近幾年，從防火墻的誕生開始，我們所有的基礎(chǔ)架構(gòu)都在如火如荼地做著客體安全防護，防火墻、IDS、反垃圾以及縱深防御體系等。同時我們也看到，在內(nèi)部管理層面很多情況下是“因陋就簡”的，整體架構(gòu)里一直有“防御重于管理”的理念。但事實上，互聯(lián)網(wǎng)的內(nèi)部管理絕對是不容忽視的。

那么，互聯(lián)網(wǎng)管理到底有哪些風(fēng)險點呢?

互聯(lián)網(wǎng)管理的四個風(fēng)險點

首先，對于主體“人”的管理。“互聯(lián)網(wǎng)行為”的定義是互聯(lián)網(wǎng)主體主動或被動發(fā)生的上網(wǎng)行為，這里人的因素就比較關(guān)鍵，因為“技術(shù)可以學(xué)習(xí)，流程可以復(fù)制，只有人是個性的”。如果要關(guān)注人的行為安全，發(fā)現(xiàn)潛在的主體行為隱患，互聯(lián)網(wǎng)上的管理是一個很有效的方法。

這是因為互聯(lián)網(wǎng)行為已經(jīng)成為人的第二行為，就像在著名的游戲《第二人生》中那樣，任何人的真實行為在互聯(lián)網(wǎng)中都會有這樣或者那樣的體現(xiàn)。當一個人想離職的時候，他會在互聯(lián)網(wǎng)上出現(xiàn)一些苗頭和征兆。例如頻繁訪問招聘網(wǎng)站，在友商的網(wǎng)站上瀏覽過多等。如果我們通過友善的監(jiān)控獲悉這種苗頭，管理者就可以去采取相應(yīng)的措施。

目前的互聯(lián)網(wǎng)管理存在著很大的困境。就現(xiàn)在的互聯(lián)網(wǎng)現(xiàn)狀來說，對互聯(lián)網(wǎng)行為主體的識別并不清晰，這主要表現(xiàn)在三個方面：第一，通常采用的是IP地址聯(lián)系方式，IDS和防火墻最常用的;第二，均采用地址轉(zhuǎn)換技術(shù)IPv4，因為IPv6現(xiàn)在還沒有成熟;第三，沒有專門的互聯(lián)網(wǎng)認證體系，雖然有OA認證、準入認證、數(shù)據(jù)庫認證，但是互聯(lián)網(wǎng)外發(fā)沒有專門的認證，這給我們帶來的風(fēng)險點是很明顯的。

內(nèi)外定位均失效。在內(nèi)部，當我們想看一個人行為發(fā)展趨勢的時候，只能看到IP地址，根本無法對應(yīng)到個人。對于外部，我們根本無法把內(nèi)部和外部的地址連接起來。因為經(jīng)過地址轉(zhuǎn)換以后，這個數(shù)據(jù)是瞬時的，是留不下來的。其次，任何一個外部人到公司來都可以上網(wǎng)，可能會帶來一定隱患(如病毒蔓延、信息泄密等)。因此說，互聯(lián)網(wǎng)管理其實只有50%的管理是對主體的管理，是對人的體現(xiàn)。

其次，對互聯(lián)網(wǎng)行為(下拉與上傳)的管理。互聯(lián)網(wǎng)行為是訪問主體主動與被動的行為。互聯(lián)網(wǎng)行為主要包括兩個方面：信息的“下拉”與“上傳”。“下拉”包括文字性的下拉、文件性的下拉。可以說，下拉信息中大量是我們不希望看到的信息。在FTP瀏覽當中，會有色情、病毒;對于電子郵件來說，垃圾郵件也很多。

“行為”的第二個層面就是“上傳”。DLP(數(shù)據(jù)丟失保護)是現(xiàn)在一個很熱的概念，它有文件級的，也有行為級的。對于互聯(lián)網(wǎng)來說，行為級是很重要的。假如外發(fā)的文字沒有記錄，文件沒有記錄，人們根本無法談“阻斷”，這就有可能給我們帶來風(fēng)險(例如法律風(fēng)險)。很多人通過外發(fā)郵件、BBS發(fā)帖、博客記錄，就有可能無意識地把公司的核心機密以及最新動向泄露出去。由于對于文字和文件的外發(fā)沒有任何記錄，我們也很難控制核心信息的外泄。

第三，投資保護。在IT基礎(chǔ)設(shè)施中，軟件硬件的投入都具有很高成本?！暗屯度搿⒏弋a(chǎn)出”是用戶信息化建設(shè)努力追求的目標。倘若我們高價租用的帶寬、高價采購的服務(wù)器被一些無關(guān)業(yè)務(wù)的流量(例如，電影下載、網(wǎng)絡(luò)電視、網(wǎng)上購物)占據(jù)著，這種資源浪費是每位管理人員都不愿意看到的，更是企業(yè)所不允許的。

最后，工作效率?；ヂ?lián)網(wǎng)的誘惑導(dǎo)致工作效率的下降，可以用一個百分比的圖表呈現(xiàn)出來。一項數(shù)據(jù)統(tǒng)計顯示，我們企業(yè)員工平均的有效工作時間是45%。這就是網(wǎng)絡(luò)行為對于工作效率的影響，我相信沒有任何一個企業(yè)會希望這種風(fēng)險的發(fā)生。

有了以上的風(fēng)險點，其實已經(jīng)足夠引起我們來重視互聯(lián)網(wǎng)行為。但我們能不能通過現(xiàn)有的防御體系把它解決，這是有難點的，主要表現(xiàn)在三點上。

第一，客體安全情況下通常是信任內(nèi)部的。像防火墻在很多情況下是斷掉了外部主動發(fā)起的連接，但會放行內(nèi)部到外部的連接，因為我們對內(nèi)部是信任的。這種情況下，這種互聯(lián)網(wǎng)的行為往往是從內(nèi)部發(fā)向外部，是很難控制的。

第二，新技術(shù)的產(chǎn)生會使得合法的端口被多種功能借用。其實互聯(lián)網(wǎng)行為有時候是“披著羊皮的狼”，它往往是披著合法的外衣，比如上班時間的P2P、網(wǎng)絡(luò)購物，這已經(jīng)是屢見不鮮。

第三，在內(nèi)容控制層面，細節(jié)無法作為判斷依據(jù)。比如說，在FTP里面，人們無法判斷它是一個.C文件，還是.H文件，還是.doc文件、.PDF文件，對于source coding來說，.H和.C的文件對于一個公司來說是致命的。而在這種情況下，傳統(tǒng)的安全防護體系很難去做。因此，在這個層面上，很值得把互聯(lián)網(wǎng)行為單獨拿出來管理。

互聯(lián)網(wǎng)行為管理要點

當我們知道了互聯(lián)網(wǎng)的風(fēng)險以及現(xiàn)有的安全管理難點之后，我們又該如何管理它?作者在長期的研究和分析當中，我們把互聯(lián)網(wǎng)行為分為“傳統(tǒng)應(yīng)用”和“新興業(yè)務(wù)”。

“傳統(tǒng)應(yīng)用”指的是互聯(lián)網(wǎng)誕生時就產(chǎn)生了http 、電子郵件、FTP等?！靶屡d業(yè)務(wù)”指最近流行的P2P、即時通信等，這些新興功能帶來了我們以前無法用傳統(tǒng)互聯(lián)網(wǎng)來實現(xiàn)的內(nèi)容?！靶屡d業(yè)務(wù)”中有一點是“增值應(yīng)用”，它并不是信息的下拉與上傳，它關(guān)注的是動態(tài)。比如說炒股，我們不關(guān)注文件的下載，而關(guān)注的是趨勢。比如說游戲，我們關(guān)注的是一個過程。這些都沒有信息的下拉和上傳，僅僅是一個流的過程。作者把互聯(lián)網(wǎng)的行為定為以上6種應(yīng)用。在6種應(yīng)用上它會有哪些風(fēng)險點值得我們關(guān)注呢?

圖1中的每一個點，我們都需要關(guān)注到。有效的主體識別，文字信息、文件信息的下拉與上傳，IT投資保護，以及企業(yè)工作效率。我們可以看到，左邊的“行為”加上右邊的“關(guān)注點”全交叉在一起，就構(gòu)成了互聯(lián)網(wǎng)管理行為，這就是互聯(lián)網(wǎng)管理理念所必須要關(guān)注的要點。

行為管理的五個步驟

作者根據(jù)相關(guān)報道分析了一套互聯(lián)網(wǎng)行為架構(gòu)體系，總體來講會分成五步實施。

第一，靈活接入。很多企業(yè)都有了現(xiàn)行的網(wǎng)絡(luò)構(gòu)架，在這種情況下，我們進行系統(tǒng)改造不能傷害整網(wǎng)的架構(gòu)。所以， 靈活接入是構(gòu)建互聯(lián)網(wǎng)體系很重要的一部分。無論是出口的路由，還是單鏈路、雙鏈路串行接入，是否使用了代理服務(wù)器，我們都要實現(xiàn)這種“無痛接入”。

第二，必須建立有效的行為主體識別機制。既然互聯(lián)網(wǎng)行為管理有50%是關(guān)注在主體安全上，那么建立有效的行為主體識別是至關(guān)重要的。“離開了人，互聯(lián)網(wǎng)行為管理就成了一門技術(shù);加入了人，互聯(lián)網(wǎng)行為管理就成為了一門藝術(shù)?！?/P>

第三，“洞悉”我們的互聯(lián)網(wǎng)行為。當搭建好了基礎(chǔ)平臺，搭建好了基礎(chǔ)架構(gòu)，就涉及到所有IT系統(tǒng)遵循的理念，這就是科技倡導(dǎo)的“洞悉 管控 駕馭”。提供的解決方案能夠?qū)ζ髽I(yè)網(wǎng)絡(luò)進行全面實時監(jiān)控，幫助管理員“洞悉”網(wǎng)絡(luò)中正在發(fā)生的行為;通過制定完整的策略，針對人員、時間、應(yīng)用進行全面的“管控”和審計;再通過對用戶行為進行回溯查詢與綜合分析，不斷地優(yōu)化管理策略，實現(xiàn)對企業(yè)員工訪問互聯(lián)網(wǎng)的全方位的“駕馭”管理。

那么，我們是如何實現(xiàn)“洞悉”呢?第一步，會幫助客戶建立有效的綜合互聯(lián)網(wǎng)監(jiān)控系統(tǒng)，無論是網(wǎng)頁、流量還是分布、帶寬，都會及時得到。第二步，我們會把客戶的信息有效地沉淀下來，供隨時瀏覽、隨時分析，這是友善的監(jiān)控。第三點，當我們達到“洞悉”以后，才能知道客戶當前的問題在哪里，就可以做下一步的處理，及時地管控。

第四，“管控”我們的互聯(lián)網(wǎng)行為。提供海量的URL數(shù)據(jù)庫作為預(yù)分類，同時我們可以對網(wǎng)上下載的文件類型以及電子郵件的下拉進行行為控制，這個是“管控”的第一點。管控的第二點就是上傳。我們對文件類型的上傳、對郵件類型的上傳、對于其他類型的上傳，會進行相應(yīng)的控制。

我們幫助企業(yè)節(jié)省帶寬投資，提高用戶的效率，把與工作無關(guān)的一些應(yīng)用根據(jù)企業(yè)的相應(yīng)風(fēng)險屏蔽掉。比如說，上班時間不允許炒股，不允許玩游戲，但下班時間可以開放這些應(yīng)用。我們可以通過豐富的行為列表、樹狀化的行為列表表達我們的控制效果。

第五，開展有效的統(tǒng)計分析?；ヂ?lián)網(wǎng)行為管理理念最核心的就是要堅持不懈地統(tǒng)一管理。只有不斷地統(tǒng)計挖掘，才能知道我們的前端問題到底在哪里。

【編輯推薦】

1. IBM集團Bete:從失敗案例看IT治理和風(fēng)險管理
2. 我國信息安全風(fēng)險評估的現(xiàn)狀與發(fā)展
3. 專家談：當前網(wǎng)絡(luò)風(fēng)險分析與應(yīng)對策略
4. 怎樣為數(shù)字煙草行業(yè)建設(shè)信息安全運營中心