病毒的突发性与不可控,引发了“安全网络”需求,对网络安全性的重视也逐级升温。思科安全网络的框架中有不少可借鉴的思想,就此,本报独家采访了思科系统(中国)公司IT部门经理Greg 
Dixon先生,他
目前,防病毒软件种类繁多,而且越来越复杂。黑客的攻击也越来越频繁,或者一些恶意攻击也逐渐增多,我们需要在这种攻击下确保系统的安全,能够及早地测试、探测到攻击的企图。
过去,网络分界非常明晰,分为Intranet(内部网)、Extranet(外部网)、Internet(互联网)三部分,过去互联网只跟外部网发生关联,与企业内部网没有任何关系。随着电子商务日益频繁、不断地发展,企业内有一种迫切的需求出现,需要允许人们直接从互联网上访问公司内部网。由于网络界限已变得模糊,界限越是不清晰存在的危险性就越大。就安全网络的架构,记者和Greg先生进行了深入的交流。
信息安全部门独立运作
记者:思科公司的组织架构是如何设计的,谁在负责安全这项工作?
Greg: 思科系统公司成立了一个专门负责信息安全的部门,称为Info-Sec,整个部门大约有30人。它集中汇报工作给一个人,然后由这个人再汇报给负责整个公司运营的主管,但同时也“支线汇报(与直接汇报相区别)”给CIO。Info-Sec部门毫无疑问与技术有关系,虽然它与CIO有一定的关系,但不直接隶属CIO,是希望保持一定的独立性。因为每个系统的安全都由系统管理员负责,他有权对信息进行存储操作。我们不希望所有的权力都掌握在一个人手中,否则他可以进入所有的系统,存在安全隐患。而我们期望设计一种权限分散的架构,一个系统的安全由不同的人共同负责。Info Security作为独立的部门,它起到监督系统管理员的作用,它具有进入所有系统的权限,是一个负责监督所有管理者的部门。它负有更多的监督功能,它负责查看在系统上进行的数据交换的内容、时间以及谁在传送这些内容,而不是查看谁进入了这个系统。
记者:为什么这个部门直接向负责运营的主管汇报?
Greg: 最重要的原因是:Info-Sec这个部门有很多的职责,不局限于监督的功能。之所以由公司内负责运营的管理者承担,而不是由纯技术人员管理,目的就是为了保持其独立性。因为如果一个人除了负责技术之外还负责安全,他有可能会在某些时候做出妥协,或许他认为安全不是很重要。因为在发生冲突的时候,他必须做出决定或者达成某种妥协。而现在这种状态,它有充分的空间来管理、策划各个部门的安全蓝图;另外,Info-Sec部门还需要做些调查工作,而它所调查的部门有可能就是IT部门的人,所以还是需要独立的空间。
记者:部门内的成员(30人)是否有具体的分工?
Greg: 这个部门成长特别快,他们的职能也在不断地变化。我们现在希望有特别好的平衡,整个信息安全策略的设想是能照顾到不仅是密码的设置、系统的设置,而是兼顾很多方面。
记者:具体变化能否有事例说明,例如去年与今年的对比?
Greg: 部门业务、人员等三年翻了一倍。
记者:是什么因素导致了这种变化,需要不断地增加职位?
Greg: 最重要的原因,是对安全意识的加强,对安全的需求在不断增长,包括在思科公司内部也需要加强安全意识;另外,恶意攻击日益频繁,我们也需要根据实际情况加强自己的反攻击力量。例如我们公司的员工通过一种安全的检测、认证之后就可以从互联网访问到内部网。如果整个链条中有一个节点非常薄弱,那整个链条的强壮度就跟最弱的节点强度一样(类似于木桶理论),这对安全同样适用。安全有两个重要因素:第一,确保整个系统的一致性、统一性和完整性;第二,就是企业中的人。比如在美国我们有一个很好的安全系统,但在中国,由于中国的需求与国际的标准不同,那整个系统将会变得非常脆弱。例如思科有自己的产品IDS(入侵检测系统),这个系统放在了公司网络的很多节点上,确保公司的安全。我们公司还有一套安全系统CSA(Cisco Security Agent),由于我们的设备配置几乎都是一样的,所以在一个星期之内,这个软件就安装完毕,它可以非常迅速地对攻击进行检测和做出反应。
加强外部访问管理
记者:思科内部网络有35000个节点需要管理,是否也涉及思科的合作伙伴?
Greg: 对合作伙伴的安全管理,就是设定他们访问的区域,对于区域之外的环境是不允许进入的。另外网络层之外,应用层也有这样的策略,需要实现软件的统一性、规范化。在每一种应用之间都有软件防火墙,需要认证才能进入下一层。对于外部的人,由于每一层都有安全防护,他们想访问核心的数据是不容易的。
记者:他们能访问到哪一层?
Greg: 水平访问的控制比较容易实现,而垂直方向的访问就不太容易。不是说我们不让他访问,而是需要根据他自身的需求,确定他能访问哪一层,而且也要经过很严格的认证。对于某些用户,他也能访问我们的核心数据,例如订单等,最终还是看他自身的需求。我们采用了惟一的系统软件,而不是说谁的好,重要的就是惟一。例如我们的数据库就用Oracle,而我们的邮件系统也只有一个,避免发生冲突。在软件统一性的基础上,我们Web Server的安全重点在于及时更新,如果操作系统有潜在的漏洞就需要及时堵住,同时每个服务器需要及时更新,只要一个没有打补丁,病毒就会广泛传播。
记者:思科公司如何管理自己的服务器?
Greg: 我们的服务器放在一起,进行统一管理。数据中心(数据、财务)在美国,每一个国家有一个呼叫中心,中国就以北京作为中心。另外,也有一些合作伙伴的网络与我们相连,但都设置了防火墙。目前,由于部署内部、外部和互联网这种模式比较昂贵,而且现在多数应用虚拟的概念,在物理上很难区分这个层次,而且物理上划分也非常麻烦。现在的状况就是在逻辑上可以进行区分,在网络结构上差别比较模糊。
记者:有多少个合作伙伴的网络连接到思科的网络。
Greg: 这个情况太复杂了,不只是合作伙伴的问题,很难说清楚具体的数量。但可以设置安全的通道(Tunnel)来与我们连接,中国可能就有二三十家能够访问我们。
重视安全网络技术
记者:在安全网络中,哪些技术比较重要?
Greg: IDS、控制管理是非常重要的,Info-Sec部门要求公司内部员工做正确的事情,而且要有保证。另外应用层的内部控制,我们有一个认证的技术——令牌、一次性口令。不是所有的人都需要认证,只是涉及跟应用相关的人。再有还是强调统一性,如果利用同样的认证方式、软件、协议,非常方便管理。我们的防火墙本身就有防病毒的功能,在E-mail服务器里也有,层层关卡监测病毒。
记者:这样部署成本会很高,怎样考虑?
Greg: 由于量比较大就会有一个折扣。例如在防火墙这层全球有8个网关,在E-mail和PC上有很多,因为量很大就会有折扣。全球统一用一个品牌的系统,防火墙上是统一的,E-mail服务器上、PC上也分别是统一的。因为用一个品牌可以保证经销商更新软件时的全球同步。因为补丁总是伴随着病毒出现,也只有病毒发作之后才推出补丁,对于我们来说关键就是这个时间差,时间长短决定受侵害的程度。而使用统一的软件可以保证在病毒发作后的第一时间自动地得到补丁。由于病毒发作与推出补丁之间的时间永远不可能是零,在这个间隙思科就利用CSA软件。CSA软件装进系统之后,它不知道什么是病毒,但它会把一些没有预定义或者带有攻击性的软件进行屏蔽,虽然对用户有些打扰(有时会弹出窗口,让你进行选择。),目前也不是最优的方式,但仍不失为一个好的预警措施。
记者:CSA与防病毒软件有何区别?
Greg: 最大的区别是CSA可以监视一些非正常的行为,例如可以监测到非法修改注册表的动作;而防病毒软件是侦侧已知的非法行为。其实二者可以相互补充,互为应用。CSA目前也是一个正在推广的产品,也就此正在和一些合作伙伴进行合作。
记者:如果PC系统因为某些原因没有得到及时更新,如何管理?
Greg: 如果员工的系统在第一时间没有得到自动更新,在他下次连接到网络的时候,系统会自动实施更新,这一功能是防病毒厂商提供的。另外我们对防病毒软件的更新也实行一定质量的控制,先要在分步服务器上进行验证,需要1个小时,然后才放到服务器上让员工进行更新。
记者:如果员工的机器在其他地方染毒,如何处理?
Greg: 我举一个自己的例子,上周我得到系统管理员的通知:我的机器染毒,但自己不知道;过了一会儿,又有一个本地的技术工程师提示我,你的机器上的病毒已经被清除了,这项工作也是在我不知情的情况下完成的。由于现在的病毒衍变非常迅速,而且似乎是不可阻挡的,在你觉察之前已经侵害了你的系统。CSA像是一个防火墙,对个人PC起到保护的作用。
利用各种方式加强安全意识
记者:安全小组如何保证员工执行这些安全策略?
Greg: 人的活动在安全网络中是关键因素,这也是我此前提到的。其实技术本身没有安全与否的区分,关键是人。不是说我们不信任我们的员工,而是在有些时候员工不知道。处理这个问题,思科有一个策略:相信员工是第一位的,第二就是很多时候需要提醒员工。
记者:在安全策略上,公司是不是需要加强宣传?
Greg: 举个例子说明,在密码管理上,要求员工在设置密码时必须将数字和字母混合使用;一个密码使用期限不能超过3个月;以前用过的密码不能再用,这些都是强迫性的手段,提醒员工加强安全意识;另外也通过沟通宣传的手段提高大家的意识,譬如通过E-mail的提醒、高层(钱伯斯)或者我们人力资源主管的提醒,利用多种手段达到相同的目的;再有,Info-Sec这个部门还有自己的一个网站,上面专门存放公司这方面所有的政策、流程等。如果员工需要将家中的网络连接到公司,就必须熟悉公司的规定,并按照一定方式进行连接,以确保此连接不会出现什么安全问题,不会给公司带来任何的隐患;还有,思科有一个电子学习的平台,平时会有一些强制性学习的任务,包括关于各个方面的问题,你必须在正确回答问题之后才能通过,而且公司会有统计,记录哪些员工通过,哪些没有通过,类似于考试,这也是一个手段。
记者:这种策略要求每个员工都学习与认识,但如果员工就是没有学,怎么处理?
Greg: 除了Info-Sec制定的这些策略,还有一个监控部门,所有通过防火墙的流量都是被监控的,所有的E-mail都是被查看的,如果有违规的内容,我们都可以发现。如果性质严重,就构成犯罪,会被公司辞退。
记者:监控部门大概有多少人?
Greg: 他们非常低调,从来不做宣传,人数不大清楚。
记者:他们不向你进行汇报吗?
Greg: 他们不是Info-Sec部门的人,是隶属另外一个部门。
记者:这种策略很复杂吗?
Greg:我认为不是很复杂,因为我们的哲学是:简单的就是好的。
记者:如果由于做了不恰当的事而被辞退,这样的消息在公司会公布吗?
Greg: 一般不会公布,如果行为很严重或者具有恶劣影响的,此时我们的管理人员就会发通知。例如去年有员工通过点对点的软件下载非法音乐,这样的做法就是不合适的,我们也进行了提示。另外,思科对员工操守的要求还是非常高的,企业文化上对职业操守有明确的要求。这是完全超越安全的范畴,要求员工必须去学习和了解,包括各种制度等,而且需要上网学习,并点击进入以表示你曾经学习过,这些都会有记录,如果你明知故犯就会比较被动了。思科认为竞争是好的,关键是需要公平的竞争,如果思科发现公司的信息传送给竞争对手,这些都是公司不允许的。
重视前期安全投入
记者:思科在信息安全上的投入大概占公司每年总投入的百分比是多少?
Greg: 这是个非常好的问题,但同时是一个非常难以回答的问题。因为我们的安全是无处不在的,是一个植入性的工程,例如我们的IOS里面也有安全的考虑。在公司每一个层面、每一个环节上都会有安全的花费,如果要匡算的话,大概是15%。安全的花费处在一个不断升级、不断增加的状态。例如现在我们要加密我们所有无线入网的功能,本身就需要花费,再有IP电话也需要认证,这也是安全的费用,因此安全的花费是在不断增长的。我们的无线认证协议(802.1x)保证了无线网络的安全,下一步在有线局域网上也需要实施,这就是花费。
记者:新的病毒出现时,我们的系统如何应对?
Greg: 至少我们没有受到任何影响,因为我们都是标准、统一的应用,不需要很多人去操作,只要有一个人立刻更新防病毒软件,整个公司就安全了。虽然说部署这套系统时需要花很多的钱,但后期的维护费用却是经济的,而且保证业务只受到最小的影响。
我们还有一个职位是网络执勤工程师,他们的工作模式是跟着太阳走,24小时实时监控网络的状况,在新病毒出现时,可以及时发现并发出预警;另外我们还有一个企业管理(Enterprise Management)的系统,当出现异常状况时,同样会发出警示,根据病毒的来源交给其他负责部门处理。由于这个系统具有很强的客户定制性,需要根据不同公司进行开发;再有还是强调统一性,我们的设备,从防火墙到个人PC,都实行了统一标准,例如我们新员工的PC都是IT部门进行安装的,非常统一,细化到硬盘的每个分区、每个目录下放置什么都会交待清楚。
记者:企业网中最不容易经受的考验是什么?
Greg: 最难的是大家把安全当作一种成本,是一种花销。但如果你不考虑安全的话,日后将会有更大的花销。其实,中国的企业是有优势的。例如国外有几十年历史的公司,它必然有很强的传承性,有可能就会成为拖累。思科之所以少受负累,是因为思科是很年轻的公司,我们关注的都是IT,相对受制约比较少,但是很多其他公司在技术上受很多的制约。而中国国内的企业在基础架构上投资比较少,它是一张白纸,可以全新地去做,这是个很好的前提。另外技术本身很关键的一点在于如何管理这些技术。管理说起来很容易,做起来很难。例如思科的平台,最关键的就是标准化平台,实现它是非常困难的,毕竟每个工程师都会有自己的喜好,这些就需要时间和策略。国内的企业有优势,但需要解决管理这些技术的难题。最大的问题是PC(Personal Computer),在实现标准化的情况下不会给公司带来影响。
结束了访谈,体会了安全网络的精髓还是在于人和最初设计的理念,对于一个公司而言,需要设计并制定符合自己的安全策略,并依靠有效的方式、方法来执行这些策略,并在平时进行合理有效地监督、监控,确保策略被有效地实施。
