對于企業(yè)內(nèi)部安全來說，最重要一點就是對內(nèi)部數(shù)據(jù)的安全管控。也就是能夠有效地對企業(yè)內(nèi)部數(shù)據(jù)進行監(jiān)控、管理，知道是哪些人對哪些數(shù)據(jù)進行了怎樣的操作，并從中發(fā)現(xiàn)安全威脅和隱患。日前，筆者專訪了RSA中國區(qū)資深技術(shù)顧問馮崇彪先生，與其就法規(guī)遵從、企業(yè)內(nèi)控等業(yè)界趨勢話題進行了交流。

馮崇彪先生具有近20年的IT領(lǐng)域高級技術(shù)及管理經(jīng)驗。熟悉企業(yè)安全整體解決方案，精通以信息為核心的RSA安全整體解決方案。

安全審計保護企業(yè)內(nèi)部數(shù)據(jù)

企業(yè)內(nèi)部網(wǎng)絡(luò)，要核心保護的就是企業(yè)內(nèi)部數(shù)據(jù)的安全。保護數(shù)據(jù)安全的方法有許多，這里主要從審計的角度來談下如何保護數(shù)據(jù)安全。合規(guī)審計需要滿足內(nèi)部、外部兩方面的安全要求，也就是要滿足企業(yè)內(nèi)控的需求，以及外部審計的要求。具體而言，包括信息的安全保護以及IT審計。IT審計主要是基于整個數(shù)據(jù)的審計，重點在于日志審計和行為審計。通過對日志及行為的審計，能夠知道用戶都做過什么事情，并可以回溯。

現(xiàn)在各個行業(yè)都有安全審計的需求，審計日志涉及主機、網(wǎng)絡(luò)、應(yīng)用、存儲、安全、數(shù)據(jù)庫六大類日志。在許多情況下，這些日志都存放在各自的系統(tǒng)里，難于管理。對于用戶而言，他們希望能夠?qū)@些日志進行有效的統(tǒng)一管理、保證安全運維并滿足內(nèi)控和外部審計的要求。

企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境復(fù)雜，確保安全運維十分重要。當(dāng)有惡意入侵者冒充合法用戶登錄時，無論他進行任何操作都會在相應(yīng)日志里留下記錄。如果能將各個系統(tǒng)里惡意入侵者的日志記錄按照時間線順序關(guān)聯(lián)起來，就可以進行分析判斷，及時發(fā)現(xiàn)其是否有惡意行為。一旦發(fā)現(xiàn)其進行了非法操作，就可以定性為安全事件，發(fā)出警報，交由相關(guān)人員予以處理。這樣就防止了企業(yè)內(nèi)部數(shù)據(jù)遭受進一步的破壞。

比如某些證券相關(guān)企業(yè)，其審計工作主要是對投資者的登錄、交易、轉(zhuǎn)賬活動進行監(jiān)控和限制，如發(fā)現(xiàn)行為異常則予以記錄，并可以進行回溯，查找到底是誰做的事情，這樣就能做相應(yīng)取證工作了。

對于電信運營商，安全審計也極為重要，通過將企業(yè)防火墻日志與話單系統(tǒng)的關(guān)聯(lián)，可以迅速發(fā)現(xiàn)哪些人通過移動設(shè)備做了非法事情。

RSA中國區(qū)資深技術(shù)顧問馮崇彪告訴我們，RSA enVision解決方案所提供的技術(shù)手段，能夠幫助客戶快速把現(xiàn)有網(wǎng)絡(luò)里的設(shè)備日志集中起來，并在此基礎(chǔ)上保障安全運維，簡化合規(guī)審計。enVision提供了多種多樣的合規(guī)報表及關(guān)聯(lián)規(guī)則，可以幫助用戶快速滿足合規(guī)要求與內(nèi)控要求。安全運維則幫助用戶發(fā)覺安全隱患、發(fā)現(xiàn)安全事件，并及時發(fā)出警報。enVision還能將實時安全威脅事件轉(zhuǎn)換成可執(zhí)行的數(shù)據(jù)，即在發(fā)現(xiàn)安全威脅快速告警后，創(chuàng)建閉環(huán)的事件處理流程，優(yōu)化用戶網(wǎng)絡(luò)的運行。

馮崇彪特別提到，RSA enVision解決方案是非侵入式的可擴展予以部署？。也就是說，enVision無需理會任何網(wǎng)絡(luò)協(xié)議，不需要在用戶系統(tǒng)安裝任何軟件，僅需要用戶配置日志保存位置在enVision系統(tǒng)即可。而且，enVision在硬件上是可擴展的，系統(tǒng)自身的安全問題無需額外考慮。

為了形象說明，馮崇彪還舉出幾個典型例子：

1、惡意攻擊者冒充管理員，創(chuàng)建、刪除賬號，修改企業(yè)數(shù)據(jù)庫里的數(shù)據(jù)。在enVision的嚴(yán)密審查之下，通過對關(guān)聯(lián)日志的分析，能夠很快發(fā)現(xiàn)這一異常，發(fā)出告警，創(chuàng)建閉環(huán)，快速解決。

2、企業(yè)內(nèi)部數(shù)據(jù)安全管理方面，RSA enVision解決方案通過關(guān)聯(lián)多設(shè)備日志，能快速發(fā)現(xiàn)來自企業(yè)內(nèi)部及外部的威脅源頭。

3、企業(yè)VPN登錄方面，通過enVision分析用戶登錄日志及操作日志，可以發(fā)現(xiàn)其中的異常，發(fā)布安全警告。

另外，RSA enVision解決方案還可以幫助客戶做風(fēng)險監(jiān)控和合規(guī)報告。

持續(xù)建設(shè)的法規(guī)遵從

對于安全審計目前的需求，國內(nèi)與國外并不相同。國外方面，由于薩班斯、巴塞爾等法規(guī)的嚴(yán)厲要求，使得國外企業(yè)更注重合規(guī)審計。而國內(nèi)還沒有類似的強制性法規(guī)，這就使得國內(nèi)用戶更注重于安全運維。

而且，安全威脅一直處于變化發(fā)展過程中，現(xiàn)如今惡意入侵者更是形成了地下產(chǎn)業(yè)鏈。新互聯(lián)網(wǎng)時代的到來，使得網(wǎng)絡(luò)威脅呈現(xiàn)爆發(fā)式增長，安全威脅壓力愈發(fā)凸顯，國內(nèi)相關(guān)機構(gòu)逐步加強監(jiān)管，企業(yè)安全審計的重心不再僅僅局限于安全運維，合規(guī)審計的重要性也逐漸顯露出來。

由此可見，法規(guī)遵從是一個過程，需要逐步進行建設(shè)。

相對的安全性需要整體建設(shè)

“安全永遠(yuǎn)是相對的”，馮崇彪認(rèn)為，雖然安全技術(shù)在不斷進步，新的安全產(chǎn)品也在不斷推出，但惡意攻擊者總會跑到安全防護的前面，一旦防御體系顯露薄弱環(huán)節(jié)，惡意攻擊者就會趁虛而入。企業(yè)要想保護其數(shù)據(jù)安全，就需要整體的安全考慮，除了基礎(chǔ)安全防護外，需要建設(shè)更高層面的安全防御體系，比如安全信息事件管理、DLP（數(shù)據(jù)丟失防護）、基于風(fēng)險的認(rèn)證、交易監(jiān)控等等。在IT治理方面需要完整的IT治理工具，需要網(wǎng)絡(luò)監(jiān)控系統(tǒng)防范APT類攻擊。可以說，企業(yè)數(shù)據(jù)安全防護需要從原先點的防護，向面的安全防御轉(zhuǎn)變。