当我们认真地去审视成长型企业的信息安全问题,我们惊讶地发现——信息安全对抗的焦土,原来在这里!
丁冬是宁夏烟草公司银川市分公司的网络管理员,前阶段他一直很苦恼。三月底,公司业务部门向他反映,与业务相关的信息系统运行不正常,时常出现业务系统异常中断的情况。经过仔细观察,丁冬发现故障是由于网络时断时续造成的。由于是第一次遇到这种情况,丁冬很自然地就把原因归结为网络交换设备故障,接下来的两周里,丁冬仔细检查了所有有嫌疑的网络设备,并且将主交换设备的操作系统进行了升级,然而问题依然没有得到解决。
两周的排查虽然没有解决问题,但是细心的丁冬发现了一个非常有规律的现象,每天上午11点之后网络时断时续的问题基本没有出现过,也就是说这种故障只在早上上班到11点这段时间发生,这让丁冬更加费解。
时间一天天过去,故障依旧在发生,业务部门的一些同事开始抱怨,丁冬也更加着急了。
在一次对网络杀毒软件的例行检查中,丁冬发现网络杀毒软件设置中,上午11点被设置为全网杀毒的时间。丁冬终于恍然大悟,他立即调整了网络杀毒软件的查杀策略,将全网杀毒的开始时间调整为早上9:15。又是两周过去了,网络时常中断的问题果然没有再发生过,故障基本得到了解决。
“后来我又发现,现在的安全策略存在很多弊病,比如针对不受网络杀毒软件控制的终端对网络造成的影响,现在的策略毫无办法。并且有些病毒非常厉害,可以将客户端杀毒软件删除,造成网络杀毒失效。”丁冬对记者说,“目前采取的方法主要是观测硬件防火墙的数据流量信息,以判断存在问题的终端,但是这个方法效率还是比较低。”
“现在,网络设备存在的问题已经排除,但是对于不能彻底清除的像灰鸽子这样的病毒只能进行手动清理,工作压力非常大。”丁冬补充说。
丁冬遭遇的只是众多成长型企业安全问题中一个有代表性的缩影,当我们抛开大企业,认真地去审视中小企业的信息安全问题,我们惊讶地发现,信息安全对抗的焦土原来在这里!
最大危险来自病毒
谈到信息安全方面当前遇到的主要安全威胁,丁冬分析说:“我觉得目前像我们这样的企业的信息系统面临的安全威胁主要有病毒、黑客引起的泄密、公共信息基础设施故障等等,但是可以看出最突出的威胁莫过于病毒了。
其实如果是专用局域网络或是专线网络等没有直接与外网进行连接,病毒、黑客的问题也不会这样突出,但是信息时代的特点决定了当前企业需要充分获取信息资源,以及利用公共信息平台建立电子商务等具有现代经济特征的运作模式。这就决定了我们必然会受到现代化信息手段本身所存在缺陷的影响。”
某安全厂商在一份针对人员不多于500人的成长型企业安全问题的研究报告中发现,77.5%的受访企业具备安全策略,过去的12个月中,56%的受访者曾遭遇病毒攻击。
普华永道的一份报告曾指出,多达74%的受访企业曾发生过某种形式的安全事故,仅有27%的企业曾在偶然的系统故障或数据破坏造成的严重安全事故中蒙受损失。
在所有成长型企业面临的威胁中,病毒带来的危险是最大的,其在严重安全事故中的比例达到70%,影响多达50%的企业。
正如丁冬分析的那样,除了病毒之外,成长型企业面临的安全威胁还有很多。比如公司网站面临的恶意攻击,内部员工有意无意的误操作造成的内网安全事件等等。
此外,还有日益严重的垃圾邮件问题,导致大量网络资源被占用,有些垃圾邮件已经成为病毒传播的工具,致使网络安全事件防不胜防。《互联网电子邮件服务管理办法》的颁布,虽然让反垃圾邮件有法可依,垃圾邮件在短时间内仍然在持续增长,严重影响了企业员工的工作效率。
焦土作战,拿什么对抗威胁
在成长型企业这片焦土上,安全问题变得越来越突出。那么,大部分企业在用什么武器应对这种威胁呢?
“对于其他企业目前使用的安全软件我没有进行过大范围的调查,所以我只能就我们单位使用的产品谈谈自己的看法。”丁冬告诉记者,“我们公司在安全方面主要使用了硬件防火墙、企业版杀毒软件及单机版杀毒软件(windows服务器使用)。这些产品以前是足够用了,但是目前来看由于现在的嵌套式病毒不能被一般杀毒软件彻底清除,要想清除必须进行手动操作,所以工作压力相当大。就目前我们使用的这些产品来说,我觉得还不能够对网络运行情况及终端活动进行有效监控,所以作为一名网络管理员,我是非常希望能使用更为有效的方法对网络进行监控和分析,以便更为详细了解网络运行的每个环节。”
“信息安全产品毕竟只是工具,要想利用好这些工具,根据企业自己的具体状况对产品进行优化配置是非常重要的。”丁冬补充说,“另外,必要的安全投入也是必须的,我觉得企业不应该把安全方面的投入看成是一般的管理费用,应该把这种投入看成是一种投资。前期的安全投入其实是在为企业节省将来不必要的安全事件开支,这本身就是一种赚钱。”
但是令人忧虑的是,普华永道的报告显示,18%的企业在其预算中不包括安全方面的支出,35%的企业安全预算不足1%,还有11%的企业根本不知道他们为什么要编制安全方面的预算。报告同时指出,总体IT预算的3-5%应该花在安全方面。
安全投入的不足,造成了安全设施的不完整,安全设施的薄弱注定了企业经常面临一些意想不到的安全事件。在这些安全事件发生时,企业又不得不花大量金钱采取补救措施,不仅阻碍正常业务的开展,造成经济损失,有时候还损害了公司的形象。
“有些时候,明知道有些做法不利于安全的保护,但是这些矛盾是没法协调的。”丁冬告诉记者,“比如我们单位就存在着信息共享与安全管理方面的矛盾,这种矛盾我认为在我的单位就无法调和,只能够在两者之间采取此消彼长的方式寻求一种平衡。”
据丁冬介绍,公司大部分员工需要上网以获得有用信息帮助撰写资料、增加业务知识等等,有时候,他们还需要将一些文档和分析材料带回家完成,这种模式给信息系统安全带来了重大的隐患。
“我一直没有找到太好的解决方法,目前各方面提供的方法效果都不是很明显,不过在实践中我也积累了一点想法,希望能给大家一些参考,也希望大家有什么好的想法能与我分享一下。”丁冬憨厚地笑了。
丁冬认为,有条件的单位可以把一些终端设备比如软驱、光驱、USB端口等禁用,减少因为用户私下安装软件带来的安全问题;
另外,还可以将单位网络分为两部分,一部分为内网用户,这部分用户与Internet网物理断开,只能访问公司内网,在公司里丁冬把这个网络简称A网;另一部分网络是可以与外网连接的B网络,在B网络中设立专用上网机房为A网用户提供上网渠道,A,B网络不能直接相连。
“这个方案取决与企业的组网方式、网络结构和业务特点等,实施起来需要的各方面的条件也比较多。”丁冬补充道。
人定胜天 对抗威胁人是关键
事后控制不如事中控制,事中控制不如事前控制。为了应对各种安全威胁,避免不必要安全事件的发生,企业应该采取哪些措施来更有效地保护自身呢?趋势科技资深产品经理曾嵘告诉记者:“企业单纯采用一些安全产品是不够的,也不足以使自己免受日益增加的各种威胁的攻击。保护自身的安全,企业需要三管齐下的策略——依次是人、流程和技术,其中人是最重要的因素。”
人是所有信息系统的建设者,也是使用者,又是破坏者,因为在整个安全体系中最薄弱也最容易被忽略的环节就是人。大多数人并不是故意制造麻烦,但是他们不太了解自己的职责或所做的一些操作有意无意中导致了安全事件的发生。
“要解决这个难题并确保每个人都清楚其职责所在,制定安全策略是最为关键的。” 曾嵘说,“要以易于理解的方式说明对他们的期望,便于他们遵循,如果没有按照要求做事,则需要承担相应的责任。”
“我们单位制定安全策略的流程主要是上级公司的信息部门负责全局性安全策略,下级单位的信息部门具体执行并针对自己单位的特点制定更为具体的安全策略。信息安全策略主要由信息部门负责制定并上报公司安全会议,会议通过后具体负责组织实施。”丁冬说,“目前的缺陷是公司虽然成立的安全委员会,但是主要侧重硬环境的生产安全,比如车辆、设备、电源、电路等安全,对于信息安全也主要针对如服务器、网络设备、不间断电源等硬件设备的防火、防盗方面的安全问题。软环境上的安全主要留给了信息部门负责,没有作为一件全局性的安全工作对待。”
“我相信现在的大多数成长型企业整体安全管理上也都存在重视硬件安全管理,而忽视或是没有意识到软环境的安全。其实软环境的安全管理存在于企业的每一个操作终端和操作人员上,应该更加引起企业的重视。”丁冬补充说。
安全策略基本上是一个行动计划,确定公司有哪些关键的信息资产以及如何对他们进行保护。这些资产包括计算机、网络以及公司的所有信息。
曾嵘认为,企业制定安全策略的目的就是为每个人提供访问信息资产的步骤和规则,而不论他是员工、管理人员还是经过批准的第三方企业,以此来确保这些信息资产的完整性,保持机密性,并在需要时可以得到使用。
“简单地说,安全策略的目的就是找出需要保护的内容、需要防御的人以及采取哪些行动来实现上述目标。” 曾嵘说。
安全策略应该为员工和管理层制定出责任和义务范围,使IT人员做好自己的工作。它还应该识别安全事故的相应过程和步骤,用词要简洁明了,尽量使用不会引起混淆的技术词汇,便于人们理解和遵守。
那么,企业该如何制定自己的安全策略呢?
据曾嵘介绍,制定安全策略的第一步是要了解“风险分析”项目,就是说,如果还不太清楚业务是如何运行的,那么要对其进行充分的了解。只有在充分了解哪些属于信息资产,并按照重要性对其进行排序,才能在制定具体策略时更有针对性,根据各种资产可能面临的潜在威胁制定相应的策略。
第一步完成之后,下一步的工作就是撰写IT使命陈述,让每一个阅读者了解安全策略的目标,并且清楚地说明每个人在信息资产访问时的作用和职责,以减少因为人为错误造成的潜在安全风险。
“安全策略文档的内容应该包括指导原则、网络访问步骤以及安装新型应用或硬件的限制条件。如何选择和使用密码的策略也很重要,因为这点通常是安全链中最薄弱的环节。” 曾嵘补充说。
上面的工作完成之后,第三阶段应该说明如何实施安全策略以及如何处理破坏行为或不正当行为。
最后,全面的“备份和恢复”或“业务连续性”计划至关重要,它可以使企业信息系统在面临灾难时继续发挥功能。
安全策略不能停留在书面上,制定安全策略是为了指导实际工作,安全策略也只有在实施后才能发挥作用,而实施往往也是整个环节中最艰巨的工作。
“一方面,要确保每个员工都可以获得这份安全策略。另一方面,企业要投入大量的时间和精力进行员工教育和培训,以使大家对安全策略以及他们在整个安全工作中的关键作用更加了解,确保员工和管理层充分领会安全策略,并将其作为准则来遵守。” 曾嵘说。
安全策略的贯彻执行,可以在企业形成良好的安全保护意识,这对企业是最重要的。丁冬向记者表达了类似的观点:“做好信息安全工作不是只做好核心设备的软硬件安全就可以,更重要的是能够营造一种良好的安全环境,这样才更符合信息发展网络化的特点。其实在我的单位,核心设备的软、硬件安全是比较好的,但是恰恰是网络中普通终端的安全问题影响了整个信息网络的运行,甚至威胁到业务的正常运作。”
流程和技术是有利支撑
有了好的安全策略并且在企业顺利贯彻执行的同时,业务流程和技术两个因素也应该受到重视。不合理的业务流程会使安全事件发生的几率大大提高,企业在制定业务流程时应该充分考虑安全保护的需要。
适当选取一些技术以及安全产品为人和业务流程这两个方面提供支持也是必需的。企业可以先确定自身可能面临的主要风险,检查暴露的漏洞,然后再考虑可以填充漏洞的产品。为企业选择安全产品的最好方法是依照性能、必备特征、易用性、本地支持以及费用来对大量产品进行评估和筛选。
大部分专家认为防火墙是一个不错的开端,它可以针对那些意图渗透网络的恶意企图提供基本保护。防病毒软件和电子邮件保护应用紧随其后,目的就是要保护计算机免受病毒破坏或确保生产效率不会因垃圾邮件而受到损坏。
随着IT应用的不断深入,企业常常会需要入侵检测系统来主动防御外部网络的恶意入侵,然后是需要虚拟专用网络来确保远程用户可以安全访问公司内部网络。
此外,适当选用价格合理的管理软件也是很有必要的,可以让网络基础设施发挥最大功效。
人、流程和技术都有了相应的措施之后,并不代表就能高枕无忧,企业还需要定期和随机地对安全策略进行检查甚至审核,以评估其有效性,同时,要及时更新所有产品的组件,并善于从相应的产品和技术供货商处得到一些安全方面的指导。
2/6/2007
|