資料來源:安全線上與賽迪網
天 災,也叫”不可抗力”的災難,通常指水火無情的自然災害,而在今天企業可能要面臨另一種”天災人禍”,那就是網路安全。如今你若問CIO最關心的問題是什 麼時,他們中的絕大多數會不約而同地說:”當然是網路安全了!”。企業網路安全問題,不僅牽係著企業用戶業務能否正常運行,而且還直接影響到企業效能和核 心競爭力的發揮。
在過去的2007年,無論是年初蔓延網路的”熊貓燒香”病毒,還是11月的英國政 府遭史上最大資料外泄使2500萬人受到影響的事件,都說明網路安全面臨著病毒更毒,駭客更黑。諸如從間諜軟體、網遊木馬、流氓軟體、IM通訊病毒、病毒 郵件的肆虐,到性質極為嚴重的網路銀行釣魚和針對性很強的木馬、蠕蟲病毒的不斷出現。
俗話說:”道高一尺,魔高一丈”,網路系統的安全性問題之所以讓企業頭疼,是因為 指望通過一勞永逸解決所有安全問題是不可能的。類似的例子不勝枚舉,不論是病毒、數據丟失,還是垃圾郵件等等企業網路系統的安全性問題,都給企業敲響了警 鐘。因此,網路系統的安全性也成為CIO最為頭痛和最為棘手的問題之一。
什麼是網路安全威脅?
想要應付網路安全威脅,就要先認識到什麼是”安全威脅”。據有關調查顯示,85%的 被採訪者表示曾經遇到網路安全問題,其中遇到次數最多的是網路病毒。另外,還有70%的被採訪者表示公司網路曾經被駭客訪問過。因此,企業網路安全性有兩 個最大威脅,它們是病毒侵襲和駭客入侵。
(1)病毒侵襲。這幾乎有電腦的地方,就有出現病毒的可能性。電腦病毒通常隱藏在 文件或程式代碼內,伺機進行自我複製,並能夠通過網路、磁片、光碟等諸多手段進行傳播。電腦病毒傳播速度相當快、影響面大,必須對它的危害要引起關注。殺 毒軟體是對付病毒的最好方法之一,然而如果沒有”憂患意識”,很容易陷入”盲從殺毒軟體”的誤區。
(2)駭客入侵。一般來說,駭客常見的入侵動機和形式可以分為兩種。第一種是拒絕 服務(DOS)攻擊。這類攻擊一般能使單個電腦或整個網路癱瘓,駭客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網路用戶使用該服務或破壞正常的商務活 動。另一種是非法入侵,非法入侵是指駭客利用企業網路的安全漏洞訪問企業內部網路或數據資源,進行刪除、複製甚至毀壞數據的活動。這兩種駭客入侵行為都可 能致使公司停工、增加清除成本或數據被竊而造成無法挽回的損失。除此之外,非法入侵對於企業的品牌形象、客戶信賴度、市場佔有率甚至股價都有潛在性的影 響。
保障網路安全有兩個支柱,一個是技術、一個是管理。而我們日常提及網路安全時,多 是在技術相關的領域,例如IDS入侵檢測技術、Firewall防火牆技術、Anti-Virus防病毒技術、加密技術、CA認證技術等等。但正如”木桶 原理”所示,你的能力是由你最弱的那個環節決定的,我們在保護網路安全時,也應該從上述二個方面全面考量,而不能只偏重其中的某一個部分。
網路安全必殺技之一:網路優化
談到網路安全,很多人會直接想到反病毒軟體、防火牆等產品。實際上,網路優化也是 CIO必殺技之一。以業務效能和應用連續性為目標,整體性的網路和應用安全與優化是IT網路安全價值提升的重要途徑。網路優化所涉及的技術與架構的更新, 包括全網流量監測、應用流量管理、安全威脅管理。
(1)網路安全應用結構。如今幾乎所有的CIO都把關鍵應用的保障,或者說網路的可用性列為頭等大事。
一般來說,網路體系結構包括六個方面:應用性能管理;安全內容管理;安全事件管理;用戶接入管理;網路資源管理;端點安全管理。
(2)全網流量監測。眾所週知,網路安全問題80%發生在網路的內部。對於較大規模 的網路而言,網路內部的不良流量也可能非常嚴重地影響到網路關鍵應用的運行。因此,進行全網的流量監測是非常重要而且是必要的。通過全網流量檢測,能夠了 解網路當中的數據流狀況,包括流量大小、來源和目的、由何種應用產生、數據量的大小等。
網路優化系統同時結合了識別應用數據的能力和網關型直接防護能力,由於具備直接防護能力,能夠避免聯動所帶來的防護滯後和不夠精確等問題,能夠直接對不良流量和內容進行封禁。除了能夠防護DDoS,蠕蟲,入侵,P2P和混合型攻擊外,還能夠防止內部文件通過網路外泄。
管理短視是網路安全最大隱憂
短視,可能是很多CIO最不願意承認,卻總是會造成致命打擊。病毒一下子讓企業網路 處於癱瘓狀態,造成的直接經濟損失規模大的驚人。可令人費解的是,眾多企業寧可花大把的錢購買伺服器、交換機、防火牆,卻很少願意去加強企業網路的管理安 全措施。對於一個資訊化的企業來說,網路資訊安全不僅僅是一個技術問題,也是一個管理問題。在很多病毒或安全漏洞出現不久,通常就會有相應的殺毒程式或者 軟體補丁出現,但為什麼還會讓熊貓這樣的病毒肆虐呢?
歸根結底還是因為很多企業沒有 養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。保證網路系統安全的第一步,首先要做到重視安全管理,不要”坐以待斃”。防火牆等設備就 如網路上的一把鎖,它控制著訪問網路的許可權,只允許特許用戶進出網路。當然也不僅僅是在網路設置防火牆,為了最有效地滿足網路安全需求,還需要其他技 術,如用戶驗證、虛擬專用網和入侵檢測。但更重要的是從管理和技術兩個角度結合起來推進網路安全工作。
(1)網路安全管理體系
隨著企業資訊化建設的展開,網路安全成為不得不面臨的嚴峻問題。安全體系的建立其實 涉及到了管理和技術兩個層面,而管理層面的體系建設是首當其衝的。技術上的建設和加強只是網路安全的一方面,而且單純的實現技術不是目的,技術只是圍繞企 業具體的工作業務來開展應用。保障業務流程的網路安全,從而進一步促進IT在企業應用層面的拓展,這才我們應用安全技術最根本的目的。因此,”抓管理還是 上技術”的最終定格為”三分技術、七分管理”,構建一個健全的網路安全管理體系是擺在企業面前的重要一環。
從早期的加密技術、數據備份、防病毒到近期網路環境下的防火牆、入侵檢測、身份認 證等等,新技術層出不窮,單純依靠技術和產品保障企業資訊安全雖然起到了一定效果,但是複雜多變的安全威脅和隱患靠產品難以消除。我們認為:”企業要把網 路安全提升到管理的高度上實施,然後落實到技術層次上做好保障。”
網路安全管理體系應該如何架構?BS7799安全管理體系標準無疑是一個很好的幫 助。它最早由英國商務部推動,由BSI將其發展成為標準。BS7799共分兩部分,第一部分是資訊安全管理實踐指南,第二部分是資訊安全管理體系規範。換 言之,第二部分告訴我們應該做什麼,第一部分則提供了一些如何做或者好做法的指導。
(2)網路行為規範化管理
網路行為的根本立足點,不是對設備的保護,也不是對數據的看守,而是規範企業員工網路行為,這已經上升到了對人的管理的階段,通過技術設備和規章制度的結合來指導、規範員工正確使用單位的網路資源。
網路安全的根本政策,一定要包含內部的安全管理規範。許多企業花大成本買最好的防火 牆,駭客或是熟悉該企業網路環境的離職員工,還是有辦法繞過從墻外進來,這是因為沒有一套軟體可以在沒有網路安全管理策略之下發揮作用。防火牆、防毒墻都 是提供服務的工具之一,人,才是網路安全最大的關鍵。CIO必須為網路安全建立一套監督與使用的管理程式,並且徹底實行。
(3)安全意識最重要
面對不斷襲來的安全威脅,除了購買安全產品以外,我們還應該做些什麼呢?這裡需要指出:”安全意識最重要!”。
安全設施的建立只是企業資訊安全的第一步,如何在安全體系中有效徹底的貫徹安全制 度,以及不斷深化全員安全意識才是關鍵所在。光依靠技術不能完全解決安全問題,因為過了一段時間,一些先進的技術可能就過時了,所以CIO應該有安全意 識,重視自己企業的安全措施。加強安全意識的培訓,首先要集團的領導認識到網路安全問題,另外也要對技術人員加強培訓,統一認識。
這些安全措施包括,培養員工的安全意識,養成良好的上網習慣,比如及時打好系統補丁、不要瀏覽不良網站、不隨意下載安裝來歷不明的軟體等等;對相關的技術管理人員進行技能培訓,對於重要數據一定要做好數據備份,否則會導致災難性的後果。
其他確保網路安全的有效措施
現在網路安全可以說是關係到企業命運的大事,不管願意不願意CIO其中的一個職責就是要保證網路安全。如果公司的資訊系統脆弱不堪,CIO必須對此負責。那麼,CIO應該制定什麼措施來履行這個職責呢?
(1)明確崗位職責,保障網路安全
CIO重要責任之一是保障本公司網路的安全、完整與可用性。這項工作不能外包出去, 也責無旁貸,因此要在崗位職能上明確規定。CIO要有特許權,只要檢測到網路安全違反行為,就要收集、分析與調查事件。例如職責上明確規定負責安全協調, 確保影響網路安全的職能是集成在業務流程過程中而不是獨立的任務。同時要進行評估網路安全受到危及或有受到危及之嫌的每一個事件,並把網路安全的品質、健 全性和可靠性通知和報告高層管理人員。此外,CIO還應該指導開發人員,確保網路安全成為IT系統設計不可或缺的一部分。
(2)力爭在網路安全投入足夠預算
CIO要力爭並確保足夠資金投資于IT系統的安全項目。密切關注公司要為網路安全劃撥一定金額的預算,以承擔安全成本,例如防病毒軟體、防火牆伺服器、加密軟體、入侵檢測系統、集中安全管理等成本。
公司高層主管有時會認為CIO對網路安全過於大驚小怪。但CIO要清醒認識到:”至 關重要的電腦設施出現安全問題造成嚴重損害的故障只是個時間問題。對於網路安全,生於憂患,死於安樂的意識並不是傳說中的事情,擔憂有人對公司的網路構成 危害的心態,並非總是基於想像中的恐懼。如果你想到有競爭對手希望你公司遭到危害,那麼謹小慎微對生存而言也許絕對必要。
(3)定期進行網路安全檢討會議
在明確了網路安全目標之後,CIO應當就網路安全問題定期地舉行檢討會議。一旦安全 會議檢查到現有的業務運作存在網路安全問題,或評估以往安全措施的執行情況存在問題時,CIO就需要設立一個解決網路安全的時間框架。每月進行安全討論聽 上去好像很多,尤其當公司各安全團隊是散佈在不同的地區,但是CIO從中所獲得的回報是在當月接下來的日子中可以確保公司網路安全,以確保公司業務能處理 日常工作。