警惕IT工具帶來的虛假安全感

申請免費(fèi)試用、咨詢電話：400-8352-114

你認(rèn)為自己手中掌管的IT系統(tǒng)能夠符合企業(yè)安全政策的要求嗎？你是不是對它胸有成竹，以至于覺得審計(jì)工作根本沒有必要呢？不過，大多數(shù)人可沒那么大的口氣。在進(jìn)行的2008年戰(zhàn)略安全調(diào)研中，63%的受訪者表示，他們所在的組織機(jī)構(gòu)會(huì)受到政府或行業(yè)法規(guī)的監(jiān)管，對他們而言，合規(guī)問題可不是什么無足輕重的小事。

確保合規(guī)的關(guān)鍵是通過活動(dòng)目錄（Active Directory）之類的系統(tǒng)來實(shí)施企業(yè)政策，可問題是，一旦你設(shè)置好各種規(guī)則，要確保這它們始終保持有效就不那么容易了。IT技術(shù)的日新月異，意味著基礎(chǔ)設(shè)施的變更速度經(jīng)常超過了IT管理人員應(yīng)對變化的能力，這導(dǎo)致企業(yè)的“官方”政策與現(xiàn)實(shí)脫節(jié)。本來系統(tǒng)就缺乏能見度，如果再往系統(tǒng)里增加一些遠(yuǎn)程員工和分支辦事處的話，這對系統(tǒng)管理員來說無疑是一場噩夢。

讓系統(tǒng)回歸正軌的第一步，是根據(jù)監(jiān)管法規(guī)的要求制定相應(yīng)的安全政策，然后部署活動(dòng)目錄組策略，以進(jìn)行企業(yè)政策的配置，這可絕非易事。這個(gè)步驟完成后，IT管理人員還得證明政策合規(guī)，因?yàn)橹煌瓿赡切┍匾脑O(shè)置是不夠的，審計(jì)人員期望你能夠證明相關(guān)規(guī)則都得到了正確應(yīng)用。

廠商們自稱新出爐的活動(dòng)目錄合規(guī)工具能夠評測安全政策的有效性，為IT系統(tǒng)和公司業(yè)務(wù)創(chuàng)造價(jià)值。那些配置不當(dāng)?shù)脑O(shè)備容易產(chǎn)生安全問題，數(shù)據(jù)漏洞會(huì)被外來入侵者利用或被內(nèi)部員工濫用。在所有的工作站中，采用非標(biāo)準(zhǔn)配置的工作站雖然相對比例較小，但它們往往會(huì)引來層出不窮的病毒和間諜軟件問題。

如果某種工具軟件自稱能在降低合規(guī)成本的同時(shí)，顯著地提高系統(tǒng)安全性，那么它必須給出讓人信服的理由。在大多數(shù)合規(guī)軟件的宣傳廣告中，都存在不同程度的水分，因此要弄清楚它們的真正價(jià)值確實(shí)也有難度。不過，無論如何，企業(yè)都應(yīng)當(dāng)盡量避免為系統(tǒng)添置名不副實(shí)、雞肋式的單點(diǎn)工具。

當(dāng)然，我并非是說這些工具一無是處。但值得警惕的是，它們雖然不能給系統(tǒng)帶來實(shí)質(zhì)性的改善，但卻能讓你感受到某種虛假的安全感，所以你得看清這些陷阱。在決定購買某些工具之前，你最好先打好安全政策框架的基礎(chǔ)，并且充分利用現(xiàn)有的功能。

暢銷軟件

在廣闊的企業(yè)治理、風(fēng)險(xiǎn)管理和合規(guī)性（GRC）軟件市場中，活動(dòng)目錄政策審計(jì)工具可算得上是個(gè)利基市場（niche）。從供應(yīng)商的角度來看，GRC產(chǎn)品已經(jīng)成為穩(wěn)定的營收增長源之一，而且相對來說它很少受到惡劣的經(jīng)濟(jì)氣候造成的預(yù)算削減影響。有鑒于此，供應(yīng)商們進(jìn)一步強(qiáng)化相關(guān)的產(chǎn)品，并將現(xiàn)有產(chǎn)品重新包裝后美其名曰“合規(guī)解決方案”也就不足為奇了。不幸的是，這個(gè)細(xì)分市場仍在不斷進(jìn)化中，開發(fā)者們爭先恐后與最新技術(shù)保持同步。由于這些產(chǎn)品的功能差別較大，沒有哪兩種產(chǎn)品是一模一樣的，所以要對它們進(jìn)行比較有點(diǎn)困難。

針對在整個(gè)企業(yè)內(nèi)部滿足合規(guī)要求的目標(biāo)，冠群電腦公司（CA）、國際商業(yè)機(jī)器公司（IBM）、網(wǎng)威公司（Novell）、太陽微系統(tǒng)公司(Sun Microsystems)和賽門鐵克公司（Symantec）等大型廠商都推出了功能眾多的軟件套件，不過，它們并不一定都能處理組策略問題。有些軟件套件干脆將組策略管理丟給本地工具去處理，而那些包括某種端點(diǎn)政策審計(jì)功能的套件往往又缺乏足夠的深度。規(guī)模較小的廠商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些專門針對活動(dòng)目錄的工具，在組策略管理方面這些工具往往具備更全面的功能。

我們的觀點(diǎn)是：如果你所在的企業(yè)是個(gè)環(huán)境復(fù)雜的龐大機(jī)構(gòu)，那么還是購買功能全面的軟件套件為宜，因?yàn)檫@樣可以減少所需采購的產(chǎn)品種類。但即便如此，你還是得在薄弱環(huán)節(jié)進(jìn)行適當(dāng)補(bǔ)充。如果你只是想填補(bǔ)一下組策略的合規(guī)漏洞，那采用單點(diǎn)工具就會(huì)更加合算。

合理選擇

正如那些大型廠商所承認(rèn)的那樣，微軟公司（Microsoft，下稱微軟）的活動(dòng)目錄里已經(jīng)內(nèi)置了集中管理端點(diǎn)（endpoint）的功能。那么，為什么不能使用組策略這種活動(dòng)目錄自帶的政策和配置管理工具來達(dá)到合規(guī)的目的呢？

組策略無疑是部署企業(yè)政策設(shè)置的強(qiáng)大工具，它的用戶界面簡便易用，還擁有數(shù)以千計(jì)的選項(xiàng)可供用戶自定義設(shè)置，并且伴隨著微軟每個(gè)新操作系統(tǒng)的發(fā)布，組策略都會(huì)增加數(shù)以百計(jì)的附加設(shè)置選項(xiàng)。組策略使用的底層技術(shù)相當(dāng)強(qiáng)大，IT管理人員自定義的控制選項(xiàng)可以用來監(jiān)控用戶和各種設(shè)備，并且能夠定期刷新。

然而，有些問題可能會(huì)影響組策略的正常運(yùn)作，比如說，有時(shí)候本地安全政策文件會(huì)由于非人為的原因遭到損壞，而有時(shí)候某些想要規(guī)避管制的人則會(huì)蓄意破壞這些文件。雖然這些事件都會(huì)被記錄在本地終端或服務(wù)器上，但除非你收集日志進(jìn)行集中分析，找出問題所在，否則即便是IT管理人員也會(huì)對情況一無所知。此外，事件日志只在檢測應(yīng)用程序問題時(shí)有用，在驗(yàn)證控制選項(xiàng)設(shè)置或報(bào)告系統(tǒng)缺陷方面它們無能為力。

復(fù)雜性也是值得關(guān)注的問題。當(dāng)政策數(shù)量增加時(shí)，人們很容易在配置時(shí)出錯(cuò)，有時(shí)是規(guī)則本身設(shè)置錯(cuò)誤，有時(shí)是在定義多級政策時(shí)，在規(guī)定優(yōu)先級順序和從屬關(guān)系方面出錯(cuò)。

安全審計(jì)廠商紅旋公司（Redspin）的首席執(zhí)行官（CEO）約翰·亞伯拉罕（John Abraham）解釋說：“你還記得家庭中常用的雙聯(lián)開關(guān)嗎？人們用兩個(gè)開關(guān)控制同一盞燈，一個(gè)開關(guān)總是處于‘關(guān)’的狀態(tài)，而另一個(gè)則總是處于‘開’的狀態(tài)。如果你開燈時(shí)按那個(gè)顯示為‘開’的開關(guān)，那么這個(gè)開關(guān)將變?yōu)椤P(guān)’的狀態(tài)，而燈卻是亮著的，這會(huì)讓你感到有些古怪?；顒?dòng)目錄中組策略設(shè)置的問題類似而且更為嚴(yán)重，因?yàn)槟抢镉谐砂偕锨У摹_關(guān)’。你怎么能確定某個(gè)‘燈’究竟是不是開著的呢？”

如果你還想讓企業(yè)政策包括一些非微軟應(yīng)用程序的設(shè)置，那可謂是雪上加霜，讓事情更麻煩了。大多數(shù)企業(yè)仍然在運(yùn)行Windows 2003版本的組策略，對這個(gè)版本而言，如果IT管理人員不開發(fā)管理模板的話，那就很難自定義注冊表的設(shè)置。

Windows 2008帶來了人們期盼已久的一些功能，其中最重要的就是組策略首選項(xiàng)（Group Policy Preferences，GPP）。GPP增加了更多的配置選項(xiàng)，并且對舊版本的一些缺陷進(jìn)行了彌補(bǔ)，比如說，不創(chuàng)建自定義管理模板就無法管理注冊表設(shè)置的問題。微軟在GPP中運(yùn)用了從桌面標(biāo)準(zhǔn)公司（DesktopStandard）獲得的政策制定技術(shù)（PolicyMaker）。桌面標(biāo)準(zhǔn)公司過去曾是組策略擴(kuò)展工具市場的領(lǐng)頭羊，2006年年底被微軟收購。謝天謝地，政策制定技術(shù)的強(qiáng)大功能被完好無損地保留了下來，比如說，強(qiáng)化的預(yù)設(shè)值功能可以解決困擾IT管理人員的一些問題，像本地賬戶密碼、電源選項(xiàng)、打印機(jī)、驅(qū)動(dòng)器映射以及環(huán)境變量等。GPP最大的優(yōu)點(diǎn)是完全免費(fèi)，而且你不需要將活動(dòng)目錄域升級到Windows 2008版本就能夠使用它。

你只需要一臺(tái)安裝了Windows 2008的服務(wù)器或者安裝了Vista的工作站、遠(yuǎn)程服務(wù)器管理工具包（Remote Server Administration Toolkit），并在現(xiàn)有機(jī)器上部署一個(gè)小小的客戶端更新程序。

微軟推出的另一工具高級組策略管理（Advanced Group Policy Management，AGPM）功能更為強(qiáng)大，它具備變更管理（change management）、回滾（rollback）以及改進(jìn)過的報(bào)表功能。AGPM是由桌面標(biāo)準(zhǔn)公司的另一產(chǎn)品GPOVault移植而來。不幸的是，微軟已經(jīng)將工具作為了Vista的賣點(diǎn)之一，目前企業(yè)要得到AGPM的唯一辦法，就是參加微軟軟件保障服務(wù)（Software Assurance），獲得微軟桌面優(yōu)化軟件包（Microsoft Desktop Optimization Pack）。如果你能滿足授權(quán)要求，我們強(qiáng)烈建議你充分利用AGPM。

在某些關(guān)鍵領(lǐng)域，即使是這些新的組策略工具也無能為力，比如審計(jì)、端點(diǎn)驗(yàn)證以及對非活動(dòng)目錄電腦的支持。要管理那些零星散布于各處的工作站（如經(jīng)常出差的銷售人員或在家上班的VPN用戶等）也非常困難，因?yàn)樵O(shè)置并不總能在每一臺(tái)工作站上及時(shí)更新。那些組策略工具的報(bào)表功能僅限于單獨(dú)的工作站，而且針對每個(gè)設(shè)備都必須手動(dòng)生成報(bào)表。

因此，我們得出的結(jié)論是：組策略可以成為實(shí)現(xiàn)合規(guī)的強(qiáng)大武器之一，但它并不能解決所有的問題。

工具為用，風(fēng)險(xiǎn)為根

市場上活動(dòng)目錄策略合規(guī)工具越來越多，對IT管理人員而言，有效管理多種工具已經(jīng)成為一項(xiàng)挑戰(zhàn)。紅旋公司的首席技術(shù)官 （CTO）布賴恩·海耶斯（Brian Hayes）說，有些IT部門購買了太多的監(jiān)測和報(bào)告工具，但他們實(shí)際上根本管理不了這么多東西。他說：“有時(shí)候擁有太多的工具反而會(huì)過猶不及?！?/P>

上述問題的解決方案是用風(fēng)險(xiǎn)管理原則指導(dǎo)采購，用結(jié)構(gòu)化的風(fēng)險(xiǎn)管理策略來決定是否部署某種新工具。IT管理人員經(jīng)常碰到的一個(gè)問題是“點(diǎn)產(chǎn)品超負(fù)荷綜合癥”，他們身處無數(shù)控制臺(tái)工具組成的迷宮中，雜亂無章工具功能重疊冗余無法有效整合。因此，管理員首先得搞清楚某種新工具是否提供了其他工具所缺少的功能，能否與現(xiàn)有工具組合形成有效互補(bǔ)，這樣做可以避免上述癥狀。沒有哪種產(chǎn)品能解決所有的合規(guī)問題，所以配置相當(dāng)數(shù)量的管理套件是不可避免的，但適當(dāng)?shù)胤稚L(fēng)險(xiǎn)可以確保工具箱不至失衡。

無論怎樣，牢記“政策為先”這個(gè)指導(dǎo)原則絕對沒錯(cuò)的。不管你是決定購買一套新軟件還是利用企業(yè)現(xiàn)有的資源，都別忽視高層次的企業(yè)管理問題。因?yàn)榧幢愎ぞ咴冽R備再強(qiáng)大，如果沒有精心設(shè)計(jì)、管理良好的安全政策作為基礎(chǔ)也是無濟(jì)于事。不幸的是，這個(gè)方面的問題相當(dāng)普遍：我們的2008年策略安全調(diào)研發(fā)現(xiàn)，54%的組織機(jī)構(gòu)仍然沒有合適的安全政策，所以IT管理人員在這方面需要再加把勁。

如果你還沒有購買新工具套件，那么最好暫緩行事，先制定好必要的安全政策框架再說。在確定了安全政策之后，你就可以決定部署安全政策的設(shè)置細(xì)節(jié)。在這個(gè)過程中，企業(yè)應(yīng)當(dāng)充分利用組策略功能，但實(shí)際上許多IT部門并沒有做到這一點(diǎn)。如果你想讓系統(tǒng)安全狀況有明顯的改善，那要做的就不只是定義屏保程序逾時(shí)值以及應(yīng)用基本密碼政策等簡單的事，你需要進(jìn)行更加深入的工作。

平息風(fēng)暴

強(qiáng)化對服務(wù)器和工作站的控制必將限制用戶的自由，這是無可避免的事。對IT管理人員來說，竅門是在業(yè)務(wù)功能需求和安全設(shè)置優(yōu)化兩者之間取得平衡。如果你的新配置顯著增加了對工作站的限制，比如說購買事項(xiàng)需要確認(rèn)，技術(shù)控制也被明確地反映到政策規(guī)定之中，那么你對這些措施可能產(chǎn)生的反作用最好有充分的心理準(zhǔn)備。風(fēng)險(xiǎn)管理原則會(huì)幫助你以定量的方式確定哪些管制措施是合理的。

企業(yè)要記住的重點(diǎn)，是找出系統(tǒng)中所有合規(guī)漏洞的位置，確定需要購買哪些工具補(bǔ)強(qiáng)，從而使IT系統(tǒng)的風(fēng)險(xiǎn)管理策略更為完整。由于IT管理人員成天嚷著要修補(bǔ)安全漏洞，CFO們早就對此習(xí)以為常了，所以如果IT采購沒有以合規(guī)的名目進(jìn)行的話，要獲得CFO的撥款是很困難的。在這種情況下，你得采用結(jié)構(gòu)化的方法來證明你想采購的產(chǎn)品能夠處理何種風(fēng)險(xiǎn)，而且這種風(fēng)險(xiǎn)必須得到量化。如果你只是提交建立在最壞預(yù)計(jì)基礎(chǔ)之上的模糊投資回報(bào)率（ROI）計(jì)算，那很可能會(huì)讓管理層覺得你在危言聳聽，結(jié)果不再信任你。

單獨(dú)采用工具并不能解決全部的組策略合規(guī)難題，但如果你已經(jīng)打好了穩(wěn)固的政策框架基礎(chǔ)，那合適的工具就可以在滿足審計(jì)人員要求和改善端點(diǎn)安全方面發(fā)揮重要作用。滿足合規(guī)要求固然是重要目標(biāo)，但更有意義的是確保安全政策有效地保護(hù)資產(chǎn)。

組策略：推倒重來還是查漏補(bǔ)缺？

活動(dòng)目錄合規(guī)工具能夠提高系統(tǒng)透明度，簡化管理流程，但供應(yīng)商的做法各不相同。功能齊備的軟件套件力圖解決活動(dòng)目錄或整個(gè)企業(yè)內(nèi)的多個(gè)合規(guī)需求；而更具針對性的產(chǎn)品可以滿足網(wǎng)絡(luò)訪問控制（network access control）、身份管理（identity management）和日志聚合（log aggregation）等各種功能需求。

組策略的相關(guān)產(chǎn)品一般有兩種：一種是提供擴(kuò)展功能來彌補(bǔ)組策略的常見功能缺陷，通常對用戶界面進(jìn)行強(qiáng)化以及提供報(bào)表功能；另一種則推倒重來，用全新的部署和檢測工具包來完全取代組策略。

到底是選擇針對組策略（IT基礎(chǔ)架構(gòu)中不可忽視的重要組成部分）的單點(diǎn)產(chǎn)品，還是選擇功能更齊全的合規(guī)套件，走更具戰(zhàn)略性的道路，企業(yè)必須做一番取舍。如果你愿意花工夫認(rèn)真研究一下現(xiàn)有的工具，你想要的某些核心功能可能近在咫尺。資產(chǎn)管理套件往往配有清單和報(bào)表功能，稍稍配置一番之后就能用來收集必要的信息。舉例來說，微軟系統(tǒng)管理服務(wù)器中的“期望配置管理”（Desired Configuration Manager，DCM）功能可以用來進(jìn)行審計(jì)和生成報(bào)表，只要使用一個(gè)名叫“清單”（manifest）的預(yù)定義設(shè)置模板就能做到。(inforweeks)