专家谈:如何判断我的网络是否安全(1)

【51CTO.com 独家报道】2007年4月19日下午，由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里，来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解，并详细解答了与会技术人员提出的技术问题。
王锁杰：今天我讲的主题主要是如何判断我的网络是否安全。这个问题也是我从业以来，所接触的客户最关心的核心问题。当我们在做解决方案或者安全架构的时候，客户经常会问到这个方案是不是能够真正保证我的网络成为一个安全的网络。那么如何评估方案的有效性，又如何评价我们现有网络的安全性呢，下面就给大家做个讲解。
安全的组成要素
安全的组成要素很多，首先网络的基础属性很重要，然后基础属性应用什么样的安全解决方案，最后要有相应的人员如何执行。表面上好象只有三个要素评估，但是实际会牵连很多的内容。比方说安全解决方案设计的很多，选购产品是一方面，在企业信息安全建设的时候，以什么样的流程控制安全项目的实施又是一方面。所以安全组成要素中第一重要内容就是建设安全的策略与方针。
与安全建设相关的要素，从大体来说，一共是分为四部分。即：
建设安全的方针
实现安全的手段
落实安全的保障
执行安全的实体
最重要的一块就是方针，有了得当的方针，然后使用相应的手段——产品，有了方针和产品之后，我们需要相应的流程去执行它，它是落实安全的保证。就相当于我们的国家一样，国有国法，家有家规。我们怎么样去落实它能够真正起到效果。应该按照一定流程来做，只有这样我们才能最终影响到底下的基础，就是人员。因为所有计算机的安全最终由人员在使用过程中来体现。
这里面四者的关系在于我有了相应的策略，安全的手段，安全的保障，就能够解决我需要购买什么样的产品。然后我的策略决定之后，我需要落实这些产品能够正常的在网络中运行非技术性的手段，就是行政条款以及终端的人员如何去使用这些产品，它有一个依据。所以在这一块，我们还是反复强调四者之间关系的处理非常重要，它处理的好就会解决一些问题，我们可以尽量用少的产品，尽量少的投入来达到安全的最大化。
在这四个组成要素中，第一就是对策略的建立，我们要有一个很针对性的流程让我正确的执行策略，以及相应的辅上针对性的产品。了解了我们需要评估的对象，我们就开始做如何评估。我们很多企业或者是我们的很多行业的服务提供商，它会给我们的客户提供安全评估，或者是渗透性攻击。但是它整个评估的基础往往都是依赖于技术，它就看比方我们模拟一次攻击，看看防不防不的住，它往往都是技术得分。可能往往有家企业在技术得分非常高，采购了非常多的安全产品及那么是不是采购了多的安全产品就安全呢？我们说不然。除了技术得分之外，我们还要考虑很多因素。依照组成安全要素来看我们会评估几块。
技术分很关键，但是还要通过人来落实。如何保证人能够有效的落实技术，我们会通过策略和流程以及相应的配备相当多的有组织结构的人员配备。所以我们的整体评估步骤或者要素会从几个方面去落实。第我们会从每一个大块中的子项里面得出相应的分数。大家可以看一下，我们要做得是按照这样的流程，安全PDCA（计划、执行、检查、调整）的流程。
第一块要找出我们方针的策略目的，就是客户希望达到什么样的安全等级。首先我们要知道客户主观的安全期望，就是我希望能够做到什么样子。随后，调查客户的网络客观现状。在你现在的情况下，我们现有的人员，现有的安全采购预案，以及现有的设备、防病毒解决方案，是不是能够达到你的期望，找到他们之间的差距。我们往往会发现，我们的期望和现状存在不小的差距。这个差距会带来一个问号，如何去弥补。这个才是一个评估的关键。我们要告诉他，怎么样去弥补这个差距，这才是评估结果所具有意义的地方。而不是说你需要采购某个解决方案，这个根本不能解决客户的实际问题。我们希望通过找到差距、差异来告诉客户，我们在评估之后，应该怎么做。
而且，由于我刚才说过的这种差距以及解决方案的实效性，它在一个固定的时间段可以解决很多问题，但是它可能在一个时间段之后没法应对新的威胁。所以这样一个评估会通过定期的更新。我们可以看到这张图标不是一个直线性进行的，而是通过一个圆循环，不断去沟通、发现。只有这样我们才会发现这个评估是有效的，实时的。否则很多客户买的评估是一年评估一次，往往在一个财年结束后做资产评估，后来发现现有的问题没有得到结果，新的问题又出现了。按照现有的方式再过一年又评估，这个间隔非常长，导致我们评估之后要做得事情非常多，最后变得人力资源不够，问题解决不了。往往最后只能通过非常疯狂的购买相应的解决方案来做。所以，与以往的评估弱点在于间隔时间长、实效性比较差，以及解决方案有相应的落差。