企業(yè)安全策略推倒重來還是查漏補(bǔ)缺

申請免費(fèi)試用、咨詢電話：400-8352-114

企業(yè)安全策略推倒重來還是查漏補(bǔ)缺1

你認(rèn)為自己手中掌管的IT系統(tǒng)能夠符合企業(yè)安全政策的要求嗎？你是不是對它胸有成竹，以至于覺得審計工作根本沒有必要呢？不過，大多數(shù)人可沒那么大的口氣。在有關(guān)媒體進(jìn)行的2008年戰(zhàn)略安全調(diào)研中，63%的受訪者表示，他們所在的組織機(jī)構(gòu)會受到政府或行業(yè)法規(guī)的監(jiān)管，對他們而言，合規(guī)問題可不是什么無足輕重的小事。

確保合規(guī)的關(guān)鍵是通過活動目錄（Active Directory）之類的系統(tǒng)來實(shí)施企業(yè)政策，可問題是，一旦你設(shè)置好各種規(guī)則，要確保這它們始終保持有效就不那么容易了。IT技術(shù)的日新月異，意味著基礎(chǔ)設(shè)施的變更速度經(jīng)常超過了IT管理人員應(yīng)對變化的能力，這導(dǎo)致企業(yè)的“官方”政策與現(xiàn)實(shí)脫節(jié)。本來系統(tǒng)就缺乏能見度，如果再往系統(tǒng)里增加一些遠(yuǎn)程員工和分支辦事處的話，這對系統(tǒng)管理員來說無疑是一場噩夢。

讓系統(tǒng)回歸正軌的第一步，是根據(jù)監(jiān)管法規(guī)的要求制定相應(yīng)的安全政策，然后部署活動目錄組策略，以進(jìn)行企業(yè)政策的配置，這可絕非易事。這個步驟完成后，IT管理人員還得證明政策合規(guī)，因為只完成那些必要的設(shè)置是不夠的，審計人員期望你能夠證明相關(guān)規(guī)則都得到了正確應(yīng)用。

廠商們自稱新出爐的活動目錄合規(guī)工具能夠評測安全政策的有效性，為IT系統(tǒng)和公司業(yè)務(wù)創(chuàng)造價值。那些配置不當(dāng)?shù)脑O(shè)備容易產(chǎn)生安全問題，數(shù)據(jù)漏洞會被外來入侵者利用或被內(nèi)部員工濫用。在所有的工作站中，采用非標(biāo)準(zhǔn)配置的工作站雖然相對比例較小，但它們往往會引來層出不窮的病毒和間諜軟件問題。

如果某種工具軟件自稱能在降低合規(guī)成本的同時，顯著地提高系統(tǒng)安全性，那么它必須給出讓人信服的理由。在大多數(shù)合規(guī)軟件的宣傳廣告中，都存在不同程度的水分，因此要弄清楚它們的真正價值確實(shí)也有難度。不過，無論如何，企業(yè)都應(yīng)當(dāng)盡量避免為系統(tǒng)添置名不副實(shí)、雞肋式的單點(diǎn)工具。

當(dāng)然，我并非是說這些工具一無是處。但值得警惕的是，它們雖然不能給系統(tǒng)帶來實(shí)質(zhì)性的改善，但卻能讓你感受到某種虛假的安全感，所以你得看清這些陷阱。在決定購買某些工具之前，你最好先打好安全政策框架的基礎(chǔ)，并且充分利用現(xiàn)有的功能。

暢銷軟件

在廣闊的企業(yè)治理、風(fēng)險管理和合規(guī)性（GRC）軟件市場中，活動目錄政策審計工具可算得上是個利基市場（niche）。從供應(yīng)商的角度來看，GRC產(chǎn)品已經(jīng)成為穩(wěn)定的營收增長源之一，而且相對來說它很少受到惡劣的經(jīng)濟(jì)氣候造成的預(yù)算削減影響。有鑒于此，供應(yīng)商們進(jìn)一步強(qiáng)化相關(guān)的產(chǎn)品，并將現(xiàn)有產(chǎn)品重新包裝后美其名曰“合規(guī)解決方案”也就不足為奇了。不幸的是，這個細(xì)分市場仍在不斷進(jìn)化中，開發(fā)者們爭先恐后與最新技術(shù)保持同步。由于這些產(chǎn)品的功能差別較大，沒有哪兩種產(chǎn)品是一模一樣的，所以要對它們進(jìn)行比較有點(diǎn)困難。

針對在整個企業(yè)內(nèi)部滿足合規(guī)要求的目標(biāo)，冠群電腦公司（CA）、國際商業(yè)機(jī)器公司（IBM）、網(wǎng)威公司（Novell）、太陽微系統(tǒng)公司(Sun Microsystems)和賽門鐵克公司（Symantec）等大型廠商都推出了功能眾多的軟件套件，不過，它們并不一定都能處理組策略問題。有些軟件套件干脆將組策略管理丟給本地工具去處理，而那些包括某種端點(diǎn)政策審計功能的套件往往又缺乏足夠的深度。規(guī)模較小的廠商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些專門針對活動目錄的工具，在組策略管理方面這些工具往往具備更全面的功能。

我們的觀點(diǎn)是：如果你所在的企業(yè)是個環(huán)境復(fù)雜的龐大機(jī)構(gòu)，那么還是購買功能全面的軟件套件為宜，因為這樣可以減少所需采購的產(chǎn)品種類。但即便如此，你還是得在薄弱環(huán)節(jié)進(jìn)行適當(dāng)補(bǔ)充。如果你只是想填補(bǔ)一下組策略的合規(guī)漏洞，那采用單點(diǎn)工具就會更加合算。

合理選擇

正如那些大型廠商所承認(rèn)的那樣，微軟公司（Microsoft，下稱微軟）的活動目錄里已經(jīng)內(nèi)置了集中管理端點(diǎn)（endpoint）的功能。那么，為什么不能使用組策略這種活動目錄自帶的政策和配置管理工具來達(dá)到合規(guī)的目的呢？

組策略無疑是部署企業(yè)政策設(shè)置的強(qiáng)大工具，它的用戶界面簡便易用，還擁有數(shù)以千計的選項可供用戶自定義設(shè)置，并且伴隨著微軟每個新操作系統(tǒng)的發(fā)布，組策略都會增加數(shù)以百計的附加設(shè)置選項。組策略使用的底層技術(shù)相當(dāng)強(qiáng)大，IT管理人員自定義的控制選項可以用來監(jiān)控用戶和各種設(shè)備，并且能夠定期刷新。

然而，有些問題可能會影響組策略的正常運(yùn)作，比如說，有時候本地安全政策文件會由于非人為的原因遭到損壞，而有時候某些想要規(guī)避管制的人則會蓄意破壞這些文件。雖然這些事件都會被記錄在本地終端或服務(wù)器上，但除非你收集日志進(jìn)行集中分析，找出問題所在，否則即便是IT管理人員也會對情況一無所知。此外，事件日志只在檢測應(yīng)用程序問題時有用，在驗證控制選項設(shè)置或報告系統(tǒng)缺陷方面它們無能為力。

復(fù)雜性也是值得關(guān)注的問題。當(dāng)政策數(shù)量增加時，人們很容易在配置時出錯，有時是規(guī)則本身設(shè)置錯誤，有時是在定義多級政策時，在規(guī)定優(yōu)先級順序和從屬關(guān)系方面出錯。

安全審計廠商紅旋公司（Redspin）的首席執(zhí)行官（CEO）約翰·亞伯拉罕（John Abraham）解釋說：“你還記得家庭中常用的雙聯(lián)開關(guān)嗎？人們用兩個開關(guān)控制同一盞燈，一個開關(guān)總是處于‘關(guān)’的狀態(tài)，而另一個則總是處于‘開’的狀態(tài)。如果你開燈時按那個顯示為‘開’的開關(guān)，那么這個開關(guān)將變?yōu)椤P(guān)’的狀態(tài)，而燈卻是亮著的，這會讓你感到有些古怪。活動目錄中組策略設(shè)置的問題類似而且更為嚴(yán)重，因為那里有成百上千的‘開關(guān)’。你怎么能確定某個‘燈’究竟是不是開著的呢？”

如果你還想讓企業(yè)政策包括一些非微軟應(yīng)用程序的設(shè)置，那可謂是雪上加霜，讓事情更麻煩了。大多數(shù)企業(yè)仍然在運(yùn)行Windows 2003版本的組策略，對這個版本而言，如果IT管理人員不開發(fā)管理模板的話，那就很難自定義注冊表的設(shè)置。

Windows 2008帶來了人們期盼已久的一些功能，其中最重要的就是組策略首選項（Group Policy Preferences，GPP）。GPP增加了更多的配置選項，并且對舊版本的一些缺陷進(jìn)行了彌補(bǔ)，比如說，不創(chuàng)建自定義管理模板就無法管理注冊表設(shè)置的問題。微軟在GPP中運(yùn)用了從桌面標(biāo)準(zhǔn)公司（DesktopStandard）獲得的政策制定技術(shù)（PolicyMaker）。桌面標(biāo)準(zhǔn)公司過去曾是組策略擴(kuò)展工具市場的領(lǐng)頭羊，2006年年底被微軟收購。謝天謝地，政策制定技術(shù)的強(qiáng)大功能被完好無損地保留了下來，比如說，強(qiáng)化的預(yù)設(shè)值功能可以解決困擾 IT管理人員的一些問題，像本地賬戶密碼、電源選項、打印機(jī)、驅(qū)動器映射以及環(huán)境變量等。GPP最大的優(yōu)點(diǎn)是完全免費(fèi)，而且你不需要將活動目錄域升級到 Windows 2008版本就能夠使用它。你只需要一臺安裝了Windows 2008的服務(wù)器或者安裝了Vista的工作站、遠(yuǎn)程服務(wù)器管理工具包（Remote Server Administration Toolkit），并在現(xiàn)有機(jī)器上部署一個小小的客戶端更新程序。

微軟推出的另一工具高級組策略管理（Advanced Group Policy Management，AGPM）功能更為強(qiáng)大，它具備變更管理（change management）、回滾（rollback）以及改進(jìn)過的報表功能。AGPM是由桌面標(biāo)準(zhǔn)公司的另一產(chǎn)品GPOVault移植而來。不幸的是，微軟已經(jīng)將工具作為了Vista的賣點(diǎn)之一，目前企業(yè)要得到AGPM的唯一辦法，就是參加微軟軟件保障服務(wù)（Software Assurance），獲得微軟桌面優(yōu)化軟件包（Microsoft Desktop Optimization Pack）。如果你能滿足授權(quán)要求，我們強(qiáng)烈建議你充分利用AGPM。

在某些關(guān)鍵領(lǐng)域，即使是這些新的組策略工具也無能為力，比如審計、端點(diǎn)驗證以及對非活動目錄電腦的支持。要管理那些零星散布于各處的工作站（如經(jīng)常出差的銷售人員或在家上班的VPN用戶等）也非常困難，因為設(shè)置并不總能在每一臺工作站上及時更新。那些組策略工具的報表功能僅限于單獨(dú)的工作站，而且針對每個設(shè)備都必須手動生成報表。

因此，我們得出的結(jié)論是：組策略可以成為實(shí)現(xiàn)合規(guī)的強(qiáng)大武器之一，但它并不能解決所有的問題。