有两种方式可以用来制定一个策略管理方案:手动或自动。如果采用前者,使用手动干预的办法来追踪策略执行情况,如果采用后者,软件工具可以用来检查策略执行情况。
制定一个手动策略管理解决方案的第一步是创建一套可以反映你的策略目标的流程;流程和指导方针将为日常操作提供必要的细节。
一些典型的流程包括防病毒、密码过期和日志监视。每个流程和指导方针都是对策略具体章节的解释,而且用作实施和配置具体软件解决方案的标准。
使用我们的示例流程,通过制定防病毒解决方案在企业内部使用,防病毒策略设定了一个基调。防病毒流程将准确地概括出这个策略是如何执行的,如何解决更新和紧急事件响应这样的问题。正常情况下,它是通过一个中央控制台来管理的,防病毒规则被发送到工作站和服务器上。
一个可被接受并使用的策略可以被理解为几个流程,它们被用来解决电子邮件使用、数据存储和互联网使用等问题。一个WEB使用流程概括了雇员允许访问的网站,执行对访问的限制所采取的技术,比如WEB内容过滤,以及检查设备日志的频率。
另一个例子是微软的Windows操作系统中的密码过期设置。如果策略要求复杂密码,那么指导方针里就会规定密码的最长生命期,在活动目录中将被设置成使用密码的最大生命期。
了解信息安全策略是如何用来创建实用而且可执行的控制的,这一点很容易。但是,这个过程相当费力,有些人必须进行干涉以便使位于不同控制点的数据相关联,包括防病毒程序、入侵检测系统、防火墙和认证系统(比如活动目录)。手动监测策略的执行情况是非常繁琐的,潜在的问题包括以下内容:
◆防病毒管理控制台偶尔可能丢失一些服务器或工作站的连接,这样就会在公司网络上造成暴露点,检测这个策略偏离和对它进行纠正可能相当费时。
◆对于内容管理提供商来说,将网站错误地进行分类并不是前所未闻的事。举例来说,巧克力制造商Hershey公司的网站曾经就被错误地划分为色情网站。这样的错误可以导致误报,而且,如果某个站点根本没有被分类,就有可能给用户一个绕过系统的方式。监视这样的情况是相当费时而且令人沮丧的。另外,管理用户异常——这些用户可以绕过过滤系统进行研究——使事情变得更复杂,因为需要跟踪这些异常行为,来写合规报告。
◆尽管象活动目录这样的系统可以规定用户必须使用复杂密码,但用户也有可能绕过这样的控制使用一个弱密码。由此,对于安全管理员来说,不定期地使用密码破解工具来审计用户的密码是非常重要的。
自动化来拯救
在进行手动策略管理时需要花费大量的时间和精力,从这点上看,自动化工具是一个相当有吸引力的选择,特别是对大企业来说。
在最近几年里,一些厂商推出了它们的策略管理解决方案,包括Elemental Security、Solsoft和BindView(今年早些时候被Symantec收购)。大部分厂商的产品将管理软件和策略的创建连接起来,基本上管理者只需要创建策略,软件会执行它们并检查策略遵守情况。
Elemental Security公司的策略管理是以主机为中心的,通过网络将策略实施到服务器和工作站。Solsoft采用以网络为中心的办法,通过网络将策略分到各种网络设备中。BindView也使用以主机为中心的架构,但也提供了一个附加组件可以辅助撰写策略,把策略下发到用户,以及追踪用户的接受和异常情况。
自动化工具的工作是将你的安全策略和流程下发,然后在各控制点进行实施。如上所述,一些工具通过控制网络设备来进行操作,它们将策略转换成网络设备(如路由器)的配置条件。通过基于主机的工具,策略被转换成配置命令。
策略管理产品特别有用的地方是,它们可以为不同的标准提供模板,比如ISO 17799和CobiT,而且可以使用相关的规章来交叉关联它们。你可以根据提供的模板来为你的机构选择必要的策略。
策略管理产品的另一个功能是,它可以整合到整个企业中,从不同的数据源得到数据,包括备份、防病毒、内容过滤解决方案、防火墙、操作系统和路由器。这些数据的自动获取减少了用户必须筛选的数据总量。一些自动化工具还可以和漏洞管理系统相结合,保证系统更新以及解决突发威胁和零日攻击。
策略管理工具自动关联大量不同数据的能力还有利于法规遵守和报告,因为它允许用户获取具体法规的遵守情况数据。安全专业人员的主要抱怨是外部、内部审计方和政府监管部门对相同审计相关信息的重复请求。这些工具允许你为不同组织生成定制的报告,而不必为解决类似问题去完成几次不同的审计。
自动化策略管理工具还能监视违反策略和追踪异常情况。一个关键的益处是所有的报告集中在一个管理控制台上,这样就更容易追踪它们(与手动方式相比)。但是它们毕竟不是真正的主动监视产品——它们不会像火灾警报那样自动工作。但是,Symantec计划将BindView的产品整合到管理事件技术中;其它工具被设计用来与安全事件管理产品整合。
没有一个产品是即插即用的——所有产品都需要花时间进行实施;有些甚至要求公司来将他们的策略转换成一种具体的格式。实施的时间会根据产品以及组织策略状态的变化而变化。
软件费用和实施时间是使用自动化工具的两个主要考虑因素。举例来说,Elemental Security Platform 2.0大约需要花费3万5千美,每台服务器需要花费大约600美元,每台工作站或笔记本电脑需要花费大约60美元。
哪种方式更好?
无论是手动还是自动化方式,都可以把工作做好,但是它们也有自身的限制。在大型企业里,自动化策略管理工具可以提供极大的帮助,但是对于比较小的企业来说,自动化策略管理工具可能就不太适合了 。
自动化工具可能存在的另一个问题是,它不能为企业制定特制的策略,用户可以修改公司来适应这些策略。如今,很多自动化产品只能在市场上占用很少份额——无论是基于网络的还是基于主机的产品。要做到真正有效,一个策略管理解决方案即要用到手动方式还要自动方式。Symantec公司正计划在它的产品中加入基于网络的组件来向这个方向迈进。
在日常工作中,策略制定和策略管理是一系列复杂的工作,但是公司必须面对这样的挑战,当我们的IT基础架构变得越来越复杂,威胁越来越多,我们会越来越多地依赖于手动和自动化工具来执行策略和报告执行情况。随着策略管理产品日渐成熟,我们将看到自动化工具被更好的装备,从而能全面地处理问题,而且它的价格也会下降至各种公司可以承受的范围。
可以肯定的是,有效的策略管理在未来会变得更加重要。
【编辑推荐】