網絡安全管理監控

摘要：分析了企業在互聯網中存在安全風險的原因、存在的安全風險及其有效的應對措施，同時對監控在網絡安全中的重要性進行了闡述，并初步介紹了托管式的安全監控及其在企業的發展中存在的潛力，為企業在網絡安全方面提供了一定的建議。

關鍵詞：網絡安全；嗅探器；檢測；響應；托管式安全監控

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1068-03

Network Security Management and Monitoring

WANG Li-zan

(Modern Education Technology Center，Guangdong Pharmaceutical University， Guangdong Province，Guangzhou 510000，China)

Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet， the current security risks and counter measures. Furthermore， an explanation to the importance of monitoring in the network security， and a brief introduction to Managed Security Monitoring， as well as its potential in enterprises development， which is constructive to enterprise network security.

Key words: network security; sniffer; detection; response; managed security monitoring

1 引言

互聯網對于商業來說是至關重要的。一個跨國大公司往往別無選擇地將其內部網絡連接到世界上各個地區，因為那里有著他們的客戶，供應商，合作伙伴和自己的雇員。 然而隨著網絡的擴展新的威脅也隨之而來，惡意黑客，犯罪分子，工業間諜等的數量與日俱增。 這些網絡上的掠食者，不斷的企圖竊取公司資產和知識產權，或者通過對關鍵性的服務器進行攻擊來使系統服務停止甚至崩潰。這種行為產生的后果，不僅損害到了公司的聲譽，而且還會驚嚇到客戶。 如果一個公司不能成功地進行防范和解決這些問題，那么他們的業務在商業因特網上的擴展在很大程度上也將會受到阻礙。

2 網絡安全

2.1 安全的重要性

計算機安全是互聯網的一個根本技術，它起源于純粹學術上的好奇心，發展到現在已經演變成為一個十分重要的商業應用。在互聯網上，任何企業或個人都無法忽略對安全的需求。

網絡上貿易機密，客戶資料，金錢等被竊取的風險是真實存在的。由計算機安全問題所造成的損失也可能是相當巨大的。例如ILOVEYOU病毒，據不完全統計，它在全球范圍內造成的損失已高達100億美元;其中生產上的損失占了絕大部分，同時它帶來了其它間接的影響：顧客的流失，品牌和商譽上的損害，這些都是難以進行估計的。 除此之外，新的問題將接踵而至。因為歐洲的國家都有嚴格的隱私法：如果公司或企業不采取相關措施來保護客戶的隱私，他們將被追究法律責任。在美國也有類似的法律，尤其是銀行和醫療保健等行業-都會制定相關的法案來專門針對隱私保護。

雖然在互聯網上進行業務的同時伴隨著如此大的風險，但是公司和企業并不會停止去利用這個平臺。因為網絡能給企業帶來新的市場，新的客戶，新的收入來源，甚至新的商業模式。這是具有相當巨大的誘惑力的，所以即便是存在這樣的風險性，他們也會不斷的在這個互聯網環境里拓展自己的業務。正因如此，比起其它問題來，計算機安全更加顯得重要。

2.2 落后的傳統安全

網絡安全上的攻防如同在進行軍備上的較量，且攻擊者一方具有較大的優勢。首先，防衛者必需對所有可能的攻擊進行防范，而攻擊者需要做的只是找到其中一個弱點或者漏洞。其次，現代巨大而復雜的網絡使得防衛者不可能保證100%的安全性。另外，熟練的攻擊者可以將復雜的攻擊手段整合到軟件中，使得即使是一些非內行人士也可以很容易的使用它們。這就不奇怪為什么連一個專業的首席信息官(CIO)也無法完全地掌握所有這些可能存在的威脅，普通人就更不可能做到了。

計算機安全已經發展了40幾年，每年都有新的研究，新的技術，新的產品，甚至新的法律不斷出現，然而網絡的安全狀況卻似乎一年比一年更糟。在互聯網上，安全只能說是相對的。

今天安全的東西明天可能會變得不再安全，即使是微軟這樣大的公司，也會受到攻擊和入侵。因此我們對網絡安全的考慮重點不應該放在安全設備的數量方面，而應該更多的將注意力集中到嚴謹的流程和制度上。我們必須停止一味地尋找能避免一切攻擊威脅的神奇的防范技術，更多時候應該完善好攻擊和防范的處理措施及方案，這將有益于我們更好地掌握到可能存在的風險。

2.3 安全與風險管理

每當同網絡管理員提及計算機安全技術，他們往往談到的是“如何去避免威脅”。這是傳統規范的計算機安全所產生的一種計算機科學心態：找出有什么威脅，并通過技術的手段來避免和根除。可惜的是，技術可以在某種程度上“解決”電腦安全問題，而最終的結果往往是安全程序成為了一個赤裸裸的商業犧牲品。

安全并不僅僅是純技術上的問題，它同每個人也是息息相關的。 沒有任何一個計算機安全產品，能完全保障網絡與財產的安全性，而且這也不是企業應有的經營方式。

對于企業管理風險，網絡安全只是其中的一個環節，安全性也并不是在任何情況下都越大越好的。你可以通過一進門就對每一個人進行嚴格審查的方式來改善一間銀行的安全與風險管理，但是如果采取這種做法，會很大程度上影響到商業利益。因此所有這些企業都在尋找著一個合理的安全的平衡點，這樣的局面給另外一些公司和企業開拓了新的市場：為了在執行安全的同時吸引和留住新客戶，他們需要根據所處的環境以及他們所從事的行業，來選擇特定的計算機安全解決方案。

3 安全管理監控

3.1 預防，檢測，響應

現實世界里的安全，可概括為預防，檢測，響應。 如果預防機制很完善，你甚至可以不需要檢測和響應，但遺憾的是沒有哪個預防機制是100％完美的。實際上，對于計算機網絡，所有的軟件產品都存在或大或小的安全漏洞，大多數網絡設備也都存在錯誤的配置，用戶方面也可能會出現各種操作上的失誤。所以沒有檢測和響應，預防機制所體現出來的價值是相當有限的。另外，比起設置更多的預防措施，加入檢測和響應反而更具成本效益，也更加高效。在互聯網上，我們統稱為監控。

監控才是真正的安全。一個偷竊者，無論如何入侵或者怎樣做。只要有足夠的行為感應器，電子眼，和壓力板設置在你的房子里，只要他進來過，您都可以捉到他的蛛絲馬跡。同理，如果您可以很仔細的監控網絡，那么無論黑客利用什么漏洞進行入侵和攻擊，您都能第一時間發現它。如果迅速作出有效的應對措施，您也同樣可以在他造成損害前阻止他。良好的檢測和響應可以彌補不完善的預防措施-沒有哪一家銀行敢這樣說：”我們的安全措施是十分完美的，我們不需要一個警報系統” 。檢測和響應是在現實世界中我們得到安全的方式，也是保障我們可以在互聯網上安全穿梭的唯一手段。一個企業的CIO如果要妥善管理相關的風險與他們的網絡基礎設施，那么就必須在網絡監控服務上進行一定的投資。

3.2 網絡安全監控

網絡監控意味著一系列的嗅探器覆蓋在網絡的周圍，并針對每一個網絡設備和服務器生成連續的數據流的審計訊息。若發現可疑的行為，智能檢測系統便發送提示信息，每一個其他的安全產品便會以某種方式產生報警信號。然而這些嗅探器本身并不提供安全性，所以你必須清楚地了解他們的不足之處，并且在假設攻擊者已經完全掌握這些嗅探器的特征的前提下作出應對措施。

第一步是智能地提高警覺，根據整個網絡環境的不同，網絡攻擊的蛛絲馬跡可以是很微小的。對于一個中等規模的網絡， 軟件可以在一天里，過濾數萬兆字節的審計信息的，但攻擊者卻可以很容易就瞞過軟件的檢測。所以智能地提高警覺，要求人們做到：

1) 分析軟件發現的可疑訊息；

2) 更加深入地了解可疑事件，確定真實的狀況；

3) 將錯誤的警報和真正的攻擊區別開來；

4) 了解它們之間的聯系。

總的來說，提高警覺性，可能相對于整體來講只是稍微有效的，更重要的應該是要知道如何去應對，這是第二步。再好的網絡監控軟件提供的也只是一種信息，而這些信息要體現出它的價值則需要專家。最后，必須結合組織的業務需求做出合適的處理措施，所有這一切，是檢測和響應用于計算機網絡所要求達到的。

網絡設備每天產生兆字節甚至更多的審計信息，自動搜索軟件通過這些字節進行篩選，尋找并發現攻擊的跡象；專家再進行分析，了解攻擊的行為，并決定如何作出回應；最后網絡的使用者-組織-則在針對主要業務的基礎上進行合理的安全決策。

因此做好網絡監控工作，人們需要做到上面的每一步。軟件不會象人一樣思考，不會發問，也不會自我適應。 缺少了人，計算機安全軟件，只是一種靜態的防御。 而軟件與專家相結合，將使你擁有一個完整的更高級別的安全性。

3.3 監控服務托管

檢測和響應系統成功的關鍵是自身的警覺性：攻擊可以發生在一年中的任何一天以及一天中的任何時間。雖然公司或企業是有可能為自己的網絡建立專門的檢測和響應服務，但成本效益較低。部署在安全方面的工作人員，以每日二十四小時，一年365天來算，需要5個全職員工;如果包括主管和其它專門技能的備份人員，則還可能還需要更多。

即使這個組織有資金和預算可以投入到這方面人力上，在今天的就業市場仍然很難聘請到他們。想留住他們將更難：因為對一個單一的組織的攻擊行為，并非經常發生，不足以讓一隊高素質的人員感興趣和從事于此。

在現實世界中，這方面的專業項目大多數情況都是進行托管，它是唯一滿足需求的符合成本效益的方式。除了專業技術的聚集，這個訊息的服務同時帶來了其它的經濟規模。因為它需要更多的人，所以它更容易雇用和訓練其人員。它可以為他們建立一個基礎設施進行支援和培訓。對新的黑客工具，新的安全產品，新的軟件發布以及新漏洞的監控手段的了解都保持直至目前為止。一個托管式安全監控（MSM）服務可以將這些費用分攤到所有客戶上。

MSM服務提供商在互聯網上相對于單一客戶來說也有一個更廣泛的視野，它通過對某個客戶的攻擊行為的了解，將新的知識用以保障其所有的客戶。對于一個MSM公司 ，網絡攻擊是每天都在發生的;而公司內部的專家，他們也知道如何去回應和處理這些特定的攻擊，因為在所有可能的情況下，他們已經碰到過很多次這樣相同的行為和事件。因此，安全是相當復雜的，而且至關重要，將其進行托管比起自己去實施可要有效的多。

3.4 監控優先

監控應該是任何網絡安全計劃的第一步.它是網絡管理員可以做的即時起作用的手段。而政策分析和脆弱性評估需要時間，如果不付諸于實踐，實際上并不能很好的改善網絡的安全。另外，安裝安全產品，往往需要正確安裝在適當的地方才能達到提高了安全性的效果，監控，可以確保安全產品是否正在提供它們應有的安全保障。

大型的網絡通常是由內部網和外部網組成，監控的最佳時間是當網絡中數據相互流通的時侯。監控的主旨是即時的安全，既不做脆弱性評估，也沒有為網絡提供防火墻。 監控提供了其它的安全產品所不能提供的動態的安全方式。并作為安全產品已嵌入到IDSs網絡防火墻，一個專門的安全裝置，它使監控得到了更好的發揮。

監控是公司和企業安全的視窗。監控可以通過信息反饋，以保證其他網絡安全活動更加有效。它可以幫助您確定在哪個位置安裝安全裝置，以及確認他們的狀態是否正常。它可以使您知道如何去正確配置安全設備；它可以確保你的安全性始終走在前沿。所以，實施網絡安全計劃，監控是需要做的第一件事。

4 結束語

一個高度連接網絡必然存在著安全隱患。安全產品并不能完全“解決”網際網路安全性的問題，實際上，存在著許多它們無法涉及到的盲點。進行安全和風險上的管理：在企業網絡拓展的同時采用合理的計算機安全解決方案，這是一個比較好的方式。

計算機安全關鍵在于提高警覺性，是需要每天都要保持的。千百年來，不管技術進步如何迅速，世界上仍然沒有一個絕對安全的地方，警報和安全服務仍然是國家的重要指標。

要達到有效的安全性是必須有人的參與，自動化的安全系統始終是會存在缺陷的。一個狡猾的攻擊者可以利用新的攻擊欺騙軟件繞過安全設備 。人們需要接受這個事實，并對新的攻擊和新的威脅作出反應，重新對事件進行權衡：人的思維是攻擊的源頭，所以人的思維同樣可以用來進行防范。

互聯網的現狀使得托管式安全監控（MSM）服務發展為最具成本效益的方式，它提供了更具彈性的安全，它可以把人，制度和產品很好的結合在一起，它將為混亂的現代商業網絡創造了一個安全的環境。

參考文獻：

[1] 杜向文.中小企業的網絡安全[J].計算機安全，2006，(8):47-50.

[2] 石焱.計算機網絡安全的現狀及對策[J].科技廣場，2008，(8):89-90.

[3] 張亮.網絡安全監測[J].重慶大學學報，2002，25(6):152-154.

[4] 袁國強.企業網絡安全整體解決方案的研究與應用[D].大連理工大學，2003.