|
|
企业级用户考虑更多的是怎样选择自己合适的产品,选择具有核心技术与良好服务的安全产品才能为企业带来更可靠的保障。随着政府及企业信息化建设的迅猛发展,企业级用户对安全产品的选择也将会日趋成熟。
现在,几乎每天,各种媒体都在宣传网络安全的重要性:又出现了某种新病毒,提醒人们要多加注意,又发现了某个商危险漏洞,告诫用户要及时打补丁……
总之,各种各样的安全威胁充斥网络,上网的人要小心再小心。这种宣传给人的直接感觉是:网络很危险。有人说,最安全的方法就是拔掉网线,不上网。显然,这不现实。那么到底应该如何才能获取安全感?这个问题是萦绕在许多人,包括信息安全专家心中的困惑。
一问:便捷与安全的平衡点
现在的管控手段和企业的结合不到位,导致管理附加成本极高,为了安全管理,影响正常的工作。以文档管理为例,安全文档的使用非常繁琐,要经过一系列的审批流碰,才能获得需要的文档。那么安全公司如何利用技术手段帮助用户在安全和便捷之间找到一个平衡点?
便捷性是使用网络的根本价值所在,而安全性则是用户使用网络进行业务操作的核心和关键。便捷性和安全性是两个相辅相成的标准。
其实安全本身就讲究平衡、适度与和谐,雅论安全防护不够还是防护过度都是不可取的,在防护的“度”和平衡的指标上,国家已经出台了相关的规范和要求,比如公安部等4部委主导的信息系统等级保护以及涉密单位进行信息安全建设所需要参考的《涉及国家秘密的信息系统分级保护管理规范》(简称,分级保护)等,这些规范可以帮助用户建设和谐的网络安全环境。
赛门铁克中国区技术团队专家部技术经理徐耀文建议用户分四步走:
第一,企业需要通过确保端点、消息和W曲环境的安全,来保护其基础设施。而其中,保护重要的内部服务器和实施备份及恢复数据的能力应当是重中之重。此外,企业还需要可视性和安全智能,以便对攻击及时反应。
第二,IT管理员需要采取以信息为中心的方法来积极保护信息和交互。采取内容感知法保护信息是了解敏感信息位于何处、谁访问过它以及它如何进入或离开企业等内容的关键。
第三,企业需要制定和实施IT政策,并自动实行IT遵从流程。通过确定风险重要级别和明确跨地区的政策,客户可以通过内置自动化和工作流程来实施IT政策。这样,不仅能发现攻击,而且能在攻击发生时立即采取补救措施,或者在发生之前就阻止它。
第四,企业需要通过实施安全操作环境、发布并实施补丁级别,以及流程自动化来简化效率、监控和系统状态报告。
合理化的安全建设改造的过程,其实就是在安全性和易用性之间寻找到一个最佳的平衡点。
东软网络安全营销中心安全服务部部长席斐表示,在寻求平衡点的基础上任何技术都离不开配套的管理。在增加相应技术控制措施“阻碍”之后,配套的管理改良措施也应一并跟上。通过合理调优和梳理原有管理环节与流程,尽可能的降低相应管理成本。
另外,加强内部人员的安全意识也是至关重要的。要通过不断的培训和教育,让所有人员认识到,企业的信息安全维护和保障是同每个人息息相关的,是每个人都应承担的责任和义务。每个人都努力向前做到哪怕一小点,整个企业的安全保障工作就会向前迈进一大步。
北京启明星辰信息安全技术有限公司总工程师袁智辉表示,平衡不同信息系统的风险与成本,采取不同强度的保护措施。用户既应该反对重应用不重安全、防护措施不到位的“弱保护”现象,同时也反对不从实际出发,防护措施“一刀切”的“过保护”现象。
用户在企业机构内部的网络行为活动基本属于安全域内部的活动,既要保持网络的灵活性又要保证行为的安全性,指导思想是在保证网络使用灵活性的基础上和前提下优先保证基本安全。
首先,保证用户终端的基本安全,即端点安全。
其次,保证安全域边界的安全,常见的就是网关位置,这个位置就像一个院落的大门,哪些内容需要检测,哪些行为需要审计,哪些访问是允许的或禁止的。凡是涉及到内/外部的数据交互都会穿过这个关口,因此在这个关口位置进行安全把控会得到事半功倍的效果,这也是国内外网络安全厂商产品和解决方案比较密集的地方。
再次,保证安全域内服务计算资源的安全,这部分多为提供服务的一些应用系统,像邮件服务器、文件服务器、Erp服务器和其他应用系统等。这部分属于企业机构内部或为外部用户合作伙伴提供服务的“后台”资源。这些“后台”资源面临的主要威胁来自于内部用户恶意或误、外部用户入侵与探测、网络蠕虫传播、SQL注入、挂马、自身的安全隐患等。
最后,为了方便从总体上分析网络的安全状况和风险,实现适度的安全,需要将端点安全、边界安全、域内的服务计算的日志、安全事件、资源占用和运行状况等数据采集和分析,需要部署安全管理平台,可以为用户提供统一的管理、配置界面,统一的分析与展现。
针对企业方法木马病毒存在严重误区:忽视对Unix和Linux系统的病毒防范,只针对服务器进行重点防护,忽视客户端的安全使用,缺乏对终端用户的安全指导和安全教育,使用单机版杀毒软件保护企业网络;不用软盘、优盘等移动设备,就不会感染病毒,因而雅需选择杀毒软件;杀毒软件不及时升级、缺少统一的安全策略和安全规范,重“杀”不重“防”,未建立漏洞修补机制、网络中存在过多不必要的共享和服务等不安全设置,只要在内外网连接处架设了防毒网关设备,内网中就雅需再安装杀毒软件。瑞星安全专家唐威提出建议,企业内部文档安全的问题,实际上属于企业内部安全管理的范畴,可以应用内网安全审计系统,对全网进行安全部署,这样对于不同部门、不同级别的员工,对企业内部文件的访问权限都是不同的,由企业安全管理人员制定安全策略后,就可以有效解决这一问题。
财务报表只对公司高管开发读取权限、对财务部开发修改权限,但不允许复制粘贴操作,当一个财务部员工去拷贝财务报表时,审计系统会自动记录日志,并且将该员工电脑进行锁定。
很多安全问题和木马病毒、黑客可能并没有直接关系,所以需要对整个企业在安全方面面对的问题进行统一分析,然后针对不同的问题采用不同的安全产品,定制不同的安全策略。这些工作可能在初期表现出工作量大、细节问题多等问题,但企业真正将安全做到有法可依,执法必严后,企业安全才能提升到一个高标准的级别。建立健全网络与信息安全保障体系和防范机制,全面提升企业的网络与信息安全防护能力、应急处置能力,从而有效保障企业信息安全健康发展。
在联想网御CTO毕学尧眼里,“管理和技术合二为一,才能达到网络安全目的”。
首先要进行身份式的管理,提倡实名管理和实名审计。对企业中不会引发经济损失的安全制度(如上班时间不能打游戏,不能炒股等规定),我们建议采用实名审计,这样可对员工进行有效地震慑 的同时保证员工的正常工作环境。
其次,对于企业中会引发经济损失的区域、部门、个人我们采用集中地强制管理,如控制文件的非法拷贝、邮件内容管控、网络访问控制等手段。这里我们主要说明一下文档管理。文档管理也要进行合理的权限划分,什么人可以访问什么内容的文件和什么内容的文件可以被什么人访问,看似同样的问题,如果合理有效的划分就可减轻日常维护的繁琐。比如,用文件保密管理系统,我们首先定义人员能访问哪类文件,然后管理员只需对文件进行类别戈Ⅱ分,那样什么类别的人就能看见相应类别的文件,管理只是进行文件的划分就行了。
最后在提倡控制和管理的同时我们必须也要对员工的工作环境进行一些运维支持,这可预防一些事故的发生。首先我们要采用一些如防火墙、入侵防护、流量控制的网关设备进行全局环境的保护,对于员工工作终端的系统补丁,防病毒安装、启用、病毒库的更新等问题进行监控和管理,使一些粗心大意的员工的终端可时刻得到保护。所以从全局到局部我们都要采用适当有效地防御和管理方法才能保护整个企业内网安全。
总体来说联想网御提倡制定事先预防、事中管控、事后审计的安全策略,合理有效、有张有弛的进行安全管理,才能保证企业内网安全的同时不影响员工的正常工作。
Mcafee市场经理张东伟表示,安全和制度二者缺一不可。信息的安全需要流程和规章制度的保护,再加上一些技术(DLP/NDLP)的采用,可以更有效地帮助用户在保证安全的同时,保证安全的便捷性。二问:木马综合防范
木马的综合防范。现在很多企业对于水马的防范都没有一个体系化的系统。现有的一些木马防范产品,要不然就是雅法及时查杀木马,要不然就是和企业的其他系统雅法真正融合,要不就对最新的木马病毒束手雅策……
对于企业的木马、病毒等防护问题,毕学尧认为现有的企业级解决方案主要面临两大挑战:
第一,防护时间差问题。一般来说,从一个木马出现到被识别、分析、加入特征码库到最终传送给用户计算机,通常要花费24小时到12小时的时间,如何缩短防护时间差,是企业评价解决方案的主要关注点之一。
第二,安全威胁多表现为混合型攻击。如挂马网站、病毒、蠕虫、木马和后门攻击,这些攻击往往通过邮件和被感染的网站发出,并很快地衍生出新的攻击变种,这使得现有单一的安全防护解决方案难以有效应对。
木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生直接破坏,而是以控制和窃取信息为主。很多企业虽然在安全策略上要求控制木马的传播,但由于其隐藏性和自发性,导致木马难以被单一的技术发现和清除,而需要完善的管理制度以及相应的技术支持手段才能相对有效的对木马予以控制。
袁智辉建议,要构建木马的企业级防护体系,要从管理和技术角度同时人手:管理上,一方面要制定相关的安全策略,如木马检测软件配置要求、木马监控应急机制与相关流程等。另外一方面规范并推广使用安全可靠的操作系统和应用程序:如浏览器和电子邮件客户端工具,对员工进行基本的安全知识培训。技术上要结合多种检测机制来进行木马的检测与清除。第一,安装杀毒软件并及时升级。第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。第三,利用终端安全软件严格监控终端的各种安装程序与运行进程,如果有条件的话可以利用终端安全软件实施网络准入控制,即只有确认安全的终端才可以接入网络,这样可以有效的防止木马软件的传播和破坏。
谈到木马防治,云安全这个概念就不能不说,一方面,云计算为传统的木马、病毒及攻击行为的监测方式带来了新的思路上的突破。运用云计算,通过互联网大量用户端对各种软件的异常行为进行监测,获取互联网中的木马、恶意程序等最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个用户端。采用云安全技术后,整个互联网就是一个巨大的“杀毒软件”。参与者越多,木马和病毒检测的准确度及效率就越高,每个参与者、整个互联网就越安全。
为了提供有效解决方案,联想网御深入研究云计算,参考了云安全架构,提出主动云防御解决方案。其本质是集成所有已部署的病毒/攻击检测计算资源,并为其他安全产品共用,达到主动和快速地检测和阻挡已知和未知威胁。
具体到技术层面,唐威认为企业需要部署专业的企业级杀毒软件和安全产品从而有效解决病毒有关的问题:也就是由“点”及“面”,掌握信息,实施对应安全管理策略。瑞星企业级杀毒软件可以提供技术手段,使网络安全管理工程师可以及时掌握网络上的相关病毒信息,如:网络上有哪些病毒?哪些类型的病毒比较多?哪些计算机感染了病毒、感染了什么病毒等信息?掌握上述信息后,可以有针对性的实施病毒安全管理策略,进行有效的防病毒管理。
张东伟表示全球威胁智能感知系统(Global Threat InteHigence)可以很好地解决这个问题,它作为迈克菲实验室的一部分,拥有350多名研究员,分布在全球21个国家,专注于识别和跟踪日益猖獗的各种恶意病毒威胁。他们每天能够检测到5万多个恶意软件,每个月进行200亿次电子邮件信誉查询以及150亿次网络信誉查询。大量数据的分析,提高了迈克菲的主动防御功能,而功能的提升在全球又获得大量客户,从而得到更多全球的数据。如此良性循环,使得迈克菲能够利用全球智能威胁防护系统,提供更高的检测率。
席斐表示,木马防治的另外一个必要因素就是人。因为安全说到底,就是对人的管理。如果所有人都能做到“循规蹈矩”,那么也就不需要那么多安全技术措施了。因此,对于木马这种攻击手段,防范的关键在于居安思危、未雨绸缪,也就是要加强企业内部各级人员的安全意识。只要人员的安全意识得到了提升,人人都能主动做好对木马和恶意程序的多加留意与防范,就能够在很大程度上降低感染木马的几率。
除此以外,针对大型或超大型的企业,要对病毒进行有效防范、监控和处理,除了需要部署安全软件以外,在网关处进行初次病毒过滤也是非常有必要的。
在徐耀文看来,形成风险管理的闭环可以完美解决木马问题。事前能够从全面、系统的角度去检查、发现和早期纠正,事中能够监察和预警以及进行实时控制,事后审计是持续改进实现动态管理的保证。
三问:安全标准落地中国
如何将国际标准和国内的实际情况相结合?国际上的标准直接应用到中国企业,会遇到很多水土不服。
袁智辉认为,进行ISMS(信息安全管理体系)的建设有很多国际国内标准可以参考,国际上早期的有美国的橙皮书,现在比较流行的是IS021001;国内有GB 11859、GB 1833 等。其实标准本身是没有国别、文化的差异,它们所阐述的,包括进行ISMS建设需要考虑的方面以及建设过程中需要进行的步骤都是科学的、有实际意义的。
但安全公司依据安全标准帮助客户进行ISMS建设时,确实遇到了困难,并不见得是因为水土不服,雅论采用国内标准还是国际标准,都会遇到类似的困难。分析进行ISMS建设中遇到的障碍,主要是两个方面:其一、客户在进行ISMS建设初期对标准定义内容的背后原因很难有深刻的理解的,就是说客户可以理解了标准的要求,但很难认识到为什么需要这样做,这会导致客户对标准的执行有迟疑成分,不够坚决。其二、标准一般都给出了各种要求,但如何实现这些要求,是没有具体方法的。这样客户在标准落地的时候就难以实现实质性落地。
国际标准固然是好,但席斐认为,结合中国特色的企业管理模式来看,不能仅限于模仿,关键还是要把这些国际标准更好的融会贯通。企业在参照这些国际标准设计与制定自己的信息安全管理体系时,不宜生搬硬套,而应该结合企业自身的特点和实际情况进行合理化的调优与裁剪。只有在现有管理模式的提升改造和国际化标准体系的调优裁剪之间找到最佳平衡点,信息安全体系建设才会更具生命力和执行力。
以上三个问题涉及到了一个企业进行信息安全建设的管理制度、技术支撑、安全体系三个关键方面,这三方面要均衡建设,好的管理制度需要技术支撑,没有全面的安全体系建设很容易因为一个局部问题导致千里之堤毁于蚁穴。安全建设从技术角度来看是一个极其复杂的问题,但如果从经济角度来理解就相对简单。举例来说,如果企业投入一元钱来保护价值是2元钱的信息资产,而攻击者需要付出3元钱的代价才能够破坏或者窃取企业的信息资产,那么这样的安全建设就是成功的。
转载注明来源:http://www.ybaotk.com |
上一篇:茅台申请奢侈品牌等于自寻死路下一篇:完善基层检察院队伍管理机制促进队伍专业化建设
|
发表于 2020-7-1 01:25:05
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
发表于 2020-7-1 01:25:55
QQ登录
