對(duì)于企業(yè)內(nèi)部安全來(lái)說，最重要一點(diǎn)就是對(duì)內(nèi)部數(shù)據(jù)的安全管控。也就是能夠有效地對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行監(jiān)控、管理，知道是哪些人對(duì)哪些數(shù)據(jù)進(jìn)行了怎樣的操作，并從中發(fā)現(xiàn)安全威脅和隱患。日前，筆者專訪了RSA中國(guó)區(qū)資深技術(shù)顧問馮崇彪先生，與其就法規(guī)遵從、企業(yè)內(nèi)控等業(yè)界趨勢(shì)話題進(jìn)行了交流。

馮崇彪先生具有近20年的IT領(lǐng)域高級(jí)技術(shù)及管理經(jīng)驗(yàn)。熟悉企業(yè)安全整體解決方案，精通以信息為核心的RSA安全整體解決方案。

安全審計(jì)保護(hù)企業(yè)內(nèi)部數(shù)據(jù)

企業(yè)內(nèi)部網(wǎng)絡(luò)，要核心保護(hù)的就是企業(yè)內(nèi)部數(shù)據(jù)的安全。保護(hù)數(shù)據(jù)安全的方法有許多，這里主要從審計(jì)的角度來(lái)談下如何保護(hù)數(shù)據(jù)安全。合規(guī)審計(jì)需要滿足內(nèi)部、外部?jī)煞矫娴陌踩螅簿褪且獫M足企業(yè)內(nèi)控的需求，以及外部審計(jì)的要求。具體而言，包括信息的安全保護(hù)以及IT審計(jì)。IT審計(jì)主要是基于整個(gè)數(shù)據(jù)的審計(jì)，重點(diǎn)在于日志審計(jì)和行為審計(jì)。通過對(duì)日志及行為的審計(jì)，能夠知道用戶都做過什么事情，并可以回溯。

現(xiàn)在各個(gè)行業(yè)都有安全審計(jì)的需求，審計(jì)日志涉及主機(jī)、網(wǎng)絡(luò)、應(yīng)用、存儲(chǔ)、安全、數(shù)據(jù)庫(kù)六大類日志。在許多情況下，這些日志都存放在各自的系統(tǒng)里，難于管理。對(duì)于用戶而言，他們希望能夠?qū)@些日志進(jìn)行有效的統(tǒng)一管理、保證安全運(yùn)維并滿足內(nèi)控和外部審計(jì)的要求。

企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境復(fù)雜，確保安全運(yùn)維十分重要。當(dāng)有惡意入侵者冒充合法用戶登錄時(shí)，無(wú)論他進(jìn)行任何操作都會(huì)在相應(yīng)日志里留下記錄。如果能將各個(gè)系統(tǒng)里惡意入侵者的日志記錄按照時(shí)間線順序關(guān)聯(lián)起來(lái)，就可以進(jìn)行分析判斷，及時(shí)發(fā)現(xiàn)其是否有惡意行為。一旦發(fā)現(xiàn)其進(jìn)行了非法操作，就可以定性為安全事件，發(fā)出警報(bào)，交由相關(guān)人員予以處理。這樣就防止了企業(yè)內(nèi)部數(shù)據(jù)遭受進(jìn)一步的破壞。

比如某些證券相關(guān)企業(yè)，其審計(jì)工作主要是對(duì)投資者的登錄、交易、轉(zhuǎn)賬活動(dòng)進(jìn)行監(jiān)控和限制，如發(fā)現(xiàn)行為異常則予以記錄，并可以進(jìn)行回溯，查找到底是誰(shuí)做的事情，這樣就能做相應(yīng)取證工作了。

對(duì)于電信運(yùn)營(yíng)商，安全審計(jì)也極為重要，通過將企業(yè)防火墻日志與話單系統(tǒng)的關(guān)聯(lián)，可以迅速發(fā)現(xiàn)哪些人通過移動(dòng)設(shè)備做了非法事情。

RSA中國(guó)區(qū)資深技術(shù)顧問馮崇彪告訴我們，RSA enVision解決方案所提供的技術(shù)手段，能夠幫助客戶快速把現(xiàn)有網(wǎng)絡(luò)里的設(shè)備日志集中起來(lái)，并在此基礎(chǔ)上保障安全運(yùn)維，簡(jiǎn)化合規(guī)審計(jì)。enVision提供了多種多樣的合規(guī)報(bào)表及關(guān)聯(lián)規(guī)則，可以幫助用戶快速滿足合規(guī)要求與內(nèi)控要求。安全運(yùn)維則幫助用戶發(fā)覺安全隱患、發(fā)現(xiàn)安全事件，并及時(shí)發(fā)出警報(bào)。enVision還能將實(shí)時(shí)安全威脅事件轉(zhuǎn)換成可執(zhí)行的數(shù)據(jù)，即在發(fā)現(xiàn)安全威脅快速告警后，創(chuàng)建閉環(huán)的事件處理流程，優(yōu)化用戶網(wǎng)絡(luò)的運(yùn)行。

馮崇彪特別提到，RSA enVision解決方案是非侵入式的可擴(kuò)展予以部署？。也就是說，enVision無(wú)需理會(huì)任何網(wǎng)絡(luò)協(xié)議，不需要在用戶系統(tǒng)安裝任何軟件，僅需要用戶配置日志保存位置在enVision系統(tǒng)即可。而且，enVision在硬件上是可擴(kuò)展的，系統(tǒng)自身的安全問題無(wú)需額外考慮。

為了形象說明，馮崇彪還舉出幾個(gè)典型例子：

1、惡意攻擊者冒充管理員，創(chuàng)建、刪除賬號(hào)，修改企業(yè)數(shù)據(jù)庫(kù)里的數(shù)據(jù)。在enVision的嚴(yán)密審查之下，通過對(duì)關(guān)聯(lián)日志的分析，能夠很快發(fā)現(xiàn)這一異常，發(fā)出告警，創(chuàng)建閉環(huán)，快速解決。

2、企業(yè)內(nèi)部數(shù)據(jù)安全管理方面，RSA enVision解決方案通過關(guān)聯(lián)多設(shè)備日志，能快速發(fā)現(xiàn)來(lái)自企業(yè)內(nèi)部及外部的威脅源頭。

3、企業(yè)VPN登錄方面，通過enVision分析用戶登錄日志及操作日志，可以發(fā)現(xiàn)其中的異常，發(fā)布安全警告。

另外，RSA enVision解決方案還可以幫助客戶做風(fēng)險(xiǎn)監(jiān)控和合規(guī)報(bào)告。

持續(xù)建設(shè)的法規(guī)遵從

對(duì)于安全審計(jì)目前的需求，國(guó)內(nèi)與國(guó)外并不相同。國(guó)外方面，由于薩班斯、巴塞爾等法規(guī)的嚴(yán)厲要求，使得國(guó)外企業(yè)更注重合規(guī)審計(jì)。而國(guó)內(nèi)還沒有類似的強(qiáng)制性法規(guī)，這就使得國(guó)內(nèi)用戶更注重于安全運(yùn)維。

而且，安全威脅一直處于變化發(fā)展過程中，現(xiàn)如今惡意入侵者更是形成了地下產(chǎn)業(yè)鏈。新互聯(lián)網(wǎng)時(shí)代的到來(lái)，使得網(wǎng)絡(luò)威脅呈現(xiàn)爆發(fā)式增長(zhǎng)，安全威脅壓力愈發(fā)凸顯，國(guó)內(nèi)相關(guān)機(jī)構(gòu)逐步加強(qiáng)監(jiān)管，企業(yè)安全審計(jì)的重心不再僅僅局限于安全運(yùn)維，合規(guī)審計(jì)的重要性也逐漸顯露出來(lái)。

由此可見，法規(guī)遵從是一個(gè)過程，需要逐步進(jìn)行建設(shè)。

相對(duì)的安全性需要整體建設(shè)

“安全永遠(yuǎn)是相對(duì)的”，馮崇彪認(rèn)為，雖然安全技術(shù)在不斷進(jìn)步，新的安全產(chǎn)品也在不斷推出，但惡意攻擊者總會(huì)跑到安全防護(hù)的前面，一旦防御體系顯露薄弱環(huán)節(jié)，惡意攻擊者就會(huì)趁虛而入。企業(yè)要想保護(hù)其數(shù)據(jù)安全，就需要整體的安全考慮，除了基礎(chǔ)安全防護(hù)外，需要建設(shè)更高層面的安全防御體系，比如安全信息事件管理、DLP（數(shù)據(jù)丟失防護(hù)）、基于風(fēng)險(xiǎn)的認(rèn)證、交易監(jiān)控等等。在IT治理方面需要完整的IT治理工具，需要網(wǎng)絡(luò)監(jiān)控系統(tǒng)防范APT類攻擊?？梢哉f，企業(yè)數(shù)據(jù)安全防護(hù)需要從原先點(diǎn)的防護(hù)，向面的安全防御轉(zhuǎn)變。