當(dāng)我們認(rèn)真地去審視成長(zhǎng)型企業(yè)的信息安全問題��,我們驚訝地發(fā)現(xiàn)——信息安全對(duì)抗的焦土����,原來在這里�����!
丁冬是寧夏煙草公司銀川市分公司的網(wǎng)絡(luò)管理員�,前階段他一直很苦惱�����。三月底�����,公司業(yè)務(wù)部門向他反映���,與業(yè)務(wù)相關(guān)的信息系統(tǒng)運(yùn)行不正常���,時(shí)常出現(xiàn)業(yè)務(wù)系統(tǒng)異常中斷的情況。經(jīng)過仔細(xì)觀察����,丁冬發(fā)現(xiàn)故障是由于網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)造成的��。由于這是第一次遇到這種情況,丁冬很自然地就把原因歸結(jié)為網(wǎng)絡(luò)交換設(shè)備故障����,接下來的兩周里,丁冬仔細(xì)檢查了所有有嫌疑的網(wǎng)絡(luò)設(shè)備���,并且將主交換設(shè)備的操作系統(tǒng)進(jìn)行了升級(jí)����,然而問題依然沒有得到解決���。兩周的排查雖然沒有解決問題��,但是細(xì)心的丁冬發(fā)現(xiàn)了一個(gè)非常有規(guī)律的現(xiàn)象��,每天上午11點(diǎn)之后網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)的問題基本沒有出現(xiàn)過�����,也就是說這種故障只在早上上班到11點(diǎn)這段時(shí)間發(fā)生���,這讓丁冬更加費(fèi)解。時(shí)間一天天過去�,故障依舊在發(fā)生���,業(yè)務(wù)部門的一些同事開始抱怨,丁冬也更加著急了�����。在一次對(duì)網(wǎng)絡(luò)殺毒軟件的例行檢查中�����,丁冬發(fā)現(xiàn)網(wǎng)絡(luò)殺毒軟件設(shè)置中�,上午11點(diǎn)被設(shè)置為全網(wǎng)殺毒的時(shí)間。丁冬終于恍然大悟�,他立即調(diào)整了網(wǎng)絡(luò)殺毒軟件的查殺策略,將全網(wǎng)殺毒的開始時(shí)間調(diào)整為早上9:15���。又是兩周過去了����,網(wǎng)絡(luò)時(shí)常中斷的問題果然沒有再發(fā)生過����,故障基本得到了解決。后來我又發(fā)現(xiàn),現(xiàn)在的安全策略存在很多弊病���,比如針對(duì)不受網(wǎng)絡(luò)殺毒軟件控制的終端對(duì)網(wǎng)絡(luò)造成的影響,現(xiàn)在的策略毫無辦法����。并且有些病毒非常厲害,可以將客戶端殺毒軟件刪除�,造成網(wǎng)絡(luò)殺毒失效?���!倍《瑢?duì)記者說,“目前采取的方法主要是觀測(cè)硬件放火墻的數(shù)據(jù)流量信息�,以判斷存在問題的終端,但是這個(gè)方法效率還是比較低�����?�!薄艾F(xiàn)在�,網(wǎng)絡(luò)設(shè)備存在的問題已經(jīng)排除,但是對(duì)于不能徹底清除的像灰鴿子這樣的病毒只能進(jìn)行手動(dòng)清理����,工作壓力非常大�?���!倍《a(bǔ)充說。丁冬的遭遇的只是眾多成長(zhǎng)型企業(yè)安全問題中一個(gè)有代表性的縮影��,當(dāng)我們拋開大企業(yè)����,認(rèn)真地去審視中小企業(yè)的信息安全問題,我們驚訝地發(fā)現(xiàn)�,信息安全對(duì)抗的焦土原來在這里!
一�、最大危險(xiǎn)來自病毒
談到信息安全方面當(dāng)前遇到的主要安全威脅,丁冬向記者分析說:“我覺得目前像我們這樣的企業(yè)的信息系統(tǒng)面臨的安全威脅主要有病毒��、黑客引起的泄密�、公共信息基礎(chǔ)設(shè)施故障等等,但是可以看出最突出的威脅莫過于病毒了��。其實(shí)如果是專用局域網(wǎng)絡(luò)或是專線網(wǎng)絡(luò)等沒有直接與外網(wǎng)進(jìn)行連接��,病毒���、黑客的問題也不會(huì)這樣突出��,但是信息時(shí)代的特點(diǎn)決定了當(dāng)前企業(yè)需要充分獲取信息資源���,以及利用公共信息平臺(tái)建立電子商務(wù)等具有現(xiàn)代經(jīng)濟(jì)特征的運(yùn)作模式�����。這就決定了我們必然會(huì)受到現(xiàn)代化信息手段本身所存在缺陷的影響?���!?某安全廠商在一份針對(duì)人員不多于500人的成長(zhǎng)型企業(yè)安全問題的研究報(bào)告中發(fā)現(xiàn),77.5的受訪企業(yè)具備安全策略��,過去的12個(gè)月中���,56%的受訪者曾遭遇病毒攻擊���。普華永道的一份報(bào)告曾指出,多達(dá)74%的受訪企業(yè)曾發(fā)生過某種形式的安全事故���,僅有27%的企業(yè)曾因偶然的系統(tǒng)故障或數(shù)據(jù)破壞造成的嚴(yán)重安全事故中蒙受損失�。
在所有成長(zhǎng)型企業(yè)面臨的威脅中,病毒帶來的危險(xiǎn)是最大的��,其在嚴(yán)重安全事故中的比例達(dá)到70%�,影響多達(dá)50%的企業(yè)。正如丁冬分析的那樣�,除了病毒之外,成長(zhǎng)型企業(yè)面臨安全威脅還有很多��。比如公司網(wǎng)站面臨的惡意攻擊���,內(nèi)部員工的有意無意的誤操作造成的內(nèi)網(wǎng)安全事件等等�����。此外����,還有日益嚴(yán)重的垃圾郵件問題�,導(dǎo)致大量網(wǎng)絡(luò)資源被占用,有些垃圾郵件已經(jīng)成為病毒傳播的工具���,致使網(wǎng)絡(luò)安全事件防不勝防��?!痘ヂ?lián)網(wǎng)電子郵件服務(wù)管理辦法》的頒布,雖然讓反垃圾郵件有法可依����,垃圾郵件在短時(shí)間內(nèi)仍然在持續(xù)增長(zhǎng),嚴(yán)重影響了企業(yè)員工的工作效率�����。
二��、焦土作戰(zhàn)�,拿什么對(duì)抗威脅
在成長(zhǎng)型企業(yè)這片焦土上�����,安全問題變得越來越突出��。那么����,大部分企業(yè)在用什么武器應(yīng)對(duì)這種威脅呢?“對(duì)于其他企業(yè)目前使用的安全軟件我沒有進(jìn)行過大范圍的調(diào)查�����,所以我只能就我們單位使用的產(chǎn)品談?wù)勛约旱目捶ā��!倍《嬖V記者�,“我們公司在安全方面主要使用了硬件防火墻、企業(yè)版殺毒軟件及單機(jī)版殺毒軟件(windows服務(wù)器使用)���。這些產(chǎn)品以前是足夠用了��,但是目前來看由于現(xiàn)在的嵌套式病毒不能被一般殺毒軟件徹底清除����,要想清除必須進(jìn)行手動(dòng)操作�����,所以工作壓力相當(dāng)大��。就目前我們使用的這些產(chǎn)品來說�����,我覺得還不能夠?qū)W(wǎng)絡(luò)運(yùn)行情況及終端活動(dòng)進(jìn)行有效的監(jiān)控����,所以作為一名網(wǎng)絡(luò)管理員���,我是非常希望能使用更為有效的方法對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和分析,以便更為詳細(xì)了解網(wǎng)絡(luò)運(yùn)行的每個(gè)環(huán)節(jié)���?�!薄靶畔踩a(chǎn)品畢竟只是工具����,要想利用好這些工具�,根據(jù)企業(yè)自己的具體狀況對(duì)產(chǎn)品進(jìn)行優(yōu)化配置是非常重要的?���!倍《a(bǔ)充說�,“另外,必要的安全投入也是必須的���,我覺得企業(yè)不應(yīng)該把安全方面的投入看成是一般的管理費(fèi)用���,應(yīng)該把這種投入看成是一種投資。前期的安全投入其實(shí)是在為企業(yè)節(jié)省將來不必要的安全事件開支�����,這本身就是一種賺錢。”
但是令人憂慮的是���,普華永道的報(bào)告顯示���,18%的企業(yè)在其預(yù)算中不包括安全方面的支出,35%的企業(yè)安全預(yù)算不足1%�,還有11%的企業(yè)根本不知道他們?yōu)槭裁匆幹瓢踩矫娴念A(yù)算。報(bào)告同時(shí)指出����,總體IT預(yù)算的3-5%應(yīng)該花在安全方面。安全投入的不足����,造成了安全設(shè)施的不完整,安全設(shè)施的薄弱注定了企業(yè)經(jīng)常面臨一些意想不到的安全事件�。在這些安全事件發(fā)生時(shí),企業(yè)又不得不花大量金錢采取補(bǔ)救措施���,不僅阻礙正常業(yè)務(wù)的開展��,造成經(jīng)濟(jì)損失�����,有時(shí)候還損害了公司的形象�。“有些時(shí)候��,明知道有些做法不利于安全的保護(hù)��,但是這些矛盾是沒法協(xié)調(diào)的��?����!倍《嬖V記者��,“比如我們單位就存在著信息共享與安全管理方面的矛盾��,這種矛盾在我的單位就無法調(diào)和��,只能夠在兩者之間采取此消彼長(zhǎng)的方式尋求一種平衡��?�!?/FONT>
據(jù)丁冬介紹��,公司大部分員工需要上網(wǎng)以獲得有用信息幫助撰寫資料����、增加業(yè)務(wù)知識(shí)等等,有時(shí)候��,他們還需要將一些文檔和分析材料帶回家完成���,這種模式對(duì)信息系統(tǒng)安全帶來了重大的隱患�?��!拔乙恢睕]有找到太好的解決方法��,目前各方面提供的方法效果都不是很明顯�,不過在實(shí)踐中我也積累了一點(diǎn)想法����,希望能給大家一些參考,也希望大家有什么好的想法能與我分享一下����。”丁冬憨厚地笑了。丁冬認(rèn)為����,有條件的單位可以把一些終端設(shè)備比如軟驅(qū)、光驅(qū)��、UBS端口等禁用����,減少因?yàn)橛脩羲较掳惭b軟件帶來的安全問題;另外�,還可以將單位網(wǎng)絡(luò)分為兩部分,一部分為內(nèi)網(wǎng)用戶�,這部分用戶與internet網(wǎng)物理斷開,只能訪問公司內(nèi)網(wǎng)�,在公司里丁冬把這個(gè)網(wǎng)絡(luò)簡(jiǎn)稱A網(wǎng);另一部分網(wǎng)絡(luò)是可以與外網(wǎng)連接的B網(wǎng)絡(luò)���,在B網(wǎng)絡(luò)中設(shè)立專用上網(wǎng)機(jī)房為A網(wǎng)用戶提供上網(wǎng)渠道��,A,B網(wǎng)絡(luò)不能直接相連��?�!斑@個(gè)方案取決與企業(yè)的組網(wǎng)方式、網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)特點(diǎn)等,實(shí)施起來需要的各方面的條件也比較多�。”丁冬補(bǔ)充道。
三����、人定勝天 對(duì)抗威脅人是關(guān)鍵
事后控制不如事中控制,事中控制不如事前控制����。為了應(yīng)對(duì)各種安全威脅,避免不必要安全事件的發(fā)生�,企業(yè)應(yīng)該采取哪些措施來更有效地保護(hù)自身呢?趨勢(shì)科技資深產(chǎn)品經(jīng)理曾嶸告訴記者:“企業(yè)單純采用一些安全產(chǎn)品事不夠的����,也不足以使自己免受日益增加的各種威脅的攻擊。保護(hù)自身的安全�����,企業(yè)需要三管齊下的策略——依次是人�����、流程和技術(shù)�����。其中人是最重要的因素?�!比耸撬行畔⑾到y(tǒng)的建設(shè)者����,也是使用者,還是破壞者���,因?yàn)樵谡麄€(gè)安全體系中最薄弱也最容易被忽略的環(huán)節(jié)就是人��。大多數(shù)人并不是故意制造麻煩��,但是他們不太了解自己的職責(zé)或所做的一些操作有意無意中導(dǎo)致了安全事件的發(fā)生���。“要解決這個(gè)難題并確保每個(gè)人都清楚其職責(zé)所在����,制定安全策略是最為關(guān)鍵的?����!?曾嶸說,“要以易于理解的方式說明對(duì)他們的期望���,便于他們遵循,如果沒有按照要求形事�,則需要承擔(dān)相應(yīng)的責(zé)任?!?/FONT>
“我們單位制定安全策略的流程主要是上級(jí)公司的信息部門負(fù)責(zé)全局性安全策略,下級(jí)單位的信息部門具體執(zhí)行并針對(duì)自己?jiǎn)挝坏奶攸c(diǎn)制定更為具體的安全策略�。信息安全策略主要由信息部門負(fù)責(zé)制定并上報(bào)公司安全會(huì)議,會(huì)議通過后具體負(fù)責(zé)組織實(shí)施�����?�!倍《f���,“目前的缺陷是公司雖然成立的安全委員會(huì)���,但是主要側(cè)重硬環(huán)境的生產(chǎn)安全,比如車輛���、設(shè)備��、電源��、電路等安全��,對(duì)于信息安全也主要針對(duì)如服務(wù)器�、網(wǎng)絡(luò)設(shè)備、不間斷電源等硬件設(shè)備的防火����、防盜方面的安全問題。軟環(huán)境上的安全主要留給了信息部門負(fù)責(zé)��,沒有作為一件全局性的安全工作對(duì)待�。”“我相信現(xiàn)在的大多數(shù)成長(zhǎng)型企業(yè)整體安全管理上也都存在重視硬件安全管理��,而忽視或是沒有意識(shí)到軟環(huán)境的安全���。其實(shí)軟環(huán)境的安全管理存在于企業(yè)的每一個(gè)操作終端和操作人員上���,應(yīng)該更加引起企業(yè)的重視?��!倍《a(bǔ)充說���。安全策略基本上是一個(gè)行動(dòng)計(jì)劃�,確定公司有哪些關(guān)鍵的信息資產(chǎn)以及如何對(duì)他們進(jìn)行保護(hù)�。這些資產(chǎn)包括計(jì)算機(jī)、網(wǎng)絡(luò)以及公司的所有信息�。曾嶸認(rèn)為,企業(yè)制定安全策略的目的就是為每個(gè)人提供訪問信息資產(chǎn)的步驟和規(guī)則��,而不論他是員工����、管理人員還是經(jīng)過批準(zhǔn)的第三方企業(yè)�,以此來確保這些信息資產(chǎn)的完整性,保持機(jī)密性�,并在需要時(shí)可以得到使用.“簡(jiǎn)單地說,安全策略地目的就是找出需要保護(hù)的內(nèi)容���、需要防御的人以及采取哪些行動(dòng)來達(dá)到上述目標(biāo)���。” 曾嶸說��。安全策略應(yīng)該為員工和管理層制定出責(zé)任和義務(wù)范圍���,使IT人員做好自己的工作�。它還應(yīng)該識(shí)別安全事故的相應(yīng)過程和步驟,用詞要簡(jiǎn)潔明了�,盡量使用不會(huì)引起混淆的技術(shù)詞匯,便于人們理解和遵守��。
那么����,企業(yè)該如何制定自己的安全策略呢?據(jù)曾嶸介紹����,制定安全策略的第一步就是了解“風(fēng)險(xiǎn)分析”項(xiàng)目,就是說���,如果還不太清楚業(yè)務(wù)是如何運(yùn)行的���,那么要對(duì)其進(jìn)行充分的了解。只有在充分了解哪些屬于信息資產(chǎn)�����,并按照重要性對(duì)其進(jìn)行排序,才能在制定具體策略時(shí)更有針對(duì)性�����,根據(jù)各種資產(chǎn)可能面臨的潛在威脅制定相應(yīng)的策略��。第一步完成之后��,下一步的工作就是撰寫IT使命陳述��,讓每一個(gè)閱讀者了解安全策略的目標(biāo)���,并且清楚地說明每個(gè)人在信息資產(chǎn)訪問的作用和職責(zé),以減少因?yàn)槿藶殄e(cuò)誤造成的潛在安全風(fēng)險(xiǎn)��?�!鞍踩呗晕臋n的內(nèi)容應(yīng)該包括指導(dǎo)原則���、網(wǎng)絡(luò)訪問步驟以及安裝新型應(yīng)用或硬件的限制條件�����。如何選擇和使用密碼的策略也很重要�����,因?yàn)檫@點(diǎn)通常是安全鏈中最薄弱的環(huán)節(jié)���?��!?曾嶸補(bǔ)充說。上面的工作完成之后�,第三階段應(yīng)該說明如何實(shí)施安全策略以及如何如何處理破壞行為或不正當(dāng)行為。最后�����,全面的“備份和恢復(fù)”或“業(yè)務(wù)連續(xù)性”計(jì)劃至關(guān)重要���,它可以使企業(yè)信息系統(tǒng)在面臨災(zāi)難時(shí)繼續(xù)發(fā)揮功能�����。安全策略不能停留在書面上�����,制定安全策略是為了指導(dǎo)實(shí)際工作�,安全策略也只有在實(shí)施后才能發(fā)揮作用,而實(shí)施往往也是整個(gè)環(huán)節(jié)中最艱巨的工作�����。
“一方面�,要確保每個(gè)員工都可以獲得這份安全策略。另一方面���,企業(yè)要投入大量的時(shí)間和精力進(jìn)行員工教育和培訓(xùn)����,以使大家對(duì)安全策略以及他們?cè)谡麄€(gè)安全工作中的關(guān)鍵作用更加了解�����,確保員工和管理層充分領(lǐng)會(huì)安全策略�����,并將其作為準(zhǔn)則來遵守�����?��!?曾嶸說���。安全策略的貫徹執(zhí)行,可以在企業(yè)形成良好的安全保護(hù)的意識(shí)��,這對(duì)企業(yè)是最重要的�����。丁冬向記者表達(dá)了類似的觀點(diǎn):“做好信息安全工作不是只做好核心設(shè)備的軟硬件安全就可以����,更重要的是能夠營(yíng)造一種良好的安全環(huán)境,這樣才更符合信息發(fā)展網(wǎng)絡(luò)化的特點(diǎn)��。其實(shí)在我的單位�����,核心設(shè)備的軟����、硬件安全是比較好的,但是恰恰是網(wǎng)絡(luò)中普通終端的安全問題影響了整個(gè)信息網(wǎng)絡(luò)的運(yùn)行��,甚至威脅到業(yè)務(wù)的正常運(yùn)作?!?/FONT>
四、流程和技術(shù)是有利支撐
有了好的安全策略并且在企業(yè)順利貫徹執(zhí)行的同時(shí)��,業(yè)務(wù)流程和技術(shù)兩個(gè)因素也應(yīng)該受到重視����。不合理的業(yè)務(wù)流程會(huì)使安全事件發(fā)生的幾率大大提高,企業(yè)在制定業(yè)務(wù)流程時(shí)應(yīng)該充分考慮安全保護(hù)的需要�����。適當(dāng)選取一些技術(shù)以及安全產(chǎn)品��,為人和業(yè)務(wù)流程這兩個(gè)方面提供支持也是必須的�����。企業(yè)可以先確定自身可能面臨的主要風(fēng)險(xiǎn)�,檢查暴露的漏洞,然后再考慮可以填充漏洞的產(chǎn)品��。為企業(yè)選擇安全產(chǎn)品的最好方法是依照性能���、必備特征����、易用性����、本地支持以及費(fèi)用來對(duì)大量產(chǎn)品進(jìn)行評(píng)估和篩選。大部分專家認(rèn)為防火墻是一個(gè)不錯(cuò)的開端���,它可以針對(duì)那些意圖滲透網(wǎng)絡(luò)的惡意企圖提供基本保護(hù)�。防病毒軟件和電子郵件保護(hù)應(yīng)用緊隨其后�����,目的就是要保護(hù)計(jì)算機(jī)免受病毒破壞或確保生產(chǎn)效率不會(huì)因垃圾郵件而收到損壞���。隨著IT應(yīng)用的不斷深入���,企業(yè)常常會(huì)需要入侵檢測(cè)系統(tǒng)來主動(dòng)防御外部網(wǎng)絡(luò)的惡意入侵,然后是需要虛擬專用網(wǎng)絡(luò)來確保遠(yuǎn)程用戶可以安全訪問公司內(nèi)部網(wǎng)絡(luò)����。此外,適當(dāng)選用價(jià)格合理的網(wǎng)絡(luò)管理軟件也是很有必要的�����,可以讓網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)揮最大功效。人�����、流程和技術(shù)都有了相應(yīng)的措施之后�����,并不代表就能高枕無憂�����,企業(yè)還需要定期和隨機(jī)的對(duì)安全策略進(jìn)行檢查甚至審核���,以評(píng)估其有效性�,同時(shí)�����,要及時(shí)更新所有產(chǎn)品的組件�,并善于從相應(yīng)的產(chǎn)品和技術(shù)供貨商處得到一些安全的方面的指導(dǎo) 三依中文網(wǎng) www.3eeezw.com 三依。
