肯定是一套技术的集合，包括了：行为完整性防护技术、行为控制技术、行为过程记录跟踪技术、应用系统行为监控技术、终端行为监控技术、网络行为监控技术、计算机系统行为监控技术、网络远程控制技术等等。

　　对于这种技术的集合，用户在使用中还要进行进一步细分。因为不同领域、不同行业、不同层次的用户在对于行为管理方面的需求是不一样，这主要源于国家法规和内部所主要面临的信息安全风险的不同。针对所面临的不同用户需求，可种技术可以加以组合。比如常见的统一的身份认证、访问控制、系统审计和计费技术的组合，实现了对用户各个应用系统的单点登录，可以集中进行应用系统的用户管理和权限控制。

　　他举例说，一个有1000人PC的规模型局域网，其广域网带宽通常在100M左右，相对于局域网的带宽和人数，广域网的带宽经常会面临“紧缺”的情况，而内网用户如果不加管理的共享P2P、大量下载和传播视频文件，那么广域网带宽很快就会被吞噬，而这也给病毒、蠕虫的传播带来了“便利”。这时候，用户就需要对内网产生的网络行为做流量管理和安全控制。

　　而对于一些技术研究型公司、金融、政府客户，由于内网存在诸多安全信息，其信息防泄漏的防范就需要用户多加注意，厂商应该针对用户的情况，对外发邮件（客户端邮件/WebMail）、IM通讯、FTP上传、BBS上传等行为进行适当的管理和控制，并通过制定一系列安全措施，让员工提高信息保密的安全意识。

　　从某些意义上说，用户充分的安全意识甚至大于技术的某种集合。网康科技产品服务总监陆继周先生就认为，安全威胁除了利用系统漏洞和安全产品的疏忽，更多的还是要借助社会工程学，借助缺乏安全意识的“人”的无意操作，才得以进驻网络和系统。

　　在这种情况下，网络安全所提供的服务是面向内网所有使用者的，而并非是企业的IT人员，这就要求内网使用者必须具备“安全意识”。而这也恰好解释了目前越来越多的企业关注“用户上网行为”的初衷——由简单的“全面禁止”到“高细粒度”的判别机制，让IT网管人员按需配置用户上网策略，顺应企业的网络环境才是安全的最佳实现途径。

　　技术的组合拳

　　前面说了，完整的“人防”系统并非孤立的产品堆叠，而是一组互相关联的技术组合。从实践的经验看，以“身份认证+行为管理+端点控制”的安全模式更有效果。

　　在身份认证方面，范振华表示，利用简单的双因素动态身份认证就可以实现“人防”的安全基础。简单易用的令牌USB Key可以使用户证明自己的身份后获得受保护资源的访问权。在主流的技术中，每个令牌都具备唯一的密钥种子，会产生一个随机但专用于某个用户的密钥，每隔一段时间密钥会自动更新，其数字只有对指定用户在特定的时刻有效。即使这个一次性密码被泄漏或者破解，而在下一刻这个密码已经失效，不能使用。用户的静态密码加上令牌的动态一次性密码，使得用户的电子身份很难被模仿、盗用或破坏。

　　来自思科的资深安全顾问郭庆告诉记者，对于用户来说，认证作为一种接入手段，其丰富性和易用性决定了其是否可以在企业中得到推行。一个合理的认证方案，应该提供包括IP/MAC认证、Web认证、硬件认证等不同的方式供用户选择。同时，对不同认证方式、不同权限用户进行访问授权的能力，也是用户应该关注的。

　　另外，一些人文“制度”虽然在一定程度上具有约束力，但它却和网络的复杂度成反比。越是复杂的网络，就越难对“人”进行管理，但也更需要对人进行有效管理。根据IDC的调查，目前在欧洲和美国有80%的公司在监控员工的在线行为，而在世界500强企业中，绝大多数企业对员工的邮件、MSN等上网行为进行监控，而且这一举措得到了法律条文上的支持。例如美国的《萨班斯-奥克斯利法案》和中国公安部第82号令《互联网安全保护技术措施规定》，都明确规定了连接到互联网上的单位要做到记录并留存用户上网信息，并要求联网单位要依此规定落实记录留存的技术措施。

　　对此，陆继周先生介绍说，利用上网行为管理产品，企业可以实现细致的Web访问控制、网络娱乐限制、网络聊天监控、信息外发审计、带宽流量管理、P2P下载管理、上网记录审计’等功能。换句话说，一套完整的互联网控制网关必须拥有Web访问过滤、网络应用控制、带宽流量管理、外发信息监控、互联网活动审计等5大功能，能够做到细化、量化的上网行为管理效果，帮助企业全面的管理内部人员的上网行为，加强网络管理，降低安全风险。

　　当然，除了功能上的丰富，在控制的粒度上还需要进一步强化。合勤网络的安全专家表示，一般来说，企业用户可以由下列四种判断机制来提供高上网行为的细粒度管理：第一，根据所在的“用户组”，如“经理组”，或“一般组”来定义不同的上网策略；第二，根据“时间”来决定上网策略的部署；第三，根据“带宽“来决定对应的用户组能分配到多少带宽；第四，根据“即時通信软件”来决定截挡何种软件，何种版本。

　　由于各个即時通信软件，表现出来的特征不尽相同。即使在相同的即時通信软件，不同版本之间所呈现的特征也不相同。因此对即時通信软件的特征也像病毒码一样，需要实时更新。

　　其实，根据IDC的观点，用户所有的“从内网到外网”的访问行为都可以归于上网行为管理的范畴中，这包括身份认证、网络准入规则、外发信息管理、Web访问控制、文件传输记录等，囊括了内网用户从拨入Internet到访问Internet中产生的所有相关网络行为。

　　由此可以看到，全面的“人防”系统必须在身份认证、设备控制的基础上，依赖全面的上网行为管理解决方案，通过整合所有网络行为的控制方案，用户可以通过选择其特定模块，进而实现其需要的功能。

　　另外需要指出的是，当前在安全领域，对用户上网行为的识别一直是个难点。一方面，用户的上网行为涉及到各种网络软件的使用、各种网址的访问，其数量和规模极其庞大，通过普通的应用数据库来管理，容易落后于应用一步。必须需要强大的识别和分析能力才能对其进行管理。另一方面，加密已经成为了互联网、甚至局域网访问的一个大势所趋。越来越多的P2P软件开始采用加密传输，IM通讯工具从用户登陆（如飞信）到内容传输（如QQ、MSN Shell）都在使用加密技术，员工经常访问的网页，也出现了越来越多的SSL加密（例如很多的HTTPS网站）。对于加密的应用，上网行为管理设备可以通过基于统计学的全面行为识别技术（AIT），做到对应用和流量进行识别，进而帮助用户进行审计、封堵、流量控制。

　　需要指出的是，行为管理中的很大一块在于信息的记录和保存。用户应该详细了解方案的数据中心功能，可否对所有的Internet访问进行记录和查询，数据中心能否实现导出和报表。对于一些网络规模较大的用户，每天会产生海量的日志，这时，数据中心的存储能力和可移植能力就是需要考核的重点。

　　最后，在“人防”的末端，用户需要配置主流的端点管理措施，并确保所有的安全措施可以落实到每个企业的内网用户。对此，谭兴烈介绍说，安全系统通过身份认证、端点和行为管理监控等功能模块可以实现对用户在信息系统的操作进行全方位的监控和管理，记录的日志能追查到个人。对信息系统的安全管理和控制主要就是实现对使用者的安全管理和控制，因此身份认证、网络准入等技术实现了对信息系统使用者的安全管理和控制，必将成为未来的主流。

　　破解复杂度谜团

　　前面说了，再好的技术也会存在部署的挑战，其中复杂度问题一直是“人防”系统建设的难点。就目前现状来看，部署的复杂度主要体现在两个方面：首先是部署这些技术和产品可能涉及到对用户现有应用系统和网络系统的改造和升级；其次是目前在这些技术和产品方面标准的不统一，不同厂家的产品都有其独特的地方，如果部署时选用多个厂家的产品，就可能为带来系统不兼容、不一致的问题。

　　当然，这种复杂度的增加也是相辅相成的。他表示，用户通过部署这些系统，将以前分布式的管理统一为集中式的管理，其中统一身份认证使用户只需一次登录就实现了对各个应用系统的登录，网络准入控制从接入上保证了信息系统的安全。从这个意义上讲，不但没有增加而是降低了管理复杂度。

　　以身份认证为例，静态密码存在很多缺陷，如：密码容易被人猜测或通过社会工程学、社会工程师等途径获取。即使使用者拥有特殊认证加强机制，例如动态密码卡、IC卡、磁卡等，也有遗失或被盗走的可能。为了维护静态密码的安全性，用户必须严格控制密码的长度及复杂性（例如：中英文数字夹杂，大小写间隔，长度须超过8个字符以上），并定期更换密码。为了使用动态密码，必须妥善保管密码令牌。一旦遗失就必须求助于公司内部的服务中心，因此降低了工作效率，造成不必要的安全隐患，甚至严重损失。不难看出，单独部署静态密码或动态密码都有其弱点，因此把两种要素结合起来的身份认证的方法，即“双因素认证”则可以最大程度地平衡用户的复杂度问题。

　　另外，减小“人防”系统复杂度的捷径，就是对SNMP的全线支持。对此，袁沈钢和谭兴烈都表示赞同。毕竟有了协议上的保证，那么用户所有SNMP标准的网络设备、安全设备都可以接入到安全管理平台进行配置管理，从而大大简化用户的工作量。

　　事实上，采用安全管理平台不仅可支持各种安全产品，同时还能增强网络产品、安全产品的策略设置、运行监控等功能。此外，在此类产品中，用户可以根据单位的实际要求自定义报表格式，全面了解系统运行情况。同时，现在的管理平台一般都支持细粒度监控和安全策略配置的功能，这样就可以实现对防火墙、VPN等众多安全设备的安全策略配置和设备运行状况监控，从而进一步减小了复杂度的困扰。

　　最后，众多安全专家对于人防的部署作出了形象的总结：一个好的“人防”系统应该包含硬件及软件的融合，具体表现在一套可综合管理的软件平台，不但可以集中策略执行，易于布置和设置硬件，更能实时告警和报告，让网络管理员易于分析安全威胁的人、事、物。