Archive

Posts Tagged ‘telecom’

security, cloud computing, telecom

四月 22, 2011 留下评论

About Security, Security Management and security for telecom and cloudcomputing!

"悄悄的进村,放枪的不要“--运营商终端安全建设的良好实践 (2006-12-07 12:23:53)

十二月 7, 2006 留下评论

在2006’电信行业网络信息安全管理高峰论坛上,对于运营商的终端安全建设,我提出了一个核心的概念,终端安全体系的建设,一定要充分考虑到终端安全系统对于终端用户所可能造成的影响,并且一定要尽量减小对于终端用户的影响,最好能够做到保障安全的同时对现有用户使用无影响,用一句形象的话讲就是”悄悄的进村,放枪的不要“。在终端用户还没有直接感官的情况下,终端安全系统已经建设完成,并且能够很好的保障整体网络的安全了。这也主要基于如下的几点考虑:

1、终端数量众多。运营商系统里面,都有众多的终端在使用,终端类型也及其复杂,终端部署的区域也多种多样,覆盖的层面也非常广,要一次性解决所有终端问题,面临的困难也非常大,从基础的问题和容易掌控的问题上入手,会比较容易。

2、终端类型多样。目前运营商网络里面,面临着众多的终端类型,不仅仅包含主流的Windows 2000/XP系统,还有Windows NT/2003/98。。。,还有众多不同类型的Linux,想统一采用一种方式解决所有终端类型的安全问题难度较大,现有的基于Agent的技术里面很难同时支持如此众多的终端类型,其直接支持的范围都有限。

3、终端用途多样。运营商网络里面,包含着多种不同用途的终端,业务终端,生产终端,办公终端,客服终端,合作伙伴终端,远程终端,移动终端……,每种终端类型都有其特定类型的需求,不同类型的终端的使用人员的水平和意识也不尽相同,必然导致终端安全的解决方案同时受限,也要求终端安全的解决方案必须综合考虑这些不同类型的终端对于安全考虑的需求。

4、安全管理推行难度大。从管理措施上限制终端访问或者避免终端安全问题,在运营商体系中,由于涉及到部门众多,人员数量较大,管理意识差异大等因素,单纯的管理手段很难收到效果。从简单的限制终端上网或者私自拉线上网的推行和监控效果并不明显上就很能体现这个问题。

5、终端安全管理基础薄弱。目前的运营商由于传统的安全管理体制,使得终端的安全问题一直没有得到有效的重视,一些基础的终端管理问题还需要解决,如终端的资产管理问题就是一个复杂的问题,很多省自身的终端资产统计、管理及维护都还没有形成良好的体系,大量终端管理的基础工作需要一个长期和艰苦的过程,更是一个实际执行层面需要各个部门大力配合的事情,一旦牵扯的方面过大极容易造成项目流产或者效果不佳。

上述种种运营商所面临的问题和现状制约,将导致运营商对于终端安全管理的建设必然是一个长期的、艰巨的和需要管理层大力推动的过程,如何有效的推动这个过程的前行?如何保障系统的建设真正有效?如何保障系统建设获得最大的投资收益比?是每一个运营商必须要考虑的问题。而其中一个非常有效的手段就是潜移默化的,依靠成效来推进后续的工作,分步骤有效的工程建设来完成这项工作。

从实际的部署实践来看,如下的几点工作是基础的、必须的和有效的工作内容:

1、资产清理与统计
任何终端安全管理的工作基础是一个准确而良好的终端资产管理,而现有终端的资产状况的清理和统计是一个基础中的基础工作。或许这个工作对于其它企业是一个容易的事情,但是对于运营商来讲,却是一个比较复杂与困难的问题,大量的终端数量、多期不同的工程、众多的业务系统、不同的终端类型、新老终端混杂……等等问题,对于这个工作的有效完成都是一个巨大的考验,但是,这个工作作为一项基础性工作,又必须去解决,并且是即使现在不解决,也总有一天需要去解决的。同时,这也是一项纯管理工作,没有一个软件体系或者技术能够完全替代人去完成。当然,这项工作如果顺利完成,后续的终端安全管理的工作将能够有一个良好的基础,也能够做到有的放矢了。

2、终端用户感官影响最小化
终端安全管理建设中将要面临的一个很大的问题就是终端用户的反响,包括终端用户使用的便利性影响、终端用户的接受度、终端用户的期望……,这些问题如果处理不好,极大的可能会导致项目失败。如如果终端上安装的客户端软件与终端现有软件冲突,导致系统不可用甚至死机,将必然影响终端系统的推行,如果终端安全管理软件自身的策略复杂度过高,也将直接导致终端用户不使用,偷偷卸载或者直接抵制,这些都将影响整个系统的建设成效,是项目容易失败的极大风险点。而一种有效的做法就是尽量避免安装复杂的客户端软件,甚至不要安装客户端软件,但是同时能够保障终端系统的安全接入与访问控制。

3、分步骤工程建设
终端安全管理技术众多,涉及到的管理内容和层面也特别多,如果期望通过一次性的解决所有安全问题和管理措施全部到位,将是一个极易导致失败的风险点,因此,选取容易推行、对客户端影响最小、实施部署简单、容易获取成效的问题进行进行解决是一个良好的做法。从目前的实践看,集中资产管理、集中补丁管理、集中统一接入身份认证是一个比较好的选择,也是最容易被接受和最具成效的做法。

4、必须强制管理
对于企业终端安全管理问题,必须提供强制性措施才能够保障终端安全管理问题得到有效的解决和达到成效。如补丁更新问题,完全依赖个人自行进行补丁更新的做法在运营商体系中被证明是失败的。大量终端的防病毒软件被卸载等问题也大量存在,因此,要想有一个好的成效,必须采用强制的措施。

5、标准化支持
无论选择任何一种接近方案,如何更好的利用和适应现有的设备资源是一个基础性的需求。如802.1x的协议支持,必须充分考虑多种路由器、交换机的不同厂家、不同型号的现状,选择一种标准化或者多厂家支持的产品来适应现有网络无疑是一个良好的解决方案。

6、集中化管理
如果终端安全管理工作想落到实处,一个另外很关键的问题就是必须采用集中化管理,策略集中定制、集中分发与集中监控,只有这样才能够保障所有的终端系统的安全管理策略符合运营商的要求,也能够针对运营商的各种不同终端区域的安全管理得到落实。

上述的几个终端安全管理的问题是我的一些浅见,其总结的基本思路也就是在运营商网络中实施终端安全管理的项目的时候,采用一种初期尽量简化管理内容,先基础安全工作,再逐步递进式增强管理措施,最后再完整的提供终端安全管理策略和措施,这样才能够使得运营商的终端安全管理工作有成效,又避免有大的阻力。这也就是说尽量做到“悄悄的进村,放枪的不要”的核心思路,待到一些基础安全管理工作已经被大家所接受,再逐步的加深管理深度和强度,获取最大的管理成效的同时,又能够避免有过大的阻力来影响安全管理工作的进展。

分类:telecomsecurity 标签: