信息中心
管人有術的NBA
不同于傳統網絡安全技術,NBA基于心理學、 行為偏差分析等原理, 以其獨有的方式開啟企業內網安全的另一扇大門。
”網絡又被堵住了,是誰又在單位下載電影?這已經是本月第七次出現此狀況了!“味千集團CIO王芳興憤怒地抱怨道。
原來近幾個月味千集團的網速異常的慢,有時甚至連郵件都發不出去,不僅公司正常業務受到阻礙,甚至連味千的老板都無法正常上網。王芳興帶領員工多次進行檢查,但都無濟于事。雖然王芳興很快就發現公司內部有人用電驢、BT、P2P等工具下載電影,或者在線觀看視頻,占用大量帶寬資源,但是由于應用動態IP地址,根本無法查出”幕后兇手“。
沒辦法,王芳興只能帶領工作人員在公司內部挨個排查所有電腦,恰巧發現一些員工正在應用下載工具以及瀏覽一些存在安全隱患的網站。王芳興本應對這些員工進行批評教育,可結果卻相反。員工卻振振有詞稱下載的資料是與工作有關,再加上王芳興并沒有什么確鑿的證據說明這些行為與工作無關。無奈之下,王芳興只能用傳統手段加強網絡安全,并制定規則要求員工上班時間嚴禁使用各種下載工具。
同樣,北京東方中科集成科技有限公司IT經理金春姬也遇到和王芳興一樣的問題。金春姬告訴我們:”過去我們經常把目光關注到企業的外網,但現在發現更多安全隱患來自企業的內網。經常由于員工操作不當,引起整個網絡大面積中毒,但我們卻無法迅速、準確地找到病毒源,找到確實中毒的機器,使得病毒很快擴散到整個網絡。“
近日,金春姬通過對內網的檢測,發現很多員工都在上開心網,且該網站頗為流行。雖然經常看到員工在上班時間進行一些與工作無關的網上活動,雖多次強調此問題,但并沒有什么有效的方法解決此問題。
究竟如何才能在不侵犯員工隱私的情況下有效監控其上網行為,杜絕上述問題,金春姬和王芳興都頗為頭痛。
過去企業一直認為網絡的安全威脅通常來自于外網,企業也把安全威脅投向外網安全,就像”修城墻“一樣,不斷加高、加厚。但是很多的安全事實顯示,越來越多的安全威脅來自內網。而傳統的防火墻、反病毒軟件、內容過濾器和驗證系統等常規的安全工具,越來越無法迅速識別及挫敗越來越狡猾的威脅。2007年,第12屆計算機安全學院有關計算機犯罪和安全的調查結果顯示,(注:這項調查由美國494位安全專家投票參與)每一年與計算機安全相關的平均損失由2006年的168萬美元增加到2007年的350萬美元。
美國安全培訓與研究機構SANS在2008年年中發布的一份報告中,列出了2008年的十大網絡安全威脅,其中內部襲擊者所帶來的威脅位列第五。如何有效管理內網成為網絡安全的重點。
企業的內網錯綜復雜,數據的價值也也越來越高。不同數據信息在網絡上游走,好像身體的血液一樣,一旦這些信息遭到破壞,后果不堪設想。企業要想確保自己網絡系統的安全,關鍵的一點是知道企業內部的數據,究竟是些什么樣的行為。網絡行為分析(NetworkBehaviorAnalysis,簡稱NBA)就是能夠幫助CIO分析員工的網上行為,幫助CIO做出判斷,使企業分辨這些安全威脅并采取措施。它結合了基于網絡流的異常檢測和網絡性能監控,可用來管理網絡及安全。它不同于傳統流量識別系統,NBA能夠檢查流量的行為,而不是檢查流量是什么模樣。NBA通過對類似IP流量系統進行分析,或者分包分析這樣的網絡設備所搜集到的數據,從而對整個網絡的流量進行分析。通過利用行為偏差分析和異常檢測,如果網絡內有任何可疑的行為,它們會向IT人員發出警報。它還幫助CIO具備了對整個網絡行為的觀察能力,以便CIO在出現其他狀況前能夠對潛在的威脅及時做出反應。
為了確保內網安全以及有效管理員工的上網行為,金春姬計劃購買NBA軟件。對于這一舉措,東方中科集成科技有限公司的總經理也認同金春姬的做法,希望借助NBA能夠監控員工行為,避免帶寬資源的浪費,提高工作效率。而對于該技術的應用,金春姬有著自己的想法:首先一些員工經常會在無意識的情況下瀏覽不安全的網站,給企業內網安全帶來隱患。其次,員工經常用各種下載工具占用帶寬資源,如電驢、BT、P2P等。再次,可以控制員工上班時間做一些與工作無關的內容,如炒股、上開心網、在線視頻等。第四,便于內網管理,通過NBA的流量分析,可以很好地了解流量分布周期,積累一些歷史數據,為日后擴容做鋪墊。
對于味千集團,王芳興很早就開始做這方面的工作。最初,王芳興應用ISA對網絡做一些分析,但是發現ISA有很大的局限性。它需要專員設置開發,并且由專人進行分析,如果不是和企業數據庫結合在一起,ISA只能告訴你某員工經常瀏覽的前10個網站,至于后面的信息就沒有。而且網站信息只有IP地址,需要專員做一次翻譯才能看到究竟是什么網站。對于上網的用戶,也只能找到IP地址,而現今很多企業IP地址動態分配,就很難找到具體人員。此外,ISA無法做流量分析,就是應用程序占了多少流量、電郵占用多少流量、上傳下載占用多少流量等,都沒有直觀的數據分門別類地顯示出來。雖然王芳興有對內網監控的想法,卻沒有有效的工具來實現。”現在有了NBA,對于員工上網行為的監測,變得輕松多了。“王芳興談道。雖然NBA可以有效監控員工行為,但是員工會有抵觸情緒,為了很好解決此問題,王芳興有著自己的一套策略。據王芳興介紹,”很多公司都會禁止使用MSN、QQ等聊天工具,認為會影響工作效率,但同時我們也應看到它對工作也是有幫助的。方便員工溝通交流,可以省去電話溝通、發郵件的成本。“
于是,王芳興借助VPN在公司內部建立一個統一通訊平臺,員工內部溝通可以使用MSN、QQ等聊天工具,而對于外網溝通會單獨開設機器。王芳興始終強調:”關鍵在管理中如何對員工正常的行為和不正常的行為進行有效疏導。“過去網絡資源經常會被員工觀看在線視頻、使用BT、電驢、P2P等工具占用,但有時實際業務中一些員工也需要傳輸大型文件、下載大量資料。為了確保業務的正常運行,王芳興專門建立一個平臺,供員工傳輸大型文件。這樣一來,通過NBA既有效杜絕了帶寬資源的浪費,又確保了業務不受影響。
對于內網安全,王芳興認為:”外部攻擊隨著VPN的普及,如果不是‘高手’一般進不來。更多的是因為用戶的操作不當造成安全隱患,從網絡安全角度來看應當全民皆兵。“雖然我們應用NBA對員工行為進行檢測,但是從內部很難判斷員工行為究竟是否與工作相關。王芳興會對員工經常瀏覽的網站進行分析,發現最近開心網點擊率很高,該網站和實際工作并不相關,就會禁止員工瀏覽該網站。利用NBA王芳興也會對員工下載行為進行分析。IT人員通過日常維修發現經常中毒的電腦;并通過賽門鐵克殺毒軟件的日志功能,了解員工導致電腦中毒的行為;并對其網絡行為進行分析,找出真正原因。
”在這個過程中,我們要清楚地告訴員工,我們不是為了監控他的隱私,而是由于他的操作行為可能造成了整個公司內網存在安全隱患。“王芳興認為,這是實施NBA的關鍵一點。同時,通過NBA對于員工上網行為會有直觀的分析數據,清楚了解員工的上網行為。例如:內部網絡突然大面積中毒,但是由于IP地址動態分布無法查出病毒源,而借助NBA可以提供直觀的數據,分析出具體中毒機器,并且迅速查找出中毒原因。雖然應用傳統手段也能了解員工上網行為,但員工經常會以工作為由表明這些行為是合理的,而IT人員又無法提出客觀的數據表明事實并非如此。通過NBA可以為CIO提供客觀的數據,清楚分析出員工上網行為,更具說服力。
與此同時,王芳興在內部制定相關的安全策略,要求所有計算機不允許員工自己去裝任何軟件,尤其是木馬、蠕蟲這樣的病毒,從而使中毒概率小很多。同時IT部門及時對員工的殺毒軟件及時更新,直到目前味千都沒有出現大規模的病毒事件。
談到內網的安全,網康科技CEO袁沈鋼解釋道:”相對于外網安全來說,內網安全似乎更為復雜,外網由于渠道單一,確保外網安全最簡單的做法就是拔掉網線。而內網安全渠道多樣性,規則實施、管理規范都較難,成功經驗也較少。“
對于內網安全,袁沈鋼建議應當從主要兩方面著手。第一從網絡主體入手,對網絡、機器、軟件、數據、人員采取各種安全措施。第二,從業務流、業務量來管理,雖然公司內部有很多主體,但這些主體都被業務流串聯起來,都與業務流程發生關系。因此,企業內網的安全主要是通過業務流將網絡主體結合在一起,形成橫向的網絡主體、縱向業務流的交叉的立體網絡。
Gartner公司認為,某些具有危害的行為可能經常會被傳統的安全策略以及安全技術所漏過,比如IDS、IPS、防火墻、安全信息以及事件管理系統。這些傳統的安全技術只能檢測到所對應的特定行為,而NBA則能檢測到被這些技術所疏漏的行為。
對此,金春姬認為:”NBA更多的是一種集中控制的軟件,傳統安全技術好比病人吃藥打針,雖然不能從根本上解決問題,但治不好也吃不死。而NBA可以從根本上杜絕病毒源,從早期預防,通過各種限制來提高網絡的‘健康指數’。“NBA產品實際上屬于幫助決策的系統,因為它能夠幫助經驗豐富的IT人員了解大量可疑的網絡行為,并對其做出反應。一些有經驗的技術人員可以使用這一技術來定位諸如蠕蟲、未授權協議以及可疑連接等安全威脅。由于NBA給予了技術人員附加的保護層,因此,Gatner建議企業應該應用該技術,并將其作為復雜安全策略中的一部分,以保護企業網絡的安全。
”從企業成本來看,帶寬資源被員工不當的網絡行為所浪費,同時也浪費了工作時間,帶來工作效率的下降。企業更需要有這樣一種軟件能夠有效監管員工上網行為,管理上的需求帶動了NBA技術的出現。“國家信息中心信息安全研究與服務中心主任吳亞非談道。同時吳主任還指出:網絡安全從一開始就應當從外網、內網同時入手,但企業受到一些安全廠商的誤導,只關注外網安全,造成花了很多錢卻沒解決問題。
NBA是一個管理角色大于技術角色的軟件,它在應用時應當體現公司的管理思路,它的功能設置應當以企業管理目標為依據。它是體現公司管理理念、延續公司內部控制和管理文化的工具。只有公司認為有必要對員工的行為進行管理,且這種方式已經成為公司文化的一部分時,NBA的實現才具備可能。
金春姬談到:”最初應用NBA時,我希望能夠借助它來控制公司內部員工隨意下載、檢測流量、限制娛樂內容,這是我最初的目標。后來發現它還有其他功能,也可以作為安全手段的補充。但前提是你要有明確的管理目標。“NBA表面上看起來是一個安全工具,實際上它涉及到公司治理,涉及到公司的治理文化、內控文化。網絡行為檢測是IT治理的一部分內容,如果公司從前沒有任何有關員工行為的限制制度,突然應用NBA,員工會有很大抵觸情緒。相反,如果公司一開始就建立這種文化,即便使用新的技術,員工也易于接受。
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄