您的位置: 网界网 > 周报全文 > 正文

[周报全文]螺旋式上升—企业网络安全应用实录

2005年08月30日 16:46:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:网络安全和企业信息化进程息息相关,IT应用越开放,就越需要网络安全产品保驾护航。

标签
网络安全
 

  主动把成本中心变为盈利中心

  对于很多企业来说,安全的投入成为企业的成本和负担,但是,一旦遭受网络安全事件,企业的损失是不可估量的,我们需要重新定义对安全的投入心态,分析我们所面对的风险,以及保障这些风险后,企业在市场竞争力的提升。最重要的核心就是:安全为应用而生,衡量网络安全的工作是否成功、有一个最基本的标尺,那就是它是否能保障应用、促进应用。如果我们因为安全问题而不得不停止大量有价值的网络应用,这种为了安全而安全的做法,并不是我们最终想要看到的。好的安全措施可以促进网络应用,从而提升企业的竞争力。

 

  网络安全和企业信息化进程息息相关,IT应用越开放,就越需要网络安全产品保驾护航。

  毫无疑问,网络安全将是企业信息化建设的持续热点。随着安全威胁变得越来越严重,近几年,网络安全市场一直保持着快速发展的态势,厂商都在不遗余力地研发推广新技术、新产品,以期在迅速扩大的市场中占有更多的份额。像思科、微软等其他领域的巨头也看好安全的前景,纷纷介入这个市场。厂商是推动网络安全市场前进的动力之一,而更强劲的动力则来自于各个行业的用户,来自于他们对自身网络安全的切实需求。

一次调查的结果

  网络安全作为信息化建设的一部分,其发展水平也会受制于信息化的整体发展情况。而且,由于网络安全产品是为了保障企业各种应用正常运行而存在的,因此网络安全的发展往往还滞后于其他基础IT设施和应用的建设。

  不久前,为了配合网络世界2005秋季安全巡展,网络世界网站发起了“安全产品读者选择”调查活动。这次调查的结果从一个侧面反映出了企业中网络安全产品的应用和需求状况。

         36.gif

  本次调查共有658人参加了投票。在“您单位近期有意购买哪些安全产品?”的调查中,有46%的人选择了防火墙,20%的人选择了防病毒软件,选择SSL VPN产品的人占11%,选择IPS/IDS产品的人占6%,选择漏洞扫描产品的人占5%

  防火墙、防病毒软件是最基本的网络安全产品,只要进行网络安全建设,必然会首先考虑这两个产品。而在调查中,防火墙和防病毒软件排在前两位,说明这些用户的网络安全建设仍然处在初级阶段,或者是刚刚起步阶段。2004年才为广大用户所认识的SSL VPN产品排名第三,说明了其有非常好的市场发展前景。与IPSec VPN产品相比,SSL VPN确实具有无客户端、维护简便的优点,而且在绝大部分应用上都可以替代IPSec VPN,因此受到了用户的青睐。

  参与本次调查的北京鑫晶贸易公司技术部的段金利说:“公司已经配备了防火墙和单机版防病毒软件。由于仅有少数的PC连接到了互联网,因此受到的网络攻击比较少,目前感觉安全产品还可以应付。公司已经准备购买新的防火墙。另外,等PC设备更新后,将考虑购买网络版防病毒软件。”

  在“您单位当前的安全投资是否足够?”的调查中,有56%的人认为“一般”;有34%的人认为“是”;有10%的人认为“否”。这反映出企业在网络安全方面的投入还不够。尤其在目前网络环境进一步恶化的情况下,用户急需加大安全投资的力度。有34%的人认为“当前的安全投资足够”,这个比例偏高,一个可能的原因是,有一些企业由于没有接入互联网,或者仅有部分接入互联网,所以受到的安全威胁还不严重,因此对安全现状还比较满意。

  渤海证券天津开发区营业部工程师马岳选择的是“一般”。虽然已经安装了防火墙和单机版防病毒软件,但他们的网络还是经常受到网络病毒的影响,他希望能够使用网络版防病毒软件来保护网络安全。

走入企业

  网上调查的结果能够说明一些问题,那么网络安全产品在企业中的实际应用状况如何呢?在不同的行业,应用状况差别很大。

  在某银行,网络是开展各项对内对外业务的基础。因此,网络安全是IT部门的核心工作内容之一。为了解决网络病毒的问题,该银行准备在核心的Cisco设备上装防火墙模块、IDS模块。这些模块的作用是发现异常流量后,把它屏蔽掉。起码不让它在网络里到处扩散,最多只在自己的网段里转发。

  和防病毒相关的一项工作是桌面系统的管理。网管人员想强制客户端装防病毒软件、及时打补丁、不让没有安装防病毒软件和打补丁的客户端进入网络,但是目前该银行还没有做到。

  该银行配备了IDS产品,但从实际情况看几乎没有起到作用。因为IDS有两个问题,一是产生的信息是海量的,有用的信息淹没在垃圾信息中,管理员根本看不过来,可以说IDS设备没有提供可管理性;二是缺乏联动性,比如IDS发现了攻击流量,怎么和防病毒、防火墙联动起来,这是个问题。用户现在用Sniffer分析网络流量,但这个工作本应该是由IDS来做的。

  除了一些主要的安全问题之外,还有两个小问题摆在银行的IT部门面前:一是员工上网所带来的病毒对内网的影响;二是员工上网行为的监控。现在正在使用的产品不能很好的满足银行的要求。

  与该银行相比,某钢铁企业的网络安全建设则要简单得多,防火墙和网络防病毒产品几乎就是网络安全产品的全部。

  该企业没有使用IDS产品的原因和前面提到的银行的情况类似,一是误报太多,没有和其他设备联动来抵御攻击;二是发生黑客攻击的情况并不多。由于这两个原因,该企业虽然试用过IDS产品,但后来并没有购买。

  防病毒是该企业面临的最大的安全问题,因此,在已有防病毒软件的基础上,该企业在今年采用了某厂商的防毒墙产品,目的是强制访问外网的客户端安装防病毒软件。通过设置一些策略,没有安装防毒软件的计算机将无法访问外网。

  该钢铁企业内部有一个电子邮件系统,由于和外界通过电子邮件沟通的情况不是很多,垃圾邮件还不是一个特别明显的问题。不过垃圾邮件和病毒的混合体所造成的危害越来越大,该企业已经计划购买防垃圾邮件产品,以加强网络安全,同时考虑的还有内容过滤产品。

  和某银行类似的是,令该钢铁企业苦恼的也是对客户端的管理。在企业内,有一些设备甚至都不知道在什么位置,具体配置是什么情况。再有就是发生IP地址抢占问题时(+本站微信networkworldweixin),目前只能看到是哪台计算机抢占了地址,但计算机位置在哪儿,谁在用,都不知道。所以迫切需要相应的资产管理软件,进行软件分发、补丁管理、控制IP地址的抢占、了解客户端的配置情况、提供及时准确的报表。

  列举这两个企业的网络安全应用实例,并不是要比较孰优孰劣,而是想指出这样一个事实:网络安全和企业信息化的进程息息相关。企业的IT应用越开放,和外界接触越多,受到攻击的可能性就越大,就越需要网络安全产品保驾护航。而且,各行业对安全产品的需求差异很大,用户需要搞清自身的需求,理性投资。

安全建设考验企业容忍度

  提起网络安全建设,相信有很多CIO[注]会有一肚子话要说。有不少企业的一把手已经认同了信息化可以提升生产效率的观点,但是对于网络安全建设总有一种被迫接受的感觉,不愿多投资在网络安全建设上。他们往往抱有一种侥幸心理,希望能躲过病毒的爆发、黑客的攻击、垃圾邮件的骚扰。但是只要连入了互联网,企业就会时刻面临着各种各样的威胁,能躲过一时,躲不过一世。如果不未雨绸缪,必然会招致较大的损失,而在此之后,还要去做亡羊补牢的工作,该花的安全投资一分也不会减少。

  某CIO就曾开玩笑地说:“亡羊补牢对CIO而言倒不一定是坏事。正是由于发生了问题,造成了损失,决策者才能意识到采取补救措施的重要性。说的极端一点,发生一次安全事件所产生的效果,可能比CIO十次的申请报告还管用。”

  虽然有很多CIO对企业网络中存在的安全问题心急如焚,但很多时候却只能是干着急。由于网络安全的投资比较大,而且有时候无法看到立竿见影的效果,因此在安全现象不是很突出的时候,一把手的选择往往是先维持现状,等安全问题严重了,才有可能考虑购买产品去补漏。像前面提到的钢铁企业,就是因为病毒发作,使办公厅的几十台机器瘫痪,领导才下决心购买防病毒软件。

下一个重点

  安全威胁不断发生着变化。当企业还在审视自己当前的安全环境时,一个新的威胁,或者说是已经存在了很久但企业没有注意到的威胁,已经又迎面而来。这就是灰色软件(包括广告软件和间谍软件)。

  灰色软件给企业带来了更大的风险,包括工作效率的降低、更多的求助电话造成的混乱和成本上升,以及潜在的法律责任。Forrester调查公司2005年对IT决策人员进行的一次调查发现,40%的被调查人员不知道自己的企业中有多少系统感染了间谍软件。那些可以说出感染间谍软件系统数量的被调查人员表示,大约20%的系统受到了感染,而且这一数字还在快速增加。

  虽然Forrester调查的是美国企业,但中国企业同样面临着灰色软件所带来的巨大危害,而且情况可能更严重。可以预见的是:反间谍软件将成为下一个企业网络安全建设的重点。

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]