企業級客戶網絡安全狀況分析 這些年來,隨著互聯網絡的迅速發展,通訊的便利和資訊的發達,讓人們通過網絡緊密地結合在一起,對網絡的依賴程度日益增加,無論是工作還是生活,乃至娛樂;網絡帶給人們方便和快捷和競爭力,提供給人們新的娛樂和生活方式的同時,互聯網絡上的資訊爆炸性地增加,IT環境也變得越來越復雜和開放,大大增加了網絡的管理難度和成本;而信息系統的迅速膨脹伴隨著層出不窮的漏洞,惡意威脅和攻擊日益增多,安全事件與日俱增,也讓接觸互聯網絡的每一個人都不同程度地受到了威脅; 互聯網的開放性讓所有人都處于一個平等的、無限聯接的網絡之中,你可以自由馳騁。然而,當你真正深入到網中央,卻又發現來自互聯網上的"安全隱患"是多么的棘手。 一般來說,人們會面臨以下的主要幾種威脅來源: ·內部人員(包括信息系統的管理者、使用者和決策者); ·準內部人員(包括信息系統的開發者、維護者等); ·特殊身份人員(具有特殊身份的人,比如,審計人員、稽查人員、記者等); ·外部黑客或小組; ·競爭對手; ·網絡恐怖組織; ·軍事組織或國家組織等。
對于企業級網絡客戶來說,面臨最大的問題常是因無知而無畏造成巨大的損失,而且這種現象非常普遍。通常有以下幾種情況:一個是因為客戶自身的管理員技術水平的限制,加上缺乏足夠的技術和服務支持,不了解如何來更好地提供足夠的保障。二是管理層安全意識薄弱,花了巨資構筑硬件基礎架構和軟件平臺,卻不愿意或者不到出事就不愿意花適當的錢來把自家的信息架構安全門檻逐步提高到合理的水平。三是員工的安全意識淡薄,一些好奇或者不當的行為會把威脅主動地從外部帶到內部,或者給內部不良分子可乘之機,不經意地造成不可挽救的損失。這其中,因為領導安全意識薄弱而讓企業/單位處于高風險中是最常見也是最關鍵的一個因素;而由于員工的安全意識不足,在網絡上的不當行為則往往是導致不安全隱患增多的很大一個原因。
對于第一種情況,由于企業級網絡IT環境的相對封閉性,管理員日常維護工作的艱巨和繁忙,決定了網絡管理人員不能及時掌握最新安全動態,不能擁有足夠的安全技術手段來維護工作業務日益依賴的網絡平臺。而作為一個企業級客戶來說,通過花很大的投入招聘高水平的安全專家專職為自己單位或企業服務無論對成本考量還是對高水平的安全專家自身發展來說都是非常不切實際和不現實的;而且,一個高水平的專家往往需要扎實的理論基礎,經過多年的培養,擁有豐富的實踐積累才能培養出來,非常不容易,所以,真正高水平的網絡安全專家數量很少。對于一個高水平的專家來說,選擇只為一個單位或企業服務是不明智的,而且網絡安全技術往往涉及方方面面領域,沒有哪一個安全專家能精通所有的領域,對于企業級網絡安全體系的構筑來說,往往需要精通不同領域的安全專家付出共同的努力。
因此,解決單位或企業因技術人員水平限制的問題,企業需要專業的網絡安全服務公司這樣一個得力的助手來協助構筑和維護自己的網絡安全保障體系,來保障依賴于網絡的業務系統正常穩定地運行。
關于管理層安全意識薄弱問題,有一定的現實原因,單位或企業本來對開支巨大的IT建設持謹慎的態度,管理層和信息部門往往橫著一條很深的鴻溝,對于信息化本來就存在著不同的理解和判斷,這里需要有個過程。
在信息化的潮流中,在信息化與否之間沒有第二種選擇,只有選擇如何更好地讓信息化為提高單位工作效率,為增強企業競爭力服務。如何讓信息化建設真正有效地為單位或企業服務,是個頗費心思的問題;這也是一個不斷嘗試,不斷改進和完善的過程。在單位或企業的業務平臺真正實現完全向信息系統轉移,運作非常依賴信息資產前,企業管理層安全意識薄弱的問題是有一定的客觀原因的;隨著企業信息化水平的不斷加深,管理層網絡安全意識應該會逐步得到增強,并逐步會主動去思考如何更好地構筑信息平臺的安全保障體系。這一點,從電信、金融、電力等極度依賴信息系統的領域可以看出來。
比較值得一提的是,由于管理層繁忙的工作事務和專業差異,常常對網絡安全體系的建設過于忽視,孰不知,安全無小事,一旦因缺乏安全防護措施,對信息系統造成破壞,造成的巨大損失遠非預先的安全建設投入可比。因此,管理層應該給予信息化安全系統建設足夠的重視,根據信息化的不同階段,逐步地增強安全保障措施,切忌一勞永逸的做法。
單位或企業信息化中存在的安全問題往往是由于內部員工的安全防范意識薄弱造成的;由于互聯網絡開放性的特點,接入網絡的人往往可以很容易地去到網絡的任何角落,通過網絡接觸到形形色色的事物,存在很大的不確定性;由于信息技術的很多固有局限,網絡里面存在很多高風險的因素,而內部員工由于非專業性,對各種風險的來源未必清楚,因此有必要加強對員工的網絡安全防范意識,以及對員工進行充分的安全操作和流程的培訓及教育,以免給外部和內部不良分子以可乘之機,造成經濟損失。另外,光靠員工的自覺,是遠遠不夠的,也需要附之于技術手段來加強管理,借助各種成熟可靠的安全工具輔助管理,因此,單位或企業信息化,在帶來巨大收益和回報的同時,構筑一套信息系統保障體系也是非常必要的。
中喜公司的一些建議:
1、安全,合適最重要! 不要把安全太當一回事,也不要把安全不當一回事;太看重安全的是傻瓜,安全從來只不過是輔助的位置,咱們不能主次顛倒;太忽視安全的是蠢材,因為安全雖然處于輔助的位置,但是卻是非常必要的,自以為可以眼不見為凈,可以省下一點錢,可也許自己已經不知不覺遭受了很大的損失也不知道。 有些類型的客戶,他們的企業業務已經充分建立在信息化網絡化的基礎上,離開了網絡,公司的業務就會受到嚴重影響;對這種客戶,有了安全不見得對企業效益有什么很大的幫助,但是沒有了安全,企業也許就會隨時遭受重大的損失,而這個損失可能會遠遠超出所需要的安全體系建設投入。對這類客戶,安全已經是無法忽視的了。 也有些客戶,他們的網絡算是比較大,但是應用不是非常深入,簡單的應用比較多,對這種客戶,如何深入地信息化,是首先考慮的問題,安全相對來說,并不緊迫,不過,由于有些安全問題會直接影響到網絡和系統的穩定性,并且內部的安全隱患存在著很大的風險不確定性,這樣也會影響到工作的開展;所以,對這類客戶,適當的安全投入是應該的。 對有些業務類型的客戶,他們的企業業務發展所面臨的市場競爭格局已經面臨壓力,不通過加強信息化建設就會給淘汰,但是處于對安全的顧忌,一直不能放心地充分利用信息網絡化來提高自身的競爭力,這類企業,安全體系的建設也許就是當前重中之重的事情,而不是可有可無的事情了。 安全只需要基本的防護,合適自己的情況就可以;對普通企業,你永遠不可能奢望電信級別的安全,因為沒有這個實力,也因為需要保護的信息資產沒有貴重到如此的地步。既然還有更高等級的安全等級,說明就有更大的風險存在;因此,對任何企業來說,安全和風險都是相對的;我們只需要合適自己需要保護的信息資產的安全解決方案就可以,超過了這個解決方案能夠管理和解決的風險問題,應該交給法律來規范;沒有了法律,該安全的時候安全,該出事的時候還是會出事。 我們不需要用網絡戰爭的高度來構建安全體系,合適最重要。 從長遠來看,靠國家法律法規的完善,企業內部管理制度的完善,積極規范網絡行為才是治本之道,網絡中存在的安全問題,不是靠技術,靠產品能夠完全解決的,這些只能起到輔助和監控的作用;就向現實中的社會一樣,不能光靠武器和保鏢來保障我們的安全。
2、安全,要從上到下的重視! 高層沒有安全意識,就會漠視或者不重視網管技術部門的工作,或者認為出了問題靠技術部門的人就會解決,導致技術部門的安全建設工作周期長,成本就會增高,成本高了,高層往往更謹慎投入;惡性循環;根本之道,要讓所有的企業高層意識到建設安全體系,維護自己在4維度網絡世界利益的重要性。把項目成本降下來,改善流程,促進良性循環。
3、安全投資是企業節省成本,提高競爭力的有效手段! 安全投資是非常值得的投入,是一種節省企業運營成本的非常有用的手段;因為只需要少量的投入,建設好基本而貼身的安全體系,起到保障了企業業務運行的作用,讓企業效益有了保證;依次同時,減低了一些風險和無形的浪費,一些風險的存在極大地提高了公司的成本,適當的安全建設可以保持企業軀體的健康。例如,也許企業內部花費了很大心血通過市場調查而來的結果,或者經過長時間研發出來的最新成果,輕易地流失出去,落到競爭對手那里;會使這些成果頓失價值,而且錯失良機,再例如,由于缺乏適當的管理工具,企業內部非正常網絡運用例如聊天,下載電影,玩游戲等,導致企業效率降低,此番種種,都直接導致了企業成本的增加,效率的降低。安全投入相對于這些損失來說,實在是微乎其微。 一般情況下,安全的投入可以保障企業在相當長一段時期內處于低風險階段,平均分攤下來,安全投資甚至少到每天才幾元錢。而這幾元的作用卻是非常關鍵,直接關聯到企業的競爭力。
4、服務是真金子,要重視服務,不要為了省錢而做安全。 服務才是真金子;我們所說的服務貫穿始終,并非純指技術性服務,從剛開始接觸客戶,到評估網絡,出方案,進行測試,然后是采購商務流程,實施,售后支持等等,每一步都體現以客戶為中心的理念,從頭到尾,作為一家專業的安全服務公司,是需要投入大量的人力物力和精力的,而這些都會最終成為運作成本,也會成為項目成本;而這些只有真正走專業化的安全服務公司才能體會,非純貿易型公司所能感受。 在實際的項目中,客戶技術部門和相關安全公司會花費很多精力進行前期的工作,但是到了采購和商務流程,采購人員或者決策人員往往只重價格,忽略了其他必須注意的因素,忽視了前期和后期的服務成本,如此導致的結果,往往是客戶花了很多錢建設安全,最終卻為了節省那么一小部分錢而斤斤計較,而這些錢往往也就是安全服務公司為了把服務做好必要的利潤空間;用最少的錢把事情做好,對任何企業來說,都是合情合理的,不過,可別變成了為了省錢而做網絡安全的工作了,這樣一來,客戶花了錢沒把事情做好,后患無窮,安全服務公司前期的各種投入也白白浪費,雙輸!這一點,決策層更應該意識到,選擇相關安全產品來為自身企業提供保障還是有一定的特殊性的,盡量做更周詳的考慮好一點。5、重視高端/敏感人物信息安全
敏感的信息資產需要保護,因為敏感信息資產直接關系到客戶的核心業務是否能安全可靠穩定地運行;高端/敏感的崗位也需要給予足夠的關注和保護,因為這些崗位人員的一舉一動,影響深遠,關鍵的時候,些許疏忽,也能造成重大而不可挽回的損失和影響。如競爭激烈行業的上市企業高層及敏感人物,機要部門人物,明星等,他們往往需要利用網絡帶來的無限便利性,提升自己的競爭力,在這個片刻千金的時代,通過各種終端訪問網絡、發送包含商業機密和重大決策文件等敏感郵件的時候常常存在,但是由于非專業性,現實中強勢的人物在網絡上也會立刻處于非常弱勢和被動的處境,常無法意識到網絡上怎樣的行為會帶來風險,無法判斷自身所處的網絡環境是否可靠,也不知道如何來保護自己等等;我們可以為這些群體開展以下一些支持:
協助高層更好地理解內部信息安全體系,更合理地進行決策,促進信息安全建設
評估個人信息安全性,本機面臨公司內部和外部而來的威脅
嚴重補丁提供加固
病毒,木馬,蠕蟲防護
傳輸安全防護
良好安全習慣培訓
旅途威脅處理(如在酒店上網進行商務操作)
筆記本失竊處理(意外防護)
口令強度評估
攻擊分析
緊急響應
電話咨詢/現場解答
定期安全知識培訓
月刊提供
機器損壞數據快速安全恢復,不被泄露
評估數據是否已經泄密
提供安全瀏覽保證,避免個人喜好習慣等泄露
6、不斷提醒內部員工,增強網絡安全意識
根據調查,引發網絡安全事件的原因中,因“利用未打補丁或未受保護的軟件漏洞”,占50.3%;對員工不充分的安全操作和流程的培訓及教育占36.3%;緊隨其后的是缺乏全面的網絡安全意識教育,占28.7%。因此,要用直觀、易懂、演示性的方式來加強員工的網絡安全意識水平,降低企業面臨的各種風險,提高競爭力。并且要像廣告一樣,經常提醒員工,才能達到更好的效果。可以培訓的內容和形式有:
IT系統安全的發展趨勢
安全口令的結構
口令的重要性和保護方法
口令是如何泄漏的?- 演示
本地鍵盤操作
網絡竊聽
遠程入侵
暴力破解
口令破解-演示
木馬和惡意代碼-演示
電子郵件和瀏覽內容的安全問題
明文傳輸的安全問題
最新的高風險病毒分析
局域網安全隱患-演示
Win2000/NT口令傳輸安全問題
Win98共享安全問題
遠程控制/管理Win98,Win2000
郵件文件安全問題
交換環境下信息嗅探和監聽
內部入侵桌面系統全過程
保護本地數據的方法 (Office文檔,壓縮文檔。。。)
如何保護直接連接因特網的個人電腦
物理安全的重要性-演示
良好的安全習慣。
