|
不用贅述病毒、蠕蟲以及黑客對系統(tǒng)網(wǎng)絡(luò)層出不窮��、花樣翻新的攻擊了���。相信沒有人會否認(rèn)�����,今天��,如何確保信息網(wǎng)絡(luò)正常高效的運行�����,已經(jīng)升級成為CIO 們最頭疼的問題���。最近發(fā)作的極速波病毒Zotob 創(chuàng)造了一個令人難以置信的記錄——它從漏洞被發(fā)現(xiàn)到被成功利用僅用了不到6 天的時間。蠕蟲爆發(fā)仿佛禽流感����,只要有一臺終端出現(xiàn)問題,周圍的網(wǎng)絡(luò)中就會產(chǎn)生多米諾骨牌式的連鎖效應(yīng)���。一個端點的問題�����,就立刻被放大成整個網(wǎng)絡(luò)的問題�����。
" 兵來將擋�,水來土掩".各種防御措施和防御體系也在不斷更新��。達(dá)成安全網(wǎng)絡(luò)的解決方案從提供單一的防范措施逐步向系統(tǒng)性����、集成性發(fā)展。然而����,即使各大廠商不停地增強安全工具和補丁程序,企業(yè)仍然無法擺脫網(wǎng)絡(luò)危機的夢魘����。顯然,以往防火墻�����、防病毒、入侵檢測" 三板斧" 式的防御看起來已是力不從心�����。
" 道高一尺��,魔高一丈" ����?真的如此嗎?未必�,或許是時候重新檢討我們的安全理念了。賽門鐵克公司董事長兼首席執(zhí)行官John W. Thompson先生在今年2 月的RSA 大會上就曾經(jīng)表示:" 在經(jīng)濟全球化的今天�����,安全問題既可以是一種競爭優(yōu)勢——也可能是一種競爭劣勢��。今天的威脅是無聲的�、但目標(biāo)卻是高度明確的。犯罪分子正搜尋個人和企業(yè)財務(wù)信息——他們正試圖通過這些信息來獲得實實在在的經(jīng)濟好處���。"
著眼終端的安全理念
問題在哪里��?看看一份由計算機安全協(xié)會(Computer Security Institute )與美國聯(lián)邦調(diào)查局(FBI )聯(lián)合進行的計算機安全報告吧���。這份報告顯示,對企業(yè)網(wǎng)絡(luò)構(gòu)成的為首四大威脅全部都是源自終端����。除了上面提到的病毒外,還有筆記本用戶引起的交叉感染�,內(nèi)部終端的未授權(quán)訪問,內(nèi)部終端濫用網(wǎng)絡(luò)����。
既然所有的矛頭都直指薄弱的終端管理,那么終端管理的現(xiàn)狀又怎樣呢����?根據(jù)國際計算機安全協(xié)會(ICSA Lab)的病毒調(diào)研報告,有30% 的終端不符合企業(yè)的安全要求��。在蠕蟲和病毒加速侵略我們的網(wǎng)絡(luò)時����,網(wǎng)絡(luò)管理員們卻發(fā)現(xiàn)自己迷失在終端管理的汪洋之中,疲于應(yīng)對各種挑戰(zhàn):
復(fù)雜的IT架構(gòu):多樣化的設(shè)備�、接入點��、用戶���、程序和應(yīng)用;
日益開放的業(yè)務(wù)要求網(wǎng)絡(luò)的開放����,后果就是漏洞無所不在;
網(wǎng)絡(luò)可用與信息安全的平衡��。在保證信息安全的同時����,如何實現(xiàn)互連互通的網(wǎng)絡(luò),保證其能夠很好地提高工作效率����;
傳統(tǒng)方案不理想。例如邊界防火墻���,可以被輕松穿透��;網(wǎng)絡(luò)入侵檢測只能在蠕蟲損害了某些系統(tǒng)后��,或正在廣泛傳播時才能可靠的檢測出來����,象是事后諸葛亮?���;镜膫€人防火墻對系統(tǒng)的鎖定不夠,補丁管理總是滯后�,而殺毒則頗似盲羊補牢���。
過去的桌面安全管理方案是基于網(wǎng)絡(luò)存在物理邊界這樣的事實��;而今天���,VPN 的接入、諸如筆記本電腦�����、掌上電腦和PDA 等移動終端和無線的接入����,已經(jīng)讓企業(yè)很難定義一個清晰的網(wǎng)絡(luò)邊界。而通過端點的管理技術(shù)���,可以把非物理的網(wǎng)絡(luò)定義出一個清晰的邊界��。在今天的網(wǎng)絡(luò)環(huán)境中����,去定位、隔離和修復(fù)不達(dá)標(biāo)的系統(tǒng)�,意味著需要消耗大量的人力資源和時間;而且沒有好的技術(shù)手段來保障�����,這些問題遲早又會重現(xiàn)�。正是在這樣的背景下," 完整的終端管理" 這一新的安全理念應(yīng)勢而出�����。完整的終端管理能夠在當(dāng)網(wǎng)絡(luò)存在風(fēng)險時���,通過管理網(wǎng)絡(luò)中的各個端點����,來保證終端的安全運行�、實施自動修復(fù)����,并在危害發(fā)生之前就將其消滅���,以最終實現(xiàn)對整個網(wǎng)絡(luò)的保護���。
從源頭保證安全
目前端點安全技術(shù)已經(jīng)相當(dāng)成熟,每個端點的價格也趨于合理���,這就帶來了商業(yè)普及的可能性。像賽門鐵克安全策略保證系統(tǒng)(Symantec Secure Enterprise)就可以解決內(nèi)部網(wǎng)絡(luò)(含傳統(tǒng)內(nèi)網(wǎng)�、移動用戶和分支機構(gòu))的安全管理問題,而點播式保護(Symantec On-Demand Protection )則可以幫助企業(yè)在試圖進入網(wǎng)絡(luò)的訪客設(shè)備上實施安全策略�����,解決與電子商務(wù)��、電子政務(wù)�、網(wǎng)上銀行、SSL VPN 以及其他基于 web的應(yīng)用等相關(guān)的信息安全問題�����。
安全領(lǐng)域?qū)耀@殊榮的賽門鐵克可謂是這一領(lǐng)域的領(lǐng)先者,其在主機防火墻技術(shù)�、點播式保護技術(shù)、主機入侵防御技術(shù)以及網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)等多項指標(biāo)上均領(lǐng)先業(yè)界��。賽門鐵克網(wǎng)絡(luò)準(zhǔn)入/ 訪問控制 Symantec Network Admission/Access Control(NAC )的核心理念就是通過屏蔽一切不安全的設(shè)備和人員接入網(wǎng)絡(luò)�����,以及規(guī)范用戶接入網(wǎng)絡(luò)的行為���,從而鏟除網(wǎng)絡(luò)威脅的源頭��,避免事后處理的高額成本�。
不妨從網(wǎng)絡(luò)的原理來思考賽門鐵克 NAC理念的先進性��。網(wǎng)絡(luò)是由包括個人計算機����、臺式機、工作站�、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各種各樣的端點組成����。各種端點是安全的最后一公里���,也是最核心的地方,如果從源頭入手�����,把安全做進端點�����,就可以通過確保網(wǎng)絡(luò)中每一個" 端點" 安全措施的完整����,來保護整個網(wǎng)絡(luò)的安全和Web 應(yīng)用的正常。在網(wǎng)絡(luò)節(jié)點接入安全網(wǎng)絡(luò)時�����,需要對接入的系統(tǒng)安全狀況及系統(tǒng)用戶的身份進行充分的分析�、評估����、認(rèn)證,以此確認(rèn)該系統(tǒng)是否符合網(wǎng)絡(luò)的內(nèi)部安全策略����,是否達(dá)標(biāo)�����,最后再決定是否需要給予該網(wǎng)絡(luò)節(jié)點系統(tǒng)的接入權(quán)限����,還是拒絕接入或是安全升級后再接入�����。例如�,當(dāng)偵測/ 預(yù)防系統(tǒng)檢測到網(wǎng)絡(luò)系統(tǒng)中存在異常情況(如病毒、蠕蟲或木馬程序等)時��,就會將相關(guān)信息報告到策略控制系統(tǒng)����,再由策略控制系統(tǒng)自動發(fā)出控制指令,通過準(zhǔn)入安全設(shè)備將異常端點設(shè)備隔離�,同時報告給網(wǎng)絡(luò)管理員作進一步處理。如此,系統(tǒng)就可以在短時間內(nèi)控制發(fā)作范圍,免去了因為人工操作時間較長���,造成病毒或木馬已經(jīng)在網(wǎng)絡(luò)內(nèi)蔓延�����,難以控制的局面�����。這樣�,通過準(zhǔn)入設(shè)備�����、偵測/ 預(yù)防系統(tǒng)和策略控制系統(tǒng)的聯(lián)動�����,將整個網(wǎng)絡(luò)打造成預(yù)防���、及時處理和策略控制的全面安全系統(tǒng),如同可信計算一樣����,確保了所有接入到網(wǎng)絡(luò)上的端點是可信的。這樣網(wǎng)絡(luò)就不會被濫用,有效降低了潛在的安全風(fēng)險�、降低了網(wǎng)絡(luò)系統(tǒng)安全危機發(fā)生的頻率、縮小了發(fā)生的范圍���、提高了處理的效率�,降低了企業(yè)損失和成本����。
賽門鐵克以一種全新的思路,從根本上改變了網(wǎng)絡(luò)安全一直以來被動防守的局面���,為用戶提供了一套完整的能夠真正實現(xiàn)主動防護��、不間斷防護和零時點防護的安全管理架構(gòu)���。這種解決方案使企業(yè)能夠為消費者提供動態(tài)靈活的保護,創(chuàng)建一個安全的虛擬桌面(Virtual Desktop )環(huán)境來與企業(yè)進行互動����。企業(yè)甚至可以設(shè)置和實施連接策略來阻止敏感的公司信息外泄。終端解決方案讓消費者確信他們的信息不會被惡意攻擊或者盜竊�����。他們還可以保護企業(yè)的品牌以及公司與其客戶的關(guān)系。
因此���,不奇怪為什么越來越多的企業(yè)正轉(zhuǎn)向基于風(fēng)險的安全方式���。諸如惠普、索尼�、時代華納、NTT ��、聯(lián)邦快遞����、優(yōu)利這樣的大企業(yè)都選擇了賽門鐵克NAC 在全球進行大規(guī)模的部署和應(yīng)用,來保護自己的網(wǎng)絡(luò)和客戶的數(shù)據(jù)安全����。在亞太地區(qū),諸如瑞士信貸���、富士通�����、中興���、一汽等也已經(jīng)初步體驗到了端點保護的優(yōu)勢。
未來之路
IDC 預(yù)測�����,由于新型安全威脅�,病毒的頻繁爆發(fā)和垃圾郵件的爆炸式增長,從2004年到2008年��,安全內(nèi)容管理市場將以54.4% 的年復(fù)合增長率遞增�����。權(quán)威雜志InfoWorld 則預(yù)測�,2006年最有意義的創(chuàng)新將會是出現(xiàn)" 安全偏執(zhí)狂".顯然,任何一家公司都是不可能僅僅靠關(guān)注安全問題的某一方面就能一勞永逸�����。
數(shù)字化的交互現(xiàn)在已經(jīng)是無處不在了���。網(wǎng)上電子商務(wù)�����、寬帶網(wǎng)的使用以及人們上網(wǎng)方式等方面還會有非常大的發(fā)展�。未來,除了組織的網(wǎng)絡(luò)安全這一挑戰(zhàn)將繼續(xù)存在外��,另一個更關(guān)鍵的問題可能是消費者對數(shù)字世界信心的消失��。在數(shù)字世界里�,消費者經(jīng)常是安全保護系統(tǒng)中的薄弱環(huán)節(jié)。企業(yè)會擔(dān)心它們的顧客是否得到了充分的保護�。它們也會擔(dān)心它們的客戶可能會在不經(jīng)意間使企業(yè)遭受攻擊,讓整個網(wǎng)絡(luò)面臨風(fēng)險��。當(dāng)客戶訪問關(guān)鍵商業(yè)應(yīng)用程序時�,企業(yè)需要一種方法來在客戶進入網(wǎng)絡(luò)前確保他們滿足了某種最基本的安全要求。
商業(yè)社區(qū)必須提供終端到終端的安全解決方案��,解除數(shù)字世界客戶的后顧之憂��。企業(yè)應(yīng)該利用它們的基礎(chǔ)架構(gòu)來提供關(guān)鍵和綜合的解決方案�,來確保終端安全,還必須保護含有客戶信息的應(yīng)用程序和數(shù)據(jù)庫�。
有鑒于此,賽門鐵克研究實驗室小組已經(jīng)開始開發(fā)一種名為賽門鐵克數(shù)據(jù)庫審查與安全保護(Symantec Database Audit and Security)的全新數(shù)據(jù)庫保護技術(shù)����。這種技術(shù)可以監(jiān)視每一筆數(shù)據(jù)交易——以實時的方式進行�����,它可以建立審計跟蹤,對每個數(shù)據(jù)庫用戶的異常使用情況進行掃描���,標(biāo)記出那些不符合公司政策的��、對敏感數(shù)據(jù)的請求��。
一個充滿信任的���、可以為最終用戶提供方便、無縫連接和安全的在線經(jīng)歷的網(wǎng)上社區(qū)是我們的最終目標(biāo)����。企業(yè)應(yīng)該堅持不懈的走主動性安全體系建設(shè)的過程,并愿意跟服務(wù)商一起共同承擔(dān)安全建設(shè)的風(fēng)險��。實踐證明�,這樣的企業(yè)最有可能實現(xiàn)安全管理最佳境界。企業(yè)也需要提高選擇和制定適合企業(yè)的安全標(biāo)準(zhǔn)��;建立一套安全管理的流程�����;實施安全意識教育,以避免無意之間造成的安全錯誤�。
我們必須意識到,把確保信息安全放在第一位不僅僅是安全防護公司或者安全防護專家的責(zé)任���,它應(yīng)該是我們大家的責(zé)任�。
鏈接:新 "木桶短板理論" 與企業(yè)的信息安全
木桶的承水量��,或者企業(yè)的信息安全水平��,并不只是由最短的那塊木板決定����。還取決于木板間的縫隙和底板的牢固�����。
把每塊木板看成是一個安全產(chǎn)品��,如果它們之間不能很好的密合起來��,水還是會留出去。木桶之間的縫隙��,好比安全防護體系不同產(chǎn)品之間的協(xié)作和聯(lián)動�����。在信息安全中�����,目前的攻擊手法已經(jīng)融合了多種技術(shù)�����,比如蠕蟲就融合了緩沖區(qū)溢出技術(shù)����、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù)���,如果我們的各個安全產(chǎn)品還是獨自作戰(zhàn)��,就無法有效地阻止病毒的傳播����。而且更為嚴(yán)重的是,目前的安全產(chǎn)品日志是沒有合并的�,精密的黑客攻擊行為可能出現(xiàn)的情況是每一個單獨的安全產(chǎn)品都可能沒有識別出是一個攻擊行為,但是如果把這些攻擊日志結(jié)合在一起就發(fā)現(xiàn)是一次嚴(yán)重的攻擊行為�。
牢固的底板同樣重要。對于企業(yè)而言�,這只底板正是企業(yè)的信息安全架構(gòu)、制度建設(shè)和流程管理���。缺乏整體的信息安全規(guī)劃和建設(shè)�、制度和流程���,或者執(zhí)行不力����,沒有定期檢查��,正如同木桶的桶底不太堅實�。越來越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn)。
因此���,企業(yè)現(xiàn)在需要的是一套整合各種方案和產(chǎn)品的安全管理流程,這是先決條件�����。只有這樣,水才不會通過縫隙流出來���,再把那塊短板加高,安全水平才會得到提升���。
先把握好大方向,然后再去修補小的漏洞����,而不是相反��! | 
