警惕IT工具帶來的虛假安全感

申請免費試用、咨詢電話：400-8352-114

你認為自己手中掌管的IT系統(tǒng)能夠符合企業(yè)安全政策的要求嗎？你是不是對它胸有成竹，以至于覺得審計工作根本沒有必要呢？不過，大多數(shù)人可沒那么大的口氣。在進行的2008年戰(zhàn)略安全調(diào)研中，63%的受訪者表示，他們所在的組織機構(gòu)會受到政府或行業(yè)法規(guī)的監(jiān)管，對他們而言，合規(guī)問題可不是什么無足輕重的小事。

確保合規(guī)的關(guān)鍵是通過活動目錄（Active Directory）之類的系統(tǒng)來實施企業(yè)政策，可問題是，一旦你設置好各種規(guī)則，要確保這它們始終保持有效就不那么容易了。IT技術(shù)的日新月異，意味著基礎(chǔ)設施的變更速度經(jīng)常超過了IT管理人員應對變化的能力，這導致企業(yè)的“官方”政策與現(xiàn)實脫節(jié)。本來系統(tǒng)就缺乏能見度，如果再往系統(tǒng)里增加一些遠程員工和分支辦事處的話，這對系統(tǒng)管理員來說無疑是一場噩夢。

讓系統(tǒng)回歸正軌的第一步，是根據(jù)監(jiān)管法規(guī)的要求制定相應的安全政策，然后部署活動目錄組策略，以進行企業(yè)政策的配置，這可絕非易事。這個步驟完成后，IT管理人員還得證明政策合規(guī)，因為只完成那些必要的設置是不夠的，審計人員期望你能夠證明相關(guān)規(guī)則都得到了正確應用。

廠商們自稱新出爐的活動目錄合規(guī)工具能夠評測安全政策的有效性，為IT系統(tǒng)和公司業(yè)務創(chuàng)造價值。那些配置不當?shù)脑O備容易產(chǎn)生安全問題，數(shù)據(jù)漏洞會被外來入侵者利用或被內(nèi)部員工濫用。在所有的工作站中，采用非標準配置的工作站雖然相對比例較小，但它們往往會引來層出不窮的病毒和間諜軟件問題。

如果某種工具軟件自稱能在降低合規(guī)成本的同時，顯著地提高系統(tǒng)安全性，那么它必須給出讓人信服的理由。在大多數(shù)合規(guī)軟件的宣傳廣告中，都存在不同程度的水分，因此要弄清楚它們的真正價值確實也有難度。不過，無論如何，企業(yè)都應當盡量避免為系統(tǒng)添置名不副實、雞肋式的單點工具。

當然，我并非是說這些工具一無是處。但值得警惕的是，它們雖然不能給系統(tǒng)帶來實質(zhì)性的改善，但卻能讓你感受到某種虛假的安全感，所以你得看清這些陷阱。在決定購買某些工具之前，你最好先打好安全政策框架的基礎(chǔ)，并且充分利用現(xiàn)有的功能。

暢銷軟件

在廣闊的企業(yè)治理、風險管理和合規(guī)性（GRC）軟件市場中，活動目錄政策審計工具可算得上是個利基市場（niche）。從供應商的角度來看，GRC產(chǎn)品已經(jīng)成為穩(wěn)定的營收增長源之一，而且相對來說它很少受到惡劣的經(jīng)濟氣候造成的預算削減影響。有鑒于此，供應商們進一步強化相關(guān)的產(chǎn)品，并將現(xiàn)有產(chǎn)品重新包裝后美其名曰“合規(guī)解決方案”也就不足為奇了。不幸的是，這個細分市場仍在不斷進化中，開發(fā)者們爭先恐后與最新技術(shù)保持同步。由于這些產(chǎn)品的功能差別較大，沒有哪兩種產(chǎn)品是一模一樣的，所以要對它們進行比較有點困難。

針對在整個企業(yè)內(nèi)部滿足合規(guī)要求的目標，冠群電腦公司（CA）、國際商業(yè)機器公司（IBM）、網(wǎng)威公司（Novell）、太陽微系統(tǒng)公司(Sun Microsystems)和賽門鐵克公司（Symantec）等大型廠商都推出了功能眾多的軟件套件，不過，它們并不一定都能處理組策略問題。有些軟件套件干脆將組策略管理丟給本地工具去處理，而那些包括某種端點政策審計功能的套件往往又缺乏足夠的深度。規(guī)模較小的廠商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些專門針對活動目錄的工具，在組策略管理方面這些工具往往具備更全面的功能。

我們的觀點是：如果你所在的企業(yè)是個環(huán)境復雜的龐大機構(gòu)，那么還是購買功能全面的軟件套件為宜，因為這樣可以減少所需采購的產(chǎn)品種類。但即便如此，你還是得在薄弱環(huán)節(jié)進行適當補充。如果你只是想填補一下組策略的合規(guī)漏洞，那采用單點工具就會更加合算。

合理選擇

正如那些大型廠商所承認的那樣，微軟公司（Microsoft，下稱微軟）的活動目錄里已經(jīng)內(nèi)置了集中管理端點（endpoint）的功能。那么，為什么不能使用組策略這種活動目錄自帶的政策和配置管理工具來達到合規(guī)的目的呢？

組策略無疑是部署企業(yè)政策設置的強大工具，它的用戶界面簡便易用，還擁有數(shù)以千計的選項可供用戶自定義設置，并且伴隨著微軟每個新操作系統(tǒng)的發(fā)布，組策略都會增加數(shù)以百計的附加設置選項。組策略使用的底層技術(shù)相當強大，IT管理人員自定義的控制選項可以用來監(jiān)控用戶和各種設備，并且能夠定期刷新。

然而，有些問題可能會影響組策略的正常運作，比如說，有時候本地安全政策文件會由于非人為的原因遭到損壞，而有時候某些想要規(guī)避管制的人則會蓄意破壞這些文件。雖然這些事件都會被記錄在本地終端或服務器上，但除非你收集日志進行集中分析，找出問題所在，否則即便是IT管理人員也會對情況一無所知。此外，事件日志只在檢測應用程序問題時有用，在驗證控制選項設置或報告系統(tǒng)缺陷方面它們無能為力。

復雜性也是值得關(guān)注的問題。當政策數(shù)量增加時，人們很容易在配置時出錯，有時是規(guī)則本身設置錯誤，有時是在定義多級政策時，在規(guī)定優(yōu)先級順序和從屬關(guān)系方面出錯。

安全審計廠商紅旋公司（Redspin）的首席執(zhí)行官（CEO）約翰·亞伯拉罕（John Abraham）解釋說：“你還記得家庭中常用的雙聯(lián)開關(guān)嗎？人們用兩個開關(guān)控制同一盞燈，一個開關(guān)總是處于‘關(guān)’的狀態(tài)，而另一個則總是處于‘開’的狀態(tài)。如果你開燈時按那個顯示為‘開’的開關(guān)，那么這個開關(guān)將變?yōu)椤P(guān)’的狀態(tài)，而燈卻是亮著的，這會讓你感到有些古怪?；顒幽夸浿薪M策略設置的問題類似而且更為嚴重，因為那里有成百上千的‘開關(guān)’。你怎么能確定某個‘燈’究竟是不是開著的呢？”

如果你還想讓企業(yè)政策包括一些非微軟應用程序的設置，那可謂是雪上加霜，讓事情更麻煩了。大多數(shù)企業(yè)仍然在運行Windows 2003版本的組策略，對這個版本而言，如果IT管理人員不開發(fā)管理模板的話，那就很難自定義注冊表的設置。

Windows 2008帶來了人們期盼已久的一些功能，其中最重要的就是組策略首選項（Group Policy Preferences，GPP）。GPP增加了更多的配置選項，并且對舊版本的一些缺陷進行了彌補，比如說，不創(chuàng)建自定義管理模板就無法管理注冊表設置的問題。微軟在GPP中運用了從桌面標準公司（DesktopStandard）獲得的政策制定技術(shù)（PolicyMaker）。桌面標準公司過去曾是組策略擴展工具市場的領(lǐng)頭羊，2006年年底被微軟收購。謝天謝地，政策制定技術(shù)的強大功能被完好無損地保留了下來，比如說，強化的預設值功能可以解決困擾IT管理人員的一些問題，像本地賬戶密碼、電源選項、打印機、驅(qū)動器映射以及環(huán)境變量等。GPP最大的優(yōu)點是完全免費，而且你不需要將活動目錄域升級到Windows 2008版本就能夠使用它。

你只需要一臺安裝了Windows 2008的服務器或者安裝了Vista的工作站、遠程服務器管理工具包（Remote Server Administration Toolkit），并在現(xiàn)有機器上部署一個小小的客戶端更新程序。

微軟推出的另一工具高級組策略管理（Advanced Group Policy Management，AGPM）功能更為強大，它具備變更管理（change management）、回滾（rollback）以及改進過的報表功能。AGPM是由桌面標準公司的另一產(chǎn)品GPOVault移植而來。不幸的是，微軟已經(jīng)將工具作為了Vista的賣點之一，目前企業(yè)要得到AGPM的唯一辦法，就是參加微軟軟件保障服務（Software Assurance），獲得微軟桌面優(yōu)化軟件包（Microsoft Desktop Optimization Pack）。如果你能滿足授權(quán)要求，我們強烈建議你充分利用AGPM。

在某些關(guān)鍵領(lǐng)域，即使是這些新的組策略工具也無能為力，比如審計、端點驗證以及對非活動目錄電腦的支持。要管理那些零星散布于各處的工作站（如經(jīng)常出差的銷售人員或在家上班的VPN用戶等）也非常困難，因為設置并不總能在每一臺工作站上及時更新。那些組策略工具的報表功能僅限于單獨的工作站，而且針對每個設備都必須手動生成報表。

因此，我們得出的結(jié)論是：組策略可以成為實現(xiàn)合規(guī)的強大武器之一，但它并不能解決所有的問題。

工具為用，風險為根

市場上活動目錄策略合規(guī)工具越來越多，對IT管理人員而言，有效管理多種工具已經(jīng)成為一項挑戰(zhàn)。紅旋公司的首席技術(shù)官 （CTO）布賴恩·海耶斯（Brian Hayes）說，有些IT部門購買了太多的監(jiān)測和報告工具，但他們實際上根本管理不了這么多東西。他說：“有時候擁有太多的工具反而會過猶不及。”

上述問題的解決方案是用風險管理原則指導采購，用結(jié)構(gòu)化的風險管理策略來決定是否部署某種新工具。IT管理人員經(jīng)常碰到的一個問題是“點產(chǎn)品超負荷綜合癥”，他們身處無數(shù)控制臺工具組成的迷宮中，雜亂無章工具功能重疊冗余無法有效整合。因此，管理員首先得搞清楚某種新工具是否提供了其他工具所缺少的功能，能否與現(xiàn)有工具組合形成有效互補，這樣做可以避免上述癥狀。沒有哪種產(chǎn)品能解決所有的合規(guī)問題，所以配置相當數(shù)量的管理套件是不可避免的，但適當?shù)胤稚L險可以確保工具箱不至失衡。

無論怎樣，牢記“政策為先”這個指導原則絕對沒錯的。不管你是決定購買一套新軟件還是利用企業(yè)現(xiàn)有的資源，都別忽視高層次的企業(yè)管理問題。因為即便工具再齊備再強大，如果沒有精心設計、管理良好的安全政策作為基礎(chǔ)也是無濟于事。不幸的是，這個方面的問題相當普遍：我們的2008年策略安全調(diào)研發(fā)現(xiàn)，54%的組織機構(gòu)仍然沒有合適的安全政策，所以IT管理人員在這方面需要再加把勁。

如果你還沒有購買新工具套件，那么最好暫緩行事，先制定好必要的安全政策框架再說。在確定了安全政策之后，你就可以決定部署安全政策的設置細節(jié)。在這個過程中，企業(yè)應當充分利用組策略功能，但實際上許多IT部門并沒有做到這一點。如果你想讓系統(tǒng)安全狀況有明顯的改善，那要做的就不只是定義屏保程序逾時值以及應用基本密碼政策等簡單的事，你需要進行更加深入的工作。

平息風暴

強化對服務器和工作站的控制必將限制用戶的自由，這是無可避免的事。對IT管理人員來說，竅門是在業(yè)務功能需求和安全設置優(yōu)化兩者之間取得平衡。如果你的新配置顯著增加了對工作站的限制，比如說購買事項需要確認，技術(shù)控制也被明確地反映到政策規(guī)定之中，那么你對這些措施可能產(chǎn)生的反作用最好有充分的心理準備。風險管理原則會幫助你以定量的方式確定哪些管制措施是合理的。

企業(yè)要記住的重點，是找出系統(tǒng)中所有合規(guī)漏洞的位置，確定需要購買哪些工具補強，從而使IT系統(tǒng)的風險管理策略更為完整。由于IT管理人員成天嚷著要修補安全漏洞，CFO們早就對此習以為常了，所以如果IT采購沒有以合規(guī)的名目進行的話，要獲得CFO的撥款是很困難的。在這種情況下，你得采用結(jié)構(gòu)化的方法來證明你想采購的產(chǎn)品能夠處理何種風險，而且這種風險必須得到量化。如果你只是提交建立在最壞預計基礎(chǔ)之上的模糊投資回報率（ROI）計算，那很可能會讓管理層覺得你在危言聳聽，結(jié)果不再信任你。

單獨采用工具并不能解決全部的組策略合規(guī)難題，但如果你已經(jīng)打好了穩(wěn)固的政策框架基礎(chǔ)，那合適的工具就可以在滿足審計人員要求和改善端點安全方面發(fā)揮重要作用。滿足合規(guī)要求固然是重要目標，但更有意義的是確保安全政策有效地保護資產(chǎn)。

組策略：推倒重來還是查漏補缺？

活動目錄合規(guī)工具能夠提高系統(tǒng)透明度，簡化管理流程，但供應商的做法各不相同。功能齊備的軟件套件力圖解決活動目錄或整個企業(yè)內(nèi)的多個合規(guī)需求；而更具針對性的產(chǎn)品可以滿足網(wǎng)絡訪問控制（network access control）、身份管理（identity management）和日志聚合（log aggregation）等各種功能需求。

組策略的相關(guān)產(chǎn)品一般有兩種：一種是提供擴展功能來彌補組策略的常見功能缺陷，通常對用戶界面進行強化以及提供報表功能；另一種則推倒重來，用全新的部署和檢測工具包來完全取代組策略。

到底是選擇針對組策略（IT基礎(chǔ)架構(gòu)中不可忽視的重要組成部分）的單點產(chǎn)品，還是選擇功能更齊全的合規(guī)套件，走更具戰(zhàn)略性的道路，企業(yè)必須做一番取舍。如果你愿意花工夫認真研究一下現(xiàn)有的工具，你想要的某些核心功能可能近在咫尺。資產(chǎn)管理套件往往配有清單和報表功能，稍稍配置一番之后就能用來收集必要的信息。舉例來說，微軟系統(tǒng)管理服務器中的“期望配置管理”（Desired Configuration Manager，DCM）功能可以用來進行審計和生成報表，只要使用一個名叫“清單”（manifest）的預定義設置模板就能做到。(inforweeks)