企業(yè)級(jí)客戶網(wǎng)絡(luò)安全狀況分析 這些年來,隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展,通訊的便利和資訊的發(fā)達(dá),讓人們通過網(wǎng)絡(luò)緊密地結(jié)合在一起,對(duì)網(wǎng)絡(luò)的依賴程度日益增加,無論是工作還是生活,乃至娛樂;網(wǎng)絡(luò)帶給人們方便和快捷和競(jìng)爭(zhēng)力,提供給人們新的娛樂和生活方式的同時(shí),互聯(lián)網(wǎng)絡(luò)上的資訊爆炸性地增加,IT環(huán)境也變得越來越復(fù)雜和開放,大大增加了網(wǎng)絡(luò)的管理難度和成本;而信息系統(tǒng)的迅速膨脹伴隨著層出不窮的漏洞,惡意威脅和攻擊日益增多,安全事件與日俱增,也讓接觸互聯(lián)網(wǎng)絡(luò)的每一個(gè)人都不同程度地受到了威脅; 互聯(lián)網(wǎng)的開放性讓所有人都處于一個(gè)平等的、無限聯(lián)接的網(wǎng)絡(luò)之中,你可以自由馳騁。然而,當(dāng)你真正深入到網(wǎng)中央,卻又發(fā)現(xiàn)來自互聯(lián)網(wǎng)上的"安全隱患"是多么的棘手。 一般來說,人們會(huì)面臨以下的主要幾種威脅來源: ·內(nèi)部人員(包括信息系統(tǒng)的管理者、使用者和決策者); ·準(zhǔn)內(nèi)部人員(包括信息系統(tǒng)的開發(fā)者、維護(hù)者等); ·特殊身份人員(具有特殊身份的人,比如,審計(jì)人員、稽查人員、記者等); ·外部黑客或小組; ·競(jìng)爭(zhēng)對(duì)手; ·網(wǎng)絡(luò)恐怖組織; ·軍事組織或國(guó)家組織等。
對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)客戶來說,面臨最大的問題常是因無知而無畏造成巨大的損失,而且這種現(xiàn)象非常普遍。通常有以下幾種情況:一個(gè)是因?yàn)榭蛻糇陨淼墓芾韱T技術(shù)水平的限制,加上缺乏足夠的技術(shù)和服務(wù)支持,不了解如何來更好地提供足夠的保障。二是管理層安全意識(shí)薄弱,花了巨資構(gòu)筑硬件基礎(chǔ)架構(gòu)和軟件平臺(tái),卻不愿意或者不到出事就不愿意花適當(dāng)?shù)腻X來把自家的信息架構(gòu)安全門檻逐步提高到合理的水平。三是員工的安全意識(shí)淡薄,一些好奇或者不當(dāng)?shù)男袨闀?huì)把威脅主動(dòng)地從外部帶到內(nèi)部,或者給內(nèi)部不良分子可乘之機(jī),不經(jīng)意地造成不可挽救的損失。這其中,因?yàn)轭I(lǐng)導(dǎo)安全意識(shí)薄弱而讓企業(yè)/單位處于高風(fēng)險(xiǎn)中是最常見也是最關(guān)鍵的一個(gè)因素;而由于員工的安全意識(shí)不足,在網(wǎng)絡(luò)上的不當(dāng)行為則往往是導(dǎo)致不安全隱患增多的很大一個(gè)原因。
對(duì)于第一種情況,由于企業(yè)級(jí)網(wǎng)絡(luò)IT環(huán)境的相對(duì)封閉性,管理員日常維護(hù)工作的艱巨和繁忙,決定了網(wǎng)絡(luò)管理人員不能及時(shí)掌握最新安全動(dòng)態(tài),不能擁有足夠的安全技術(shù)手段來維護(hù)工作業(yè)務(wù)日益依賴的網(wǎng)絡(luò)平臺(tái)。而作為一個(gè)企業(yè)級(jí)客戶來說,通過花很大的投入招聘高水平的安全專家專職為自己?jiǎn)挝换蚱髽I(yè)服務(wù)無論對(duì)成本考量還是對(duì)高水平的安全專家自身發(fā)展來說都是非常不切實(shí)際和不現(xiàn)實(shí)的;而且,一個(gè)高水平的專家往往需要扎實(shí)的理論基礎(chǔ),經(jīng)過多年的培養(yǎng),擁有豐富的實(shí)踐積累才能培養(yǎng)出來,非常不容易,所以,真正高水平的網(wǎng)絡(luò)安全專家數(shù)量很少。對(duì)于一個(gè)高水平的專家來說,選擇只為一個(gè)單位或企業(yè)服務(wù)是不明智的,而且網(wǎng)絡(luò)安全技術(shù)往往涉及方方面面領(lǐng)域,沒有哪一個(gè)安全專家能精通所有的領(lǐng)域,對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全體系的構(gòu)筑來說,往往需要精通不同領(lǐng)域的安全專家付出共同的努力。
因此,解決單位或企業(yè)因技術(shù)人員水平限制的問題,企業(yè)需要專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司這樣一個(gè)得力的助手來協(xié)助構(gòu)筑和維護(hù)自己的網(wǎng)絡(luò)安全保障體系,來保障依賴于網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)正常穩(wěn)定地運(yùn)行。
關(guān)于管理層安全意識(shí)薄弱問題,有一定的現(xiàn)實(shí)原因,單位或企業(yè)本來對(duì)開支巨大的IT建設(shè)持謹(jǐn)慎的態(tài)度,管理層和信息部門往往橫著一條很深的鴻溝,對(duì)于信息化本來就存在著不同的理解和判斷,這里需要有個(gè)過程。
在信息化的潮流中,在信息化與否之間沒有第二種選擇,只有選擇如何更好地讓信息化為提高單位工作效率,為增強(qiáng)企業(yè)競(jìng)爭(zhēng)力服務(wù)。如何讓信息化建設(shè)真正有效地為單位或企業(yè)服務(wù),是個(gè)頗費(fèi)心思的問題;這也是一個(gè)不斷嘗試,不斷改進(jìn)和完善的過程。在單位或企業(yè)的業(yè)務(wù)平臺(tái)真正實(shí)現(xiàn)完全向信息系統(tǒng)轉(zhuǎn)移,運(yùn)作非常依賴信息資產(chǎn)前,企業(yè)管理層安全意識(shí)薄弱的問題是有一定的客觀原因的;隨著企業(yè)信息化水平的不斷加深,管理層網(wǎng)絡(luò)安全意識(shí)應(yīng)該會(huì)逐步得到增強(qiáng),并逐步會(huì)主動(dòng)去思考如何更好地構(gòu)筑信息平臺(tái)的安全保障體系。這一點(diǎn),從電信、金融、電力等極度依賴信息系統(tǒng)的領(lǐng)域可以看出來。
比較值得一提的是,由于管理層繁忙的工作事務(wù)和專業(yè)差異,常常對(duì)網(wǎng)絡(luò)安全體系的建設(shè)過于忽視,孰不知,安全無小事,一旦因缺乏安全防護(hù)措施,對(duì)信息系統(tǒng)造成破壞,造成的巨大損失遠(yuǎn)非預(yù)先的安全建設(shè)投入可比。因此,管理層應(yīng)該給予信息化安全系統(tǒng)建設(shè)足夠的重視,根據(jù)信息化的不同階段,逐步地增強(qiáng)安全保障措施,切忌一勞永逸的做法。
單位或企業(yè)信息化中存在的安全問題往往是由于內(nèi)部員工的安全防范意識(shí)薄弱造成的;由于互聯(lián)網(wǎng)絡(luò)開放性的特點(diǎn),接入網(wǎng)絡(luò)的人往往可以很容易地去到網(wǎng)絡(luò)的任何角落,通過網(wǎng)絡(luò)接觸到形形色色的事物,存在很大的不確定性;由于信息技術(shù)的很多固有局限,網(wǎng)絡(luò)里面存在很多高風(fēng)險(xiǎn)的因素,而內(nèi)部員工由于非專業(yè)性,對(duì)各種風(fēng)險(xiǎn)的來源未必清楚,因此有必要加強(qiáng)對(duì)員工的網(wǎng)絡(luò)安全防范意識(shí),以及對(duì)員工進(jìn)行充分的安全操作和流程的培訓(xùn)及教育,以免給外部和內(nèi)部不良分子以可乘之機(jī),造成經(jīng)濟(jì)損失。另外,光靠員工的自覺,是遠(yuǎn)遠(yuǎn)不夠的,也需要附之于技術(shù)手段來加強(qiáng)管理,借助各種成熟可靠的安全工具輔助管理,因此,單位或企業(yè)信息化,在帶來巨大收益和回報(bào)的同時(shí),構(gòu)筑一套信息系統(tǒng)保障體系也是非常必要的。
中喜公司的一些建議:
1、安全,合適最重要! 不要把安全太當(dāng)一回事,也不要把安全不當(dāng)一回事;太看重安全的是傻瓜,安全從來只不過是輔助的位置,咱們不能主次顛倒;太忽視安全的是蠢材,因?yàn)榘踩m然處于輔助的位置,但是卻是非常必要的,自以為可以眼不見為凈,可以省下一點(diǎn)錢,可也許自己已經(jīng)不知不覺遭受了很大的損失也不知道。 有些類型的客戶,他們的企業(yè)業(yè)務(wù)已經(jīng)充分建立在信息化網(wǎng)絡(luò)化的基礎(chǔ)上,離開了網(wǎng)絡(luò),公司的業(yè)務(wù)就會(huì)受到嚴(yán)重影響;對(duì)這種客戶,有了安全不見得對(duì)企業(yè)效益有什么很大的幫助,但是沒有了安全,企業(yè)也許就會(huì)隨時(shí)遭受重大的損失,而這個(gè)損失可能會(huì)遠(yuǎn)遠(yuǎn)超出所需要的安全體系建設(shè)投入。對(duì)這類客戶,安全已經(jīng)是無法忽視的了。 也有些客戶,他們的網(wǎng)絡(luò)算是比較大,但是應(yīng)用不是非常深入,簡(jiǎn)單的應(yīng)用比較多,對(duì)這種客戶,如何深入地信息化,是首先考慮的問題,安全相對(duì)來說,并不緊迫,不過,由于有些安全問題會(huì)直接影響到網(wǎng)絡(luò)和系統(tǒng)的穩(wěn)定性,并且內(nèi)部的安全隱患存在著很大的風(fēng)險(xiǎn)不確定性,這樣也會(huì)影響到工作的開展;所以,對(duì)這類客戶,適當(dāng)?shù)陌踩度胧菓?yīng)該的。 對(duì)有些業(yè)務(wù)類型的客戶,他們的企業(yè)業(yè)務(wù)發(fā)展所面臨的市場(chǎng)競(jìng)爭(zhēng)格局已經(jīng)面臨壓力,不通過加強(qiáng)信息化建設(shè)就會(huì)給淘汰,但是處于對(duì)安全的顧忌,一直不能放心地充分利用信息網(wǎng)絡(luò)化來提高自身的競(jìng)爭(zhēng)力,這類企業(yè),安全體系的建設(shè)也許就是當(dāng)前重中之重的事情,而不是可有可無的事情了。 安全只需要基本的防護(hù),合適自己的情況就可以;對(duì)普通企業(yè),你永遠(yuǎn)不可能奢望電信級(jí)別的安全,因?yàn)闆]有這個(gè)實(shí)力,也因?yàn)樾枰Wo(hù)的信息資產(chǎn)沒有貴重到如此的地步。既然還有更高等級(jí)的安全等級(jí),說明就有更大的風(fēng)險(xiǎn)存在;因此,對(duì)任何企業(yè)來說,安全和風(fēng)險(xiǎn)都是相對(duì)的;我們只需要合適自己需要保護(hù)的信息資產(chǎn)的安全解決方案就可以,超過了這個(gè)解決方案能夠管理和解決的風(fēng)險(xiǎn)問題,應(yīng)該交給法律來規(guī)范;沒有了法律,該安全的時(shí)候安全,該出事的時(shí)候還是會(huì)出事。 我們不需要用網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的高度來構(gòu)建安全體系,合適最重要。 從長(zhǎng)遠(yuǎn)來看,靠國(guó)家法律法規(guī)的完善,企業(yè)內(nèi)部管理制度的完善,積極規(guī)范網(wǎng)絡(luò)行為才是治本之道,網(wǎng)絡(luò)中存在的安全問題,不是靠技術(shù),靠產(chǎn)品能夠完全解決的,這些只能起到輔助和監(jiān)控的作用;就向現(xiàn)實(shí)中的社會(huì)一樣,不能光靠武器和保鏢來保障我們的安全。
2、安全,要從上到下的重視! 高層沒有安全意識(shí),就會(huì)漠視或者不重視網(wǎng)管技術(shù)部門的工作,或者認(rèn)為出了問題靠技術(shù)部門的人就會(huì)解決,導(dǎo)致技術(shù)部門的安全建設(shè)工作周期長(zhǎng),成本就會(huì)增高,成本高了,高層往往更謹(jǐn)慎投入;惡性循環(huán);根本之道,要讓所有的企業(yè)高層意識(shí)到建設(shè)安全體系,維護(hù)自己在4維度網(wǎng)絡(luò)世界利益的重要性。把項(xiàng)目成本降下來,改善流程,促進(jìn)良性循環(huán)。
3、安全投資是企業(yè)節(jié)省成本,提高競(jìng)爭(zhēng)力的有效手段! 安全投資是非常值得的投入,是一種節(jié)省企業(yè)運(yùn)營(yíng)成本的非常有用的手段;因?yàn)橹恍枰倭康耐度耄ㄔO(shè)好基本而貼身的安全體系,起到保障了企業(yè)業(yè)務(wù)運(yùn)行的作用,讓企業(yè)效益有了保證;依次同時(shí),減低了一些風(fēng)險(xiǎn)和無形的浪費(fèi),一些風(fēng)險(xiǎn)的存在極大地提高了公司的成本,適當(dāng)?shù)陌踩ㄔO(shè)可以保持企業(yè)軀體的健康。例如,也許企業(yè)內(nèi)部花費(fèi)了很大心血通過市場(chǎng)調(diào)查而來的結(jié)果,或者經(jīng)過長(zhǎng)時(shí)間研發(fā)出來的最新成果,輕易地流失出去,落到競(jìng)爭(zhēng)對(duì)手那里;會(huì)使這些成果頓失價(jià)值,而且錯(cuò)失良機(jī),再例如,由于缺乏適當(dāng)?shù)墓芾砉ぞ撸髽I(yè)內(nèi)部非正常網(wǎng)絡(luò)運(yùn)用例如聊天,下載電影,玩游戲等,導(dǎo)致企業(yè)效率降低,此番種種,都直接導(dǎo)致了企業(yè)成本的增加,效率的降低。安全投入相對(duì)于這些損失來說,實(shí)在是微乎其微。 一般情況下,安全的投入可以保障企業(yè)在相當(dāng)長(zhǎng)一段時(shí)期內(nèi)處于低風(fēng)險(xiǎn)階段,平均分?jǐn)傁聛恚踩顿Y甚至少到每天才幾元錢。而這幾元的作用卻是非常關(guān)鍵,直接關(guān)聯(lián)到企業(yè)的競(jìng)爭(zhēng)力。
4、服務(wù)是真金子,要重視服務(wù),不要為了省錢而做安全。 服務(wù)才是真金子;我們所說的服務(wù)貫穿始終,并非純指技術(shù)性服務(wù),從剛開始接觸客戶,到評(píng)估網(wǎng)絡(luò),出方案,進(jìn)行測(cè)試,然后是采購(gòu)商務(wù)流程,實(shí)施,售后支持等等,每一步都體現(xiàn)以客戶為中心的理念,從頭到尾,作為一家專業(yè)的安全服務(wù)公司,是需要投入大量的人力物力和精力的,而這些都會(huì)最終成為運(yùn)作成本,也會(huì)成為項(xiàng)目成本;而這些只有真正走專業(yè)化的安全服務(wù)公司才能體會(huì),非純貿(mào)易型公司所能感受。 在實(shí)際的項(xiàng)目中,客戶技術(shù)部門和相關(guān)安全公司會(huì)花費(fèi)很多精力進(jìn)行前期的工作,但是到了采購(gòu)和商務(wù)流程,采購(gòu)人員或者決策人員往往只重價(jià)格,忽略了其他必須注意的因素,忽視了前期和后期的服務(wù)成本,如此導(dǎo)致的結(jié)果,往往是客戶花了很多錢建設(shè)安全,最終卻為了節(jié)省那么一小部分錢而斤斤計(jì)較,而這些錢往往也就是安全服務(wù)公司為了把服務(wù)做好必要的利潤(rùn)空間;用最少的錢把事情做好,對(duì)任何企業(yè)來說,都是合情合理的,不過,可別變成了為了省錢而做網(wǎng)絡(luò)安全的工作了,這樣一來,客戶花了錢沒把事情做好,后患無窮,安全服務(wù)公司前期的各種投入也白白浪費(fèi),雙輸!這一點(diǎn),決策層更應(yīng)該意識(shí)到,選擇相關(guān)安全產(chǎn)品來為自身企業(yè)提供保障還是有一定的特殊性的,盡量做更周詳?shù)目紤]好一點(diǎn)。5、重視高端/敏感人物信息安全
敏感的信息資產(chǎn)需要保護(hù),因?yàn)槊舾行畔①Y產(chǎn)直接關(guān)系到客戶的核心業(yè)務(wù)是否能安全可靠穩(wěn)定地運(yùn)行;高端/敏感的崗位也需要給予足夠的關(guān)注和保護(hù),因?yàn)檫@些崗位人員的一舉一動(dòng),影響深遠(yuǎn),關(guān)鍵的時(shí)候,些許疏忽,也能造成重大而不可挽回的損失和影響。如競(jìng)爭(zhēng)激烈行業(yè)的上市企業(yè)高層及敏感人物,機(jī)要部門人物,明星等,他們往往需要利用網(wǎng)絡(luò)帶來的無限便利性,提升自己的競(jìng)爭(zhēng)力,在這個(gè)片刻千金的時(shí)代,通過各種終端訪問網(wǎng)絡(luò)、發(fā)送包含商業(yè)機(jī)密和重大決策文件等敏感郵件的時(shí)候常常存在,但是由于非專業(yè)性,現(xiàn)實(shí)中強(qiáng)勢(shì)的人物在網(wǎng)絡(luò)上也會(huì)立刻處于非常弱勢(shì)和被動(dòng)的處境,常無法意識(shí)到網(wǎng)絡(luò)上怎樣的行為會(huì)帶來風(fēng)險(xiǎn),無法判斷自身所處的網(wǎng)絡(luò)環(huán)境是否可靠,也不知道如何來保護(hù)自己等等;我們可以為這些群體開展以下一些支持:
協(xié)助高層更好地理解內(nèi)部信息安全體系,更合理地進(jìn)行決策,促進(jìn)信息安全建設(shè)
評(píng)估個(gè)人信息安全性,本機(jī)面臨公司內(nèi)部和外部而來的威脅
嚴(yán)重補(bǔ)丁提供加固
病毒,木馬,蠕蟲防護(hù)
傳輸安全防護(hù)
良好安全習(xí)慣培訓(xùn)
旅途威脅處理(如在酒店上網(wǎng)進(jìn)行商務(wù)操作)
筆記本失竊處理(意外防護(hù))
口令強(qiáng)度評(píng)估
攻擊分析
緊急響應(yīng)
電話咨詢/現(xiàn)場(chǎng)解答
定期安全知識(shí)培訓(xùn)
月刊提供
機(jī)器損壞數(shù)據(jù)快速安全恢復(fù),不被泄露
評(píng)估數(shù)據(jù)是否已經(jīng)泄密
提供安全瀏覽保證,避免個(gè)人喜好習(xí)慣等泄露
6、不斷提醒內(nèi)部員工,增強(qiáng)網(wǎng)絡(luò)安全意識(shí)
根據(jù)調(diào)查,引發(fā)網(wǎng)絡(luò)安全事件的原因中,因“利用未打補(bǔ)丁或未受保護(hù)的軟件漏洞”,占50.3%;對(duì)員工不充分的安全操作和流程的培訓(xùn)及教育占36.3%;緊隨其后的是缺乏全面的網(wǎng)絡(luò)安全意識(shí)教育,占28.7%。因此,要用直觀、易懂、演示性的方式來加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)水平,降低企業(yè)面臨的各種風(fēng)險(xiǎn),提高競(jìng)爭(zhēng)力。并且要像廣告一樣,經(jīng)常提醒員工,才能達(dá)到更好的效果。可以培訓(xùn)的內(nèi)容和形式有:
IT系統(tǒng)安全的發(fā)展趨勢(shì)
安全口令的結(jié)構(gòu)
口令的重要性和保護(hù)方法
口令是如何泄漏的?- 演示
本地鍵盤操作
網(wǎng)絡(luò)竊聽
遠(yuǎn)程入侵
暴力破解
口令破解-演示
木馬和惡意代碼-演示
電子郵件和瀏覽內(nèi)容的安全問題
明文傳輸?shù)陌踩珕栴}
最新的高風(fēng)險(xiǎn)病毒分析
局域網(wǎng)安全隱患-演示
Win2000/NT口令傳輸安全問題
Win98共享安全問題
遠(yuǎn)程控制/管理Win98,Win2000
郵件文件安全問題
交換環(huán)境下信息嗅探和監(jiān)聽
內(nèi)部入侵桌面系統(tǒng)全過程
保護(hù)本地?cái)?shù)據(jù)的方法 (Office文檔,壓縮文檔。。。)
如何保護(hù)直接連接因特網(wǎng)的個(gè)人電腦
物理安全的重要性-演示
良好的安全習(xí)慣。
