图书馆网络的安全托管服务由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“图书馆的网络安全问题”。
图书馆网络的安全托管服务
王 喜 和
(井冈山大学图书馆,江西吉安,343009)
摘要:在分析图书馆网络安全管理面临的困境的基础上,详细阐述安全托管服务的主要内容、图书馆网络对安全托管服务的需求和优势以及图书馆选择MSSP时需考虑的因素;最后立足于图书馆和安全厂商两方面的立场,对国内图书馆网络的安全托管服务现状和趋势作初步论述。通过上述内容的讨论,以期达到明确托管服务是保障图书馆网络安全的可行方式的目的。
关键词:安全托管服务;图书馆;网络
中图分类号:G250.76
Managed Security Service about Library Network
Wang Xi-He
(Library of Jinggangshan University, Ji’an(China),343009)
Abstract: Based on the analysis of the difficulty with which library network security management faces, this article elaborates the main content about MSS(Managed Security Service), library network requirements to MSS and its advantages, as well as the facets need considering when choosing MSSP.In the end, to both library and security trader’s benefit, it makes a preliminary description on the current situation and trend of MSS in internal library network.Through discuion to the above mentioned facets, this article is in the hope of clarifying that MSS is the practical way to guarantee the library network security.Key words: Managed Security Service;library;network
几乎没有一个图书馆的网络系统从未遭遇过安全问题。尽管大多数图书馆采购了各种各样的网络安全产品,比如防病毒软件、防火墙、入侵检测等等,却依然不能完全抵御包括病毒在内的各种安全威胁。造成图书馆网络安全困境的原因有很多种,但主要是在实际运行中,图书馆系统管理人员未能及时发现网络内外的安全隐患,并及时调整安全防护策略,即缺乏适当的人员对产品和技术的有效管理,造成网络面临巨大的安全风险。
1.图书馆网络安全管理的困境
1.1 虽然购买了安全产品,但安全管理策略设置不完善,不能发挥有效的防护作用。由于普遍缺乏专业的安全管理技术人员,图书馆所购买的网络安全产品都采用缺省或默认配置,并没有根据图书馆网络自身防护的需要设置安全策略。即便是有了为数不多的安全管理人员,但由于人员有限而管理的产品众多,管理人员也很难全面掌握每个安全产品的有效配置及应用。
1.2.安全管理人员没有及时掌握安全隐患的发展和变化,做好防护补救工作。网络的安全威胁多种多样且日益隐蔽。限于个人的网络安全知识,安全管理人员未能及
时了解到安全事件的新变化,并及时加以补救,从而导致了网络安全事件的发生。同时,由于人员编制和财力的限制,一般的图书馆也难以安排专人每天负责关注安全问题。
1.3 缺乏应急机制,系统维护人员没有对安全事件做出及时有效的处理。
安全事件具有突发性和不可预见性等特点,图书馆系统维护人员很难事先预测到潜在安全风险。同时,很多图书馆的系统维护人员技术水平有限,很难从不经常发生的安全事件中积累经验,从而在安全事件出现时迅速做出反应和有效处理。
1.4 缺乏全天候监控。
网络安全产品的报警需要由技术人员进行应急处理。“在没有安全管理技术人员值班时,网络缺乏7×24小时的安全监控,无法做出响应”[1]。而大多数图书馆现在还不具备全天候监控的人力条件。
目前图书馆网络安全专业技术人才匮乏,导致上述问题日显突出。如果这些问题不解决,即使使用了网络安全产品,图书馆网络的安全实际状况仍然存在巨大隐患。从上述分析可以看出,就目前的人才条件,单靠图书馆自身无法对其业务信息系统及其网络进行有效的安全维护。因此,图书馆可以选择一种新的安全服务方式——安全托管服务(Managed Security Service, MSS)。
2.安全托管服务概要
2.1 何谓安全托管服务(MSS)
安全托管服务即安全托管服务提供商(Managed Security Service Provider, MSSP)为客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间作出适当回应。“服务内容包括安全产品的日常维护、系统补丁的安装、安全事件的预警及处理、用户安全培训、安全事件应急响应、安全分析报告等”[2]。
2.2 安全托管与安全外包的区别
安全托管服务,这个名词尽管在国内的网络安全界还不是特别常见,但是在全球信息安全领域已经是一个发展得相当成熟而且获得广泛关注的概念。说起安全托管就不能不提到安全外包,因为人们很容易将这两个概念混淆起来。
安全托管和安全外包之间并没有严格的界线。这两个概念之间最大的不同在于安全托管将注意力集中于实际的安全工作,往往不涉及较高层次的安全策略方面的工作。也就是说,MSSP代替客户执行那些偏重于技术层面的实际性工作,而安全策略的制订和管理等核心业务工作并不交由MSSP负责。但在安全外包业务当中,服务商往往承担所有(至少是绝大部分)的信息安全工作。
所以,安全托管可以被视为MSSP和客户协同完成的一个项目,同时也可以将安全托管视为一种“简化版的安全外包”。
2.3 安全托管服务的特点
2.3.1 便利的本地服务
安全托管服务提供给图书馆一种使用简单的方式来实现安全。MSSP通常在一些地区建
立本地服务中心来实现安全托管的本地化服务,通过定时、定人、定向的上门服务或者远程监控和管理来把图书馆网络的安全水平提升到一个新的高度。
2.3.2 良好的管理
MSSP一般都是长期从事信息安全服务的商业组织,具备健全的管理制度、服务策略、操作规范及完善的服务体系,从技术到服务都能提供全面而安全的管理。
2.3.3 服务质量保证
相对于图书馆网络中专业安全技术人员及其经验的缺乏,MSSP拥有较强的技术实力和安全事件经验;定时、定人、定向的服务保证了网络安全的巩固性。
3.图书馆的网络安全托管服务
3.1 图书馆的需求
除核心数据与业务的安全保障和安全策略的制定与管理需要自主进行之外,图书馆网络中希望能通过“托管”的方式获得服务的安全项目主要有以下方面:
3.1.1 安全服务列表
图书馆首先需要一份安全服务列表以确认安全托管服务的主要内容。一个简短的安全服务列表包括入侵检测和网络周边扫描、VPN/防火墙的监视和管理、防病毒内容保护、数据/文件的加密等基本服务内容。如果需要,更为详尽的内容还应该包括:对网络边界设备的监视和管理服务、日志分析流程、安全策略实施建议、安全报告等。
3.1.2 专业的事件分析
安全事件的数据分析需要一定的深度,因为其中包含有可能的攻击。图书馆一般难以做到这些。这就要求MSSP首先进行数据的收集和格式化,然后使用挖掘技术从数据中进行模式提取,并利用自己的知识库来识别攻击模式,最后进行人工分析和处理,提出含有事件严重性级别说明的分析报告。
3.1.3 即时的事件响应
就技术和产品层面而言,网络安全事件的响应是必不可少的,因为在一般情况下,MSSP已经有产品安装在图书馆的网络之中,网络安全事件发生时,这些硬件已经做出了某种反应。但是,重要的是MSSP应该在出现问题时立即阻断事件进程,及时向图书馆详细通报情况以及可以采取的措施,然后根据图书馆的要求进行事件处理。MSSP与图书馆之间必须有一个畅通的事件响应渠道。
3.1.4 详细的安全报告
由于图书馆网络的信道公用性和结构开放性,更由于图书馆网络中承载了海量的文献信息,用户众多,数据流量巨大,所以,图书馆需要定期的网络安全报告。这个报告的内容至少必须包括:已经发生的安全事件和响应处理的过程、面临问题时的解决方案、提醒图书馆网络安装必须的补丁程序、推荐系统配置参数、提出改变软件或硬件的建议、帮助预防将来的事件等。网络安全报告应该具有定期性和前瞻性特点。
3.2 图书馆网络采取安全托管服务的优势
第一,MSSP能在以往安全服务经验的基础上审视图书馆网络的安全状况。他们每天处理大量的安全事件,拥有丰富的事件处理经验,能够对突发事件做出很好的判断和处理。
第二,安全托管服务不是简单的产品售后服务,也不仅仅是突发安全事件的应急响应服务。它解决的是安全产品日常维护中因图书馆系统管理人员在时间、安全信息和专业经验等方面的不足而带来的问题。提供安全托管服务的工程师,一般都具备丰富的安全专业知识和实战经验,所以,在服务中很容易发现图书馆网络中存在的安全隐患和产品配置方面存在的错误。
第三,安全托管可能避免行政因素的干扰和安全事件责任风险。首先,从机构上讲,图书馆为网络部门增加专门的安全管理人员是很困难的,安全托管服务最终可以解决编制短缺的问题;其次,如果网络管理部门的目标是为了安全,避免令人遗憾的事件发生,那么就应该寻找一个可以承担事故责任的第三方,即MSSP。
第四,由于MSSP所具备的技能优势,安全托管服务可有效降低图书馆自行建设和维护网络安全系统的成本,提高网络安全的水平。“虽然MSSP在提供服务之前或之中也要进行大量的投入,但由于MSSP是面向多个用户进行服务,在硬件设施、风险跟踪、技术积
[3]累等方面的成本可以获得有效的分摊,所以能够向用户提供低成本、高质量的安全服务”。
第五,图书馆可以根据自己的安全业务需要在MSSP制订的服务方案中选择做何种程度的“托管”,并在协商的基础上严格界定安全托管服务可以接触的数据范围及其访问权限,切实保证图书馆网络中核心数据和业务的自主管理。
第六,图书馆在与MSSP的合作过程中,不仅可以较低的投入获得专业的具有高保障性的安全服务,还可借助MSSP的技术和人力资源培养自己的信息安全团队。
3.3 图书馆对MSSP的选择
选择MSSP,一定要考虑两个重要方面:SLA和服务价格。
3.3.1 SLA
SLA(Service Level Agreement,服务水平协议或服务品质保证协议)是每一个安全托管服务合同中最重要的部分,它定义了图书馆和MSSP各自的职责,明确说明了图书馆所期望得到的以及MSSP能够服务到什么程度。
对SLA需要注意以下两点:
——MSSP对系统的访问权限
SLA要界定MSSP不能接触到哪些系统或信息资源。不管他们如何保证,一些重要的数据和信息不能共享或者被任何人访问;同时MSSP必须有足够的权限来保证安全工作的开展,图书馆能对授予他们的权限有安全感。如果对访问权限有疑问,图书馆一定要明晰自己的安全目标,并理解MSSP为什么需要那样的权限。这其中存在一个最小风险评估的问题。
——攻击中的信息和行为
SLA必须指定在攻击事件中所有角色完成的任务。MSSP提供的响应方式有很多种类,包括在线咨询、攻击实时响应以及攻击事后的审核分析。定义角色和责任很关键,MSSP的行
为方式必须由图书馆来确定。由于任何响应方式的局限性都会给网络带来额外的负担,所以必须确保MSSP能够按期提供各种详细的报告,而且SLA还要指定双方的联系人以及其它类似的信息。这样的细节看上去可能没什么用处,但是SLA定义的越详细,最终网络得到的安全服务就越有保证。
3.3.2 服务价格
服务价格必然是图书馆与MSSP双方都关心的问题。MSSP一般会在一份预算中给出安全托管服务较之于自建安全系统所节约的成本的比例。此时图书馆方面应把握一点:无论这个比例有多大,最高付出都不能超过单独雇请安全专家或自建安全系统的投入。
当然,在很大程度上,价格取决于所选择的服务。简单的监视和警告的服务价格最低,因为这些都是自动化服务;分析的成本要高一些,与分析程度也有关系;响应成本更高,因为这类服务往往是人员上门服务。很多MSSP根据不同级别的服务,按年或者按月收取服务费,一般收费依据是需要保护的设备的多少以及其它额外的服务或者响应时问;此外初始的安全风险分析和非常规的定制服务需要额外收费。
出于谨慎,有些图书馆会试探着先把一些简单的但不重要的安全项目托管出去,如果觉得MSSP的信用水平可以的话,再逐渐增加更多的服务。MSSP的业务范围应该覆盖这种增量服务。国内图书馆网络安全托管服务的现状和趋势
4.1 现状
安全托管服务在国外已经是一个比较成熟的事物,有不少大型网络,甚至是中小型网络都比较认可这种服务,乐于把网络安全事务交给MSSP来做。MSSP在国外也有相当的数量,而且运作比较规范。
与国外相比,国内还没有真正意义上的针对图书馆网络的安全托管服务,当然也没有真正意义上的图书馆网络MSSP。同时,国内大部分图书馆还没有建成健全的网络安全体系,就更谈不上把安全交给别人处理了。虽然实现跳跃式发展,跳过自建网络安全系统直接进入安全托管阶段也不是没有可能,但即使有图书馆具备这种超前意识和经费条件,国内也没有厂商可以提供令人满意的服务。
鉴于国内图书馆的网络安全建设进程和图书馆的理解程度,笔者认为,国内图书馆网络安全托管服务在目前可行的形式应该是一种联合模式,即MSSP和图书馆联合起来,共同处理安全问题。图书馆的IT部门作为协调方,负责和图书馆的其它部门沟通;而MSSP则专注于解决安全事件:帮助图书馆确定安全量化管理指标,并提供必要的工具和服务人员实现7×24的安全策略实施效果监控服务;主动向图书馆的管理人员进行安全预警,通报安全问题,并在第一时间指导管理人员化解危机;定期提供报表,分析网络内部安全状况,供图书馆管理人员进行评估和制定相应策略;根据预先约定的访问权限,代替图书馆管理人员实现部分管理职能等。
这种形式虽然与国外真正的安全托管服务方式有所不同,但形式不是很重要,保证网络
安全才是图书馆的目标。因此,只要能达成目标,采取什么形式是次要的。
4.2 趋势
如今的信息安全产业早已走过了培养用户安全意识和需求的阶段。无论是信息安全厂商还是图书馆都迫切希望找到降低信息安全成本的方法。在安全托管服务中,富有经验和技术实力的安全厂商能够制订出覆盖广泛且极具灵活性的安全托管方案;而图书馆则可以自主地选择自己的安全业务需要做何种程度的“托管”。这种需求的变革“促使安全托管有望成为安全厂商与图书馆建立全新合作关系的突破口”。
一方面,安全托管服务解决的是图书馆网络安全管理在人力、时间、实践、工具和信息等方面的不足,同时不改变其现有的安全职责和隶属关系。与那种专业的一次性安全服务相比,托管服务能给图书馆带来更为实际的安全效果并大大减轻图书馆的投资费用、人员编制和管理的压力。另一方面,Internet和数字图书馆的发展使网络的安全需求日益膨胀;图书馆数字资源的扩张和用户访问量的急剧增加也带来了广泛的系统安全问题。但是,图书馆的安全专业人才在未来很长一段时间内依然紧缺。这一切使得安全托管服务越来越迫切。
伴随着政府的推动和市场的需求,国内的网络应用得到了飞速发展,同时,网络的安全也受到了极大的重视。目前国内的网络安全公司正在适应市场需求,纷纷提供类似的安全服务,例如定期网络安全服务、应急服务等等,一些ISP/ASP也纷纷推出安全管理增值服务。这些都昭示着国内安全托管服务的风潮很快就会来临。图书馆网络的安全托管服务必然是其中的重要组成部分。[4]
5.结语
“国家中长期科学和技术发展规划纲要(2006-2020年)中提到信息产业及现代服务业的发展思路,其中包含:以发展高可信网络为重点,开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。说明国家在接下来的十几年中,将网络安全建设放在了比较重要的位置”[5]。在这样的背景下,图书馆网络安全保障的技术条件、市场环境条件和服务类型条件将越来越充分。通过托管服务来实现图书馆网络的安全,是一种值得发展和推广的方式。
参考文献:
[1] 俞强.网络安全服务需要创新[J].网络安全技术与应用,2001(10):13-15
[2] 边歆.MSS的中国特色[N].网络世界,2005(34):41
[3][4] 张昕楠.安全托管时代已经到来[J].软件世界,2005(11):85-87
[5] 李雅琼.高校图书馆网络信息安全根源探讨[J].井冈山学院学报,2006(10):35-37
作者简介及联络方式:
王喜和,男,副研究馆员,1969年11月出生,供职于江西井冈山大学图书馆。
(1)通讯地址:江西省吉安市井冈山大学图书馆343009
(2)电话:***,0796-8100484(办)
(3)Email:wangxihe@jgsu.edu.cn
