扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
对网络安全的破坏会扰乱企业的正常运转,伤害合作伙伴和用户的信心,导致需要数十亿美元支出来弥补所带来的损失。3Com公司的这篇专题文章详细阐述了为什么企业必须对他们的信息和危险进行有效分析,以及如何制定适用于整个公司、针对企业网最薄弱环节的安全策略。
任何公司,无论大小,都不敢置网络安全风险于不顾。毫无疑问,由安全性问题带给企业的损失可能会远远超出在安全解决方案上的投资。据专家估计,仅美国的公司在2001年便为消除由计算机病毒造成的损害而花费了大约123亿美元,而在2002年,未来病毒的攻击可能会造成更高的财产损失。任何人都无法保证免受计算机恶意行为的伤害。一群称为“SmOked Crew”的互联网黑客已经对一些技术巨头公司,如HP、Gateway和Intel的企业网站,以及康柏在欧洲与中欧地区公司网页进行了攻击。同时,新技术也不断带来安全性的新问题。无线网络呈现给企业激动人心的新商机,但是,为了克服标准化无线技术与生俱来的安全性缺陷,而设计出非标准化专用无线安全解决方案,其方案使现有的无线安全性解决方案变得更加复杂。
针对企业的各种犯罪行为,其中包括利用计算机进行的犯罪,正在引起全世界各国政府越来越高的重视。位于美国得克萨斯州的the State Lottery Commission的网站在年初被黑客攻击,如果被抓获,攻击者可能会被控一级重罪并判终生监禁。作为“马后炮”似的解决措施,有效的犯罪惩罚会起到一定的预防作用,但是,挽回因此造成损失的工作通常是非常费时、昂贵,且作用也非常有限。所以,企业必须面对这样一个现实:很多种恶意攻击可以对他们的网络、数据以及用户带来伤害。如果没有对系统和网络的安全性进行评估,也没有对重要资产进行保护,那么灾难的发生就仅仅是一个时间的问题了。
不断增加的危险
对今天的企业来说,IT网络的发展方向决定了安全问题的重要性。早期网络是将办公室的用户与共享资源(如打印机和服务器)相连,并在分支办公机构或园区内独立的办公楼宇之间建立拨号或专线连接链路,这些专用的网络非常安全。然而,与以往不同,现今的企业网络一般都是与大型且不安全的公共网络永久性地互联在一起,从而为怀有恶意企图的黑客留下了一扇永不关闭的窗口。更值得注意的是,越来越多的公司开始将网络向远程工作人员、移动办公人员、合作伙伴、供应商和用户开放。这样做虽然为企业带来了很多商业利益,但同时也增加了企业的安全风险。
2001年CSI/FBI计算机犯罪与安全调查结果显示,大部分企业都遭受过来自企业网内部和外部的双重攻击。调查中的186位受访者由于遭受攻击而带来的直接财产损失共约为3亿7800万美元。因此,采取措施控制用户的访问并过滤网络流量是非常必要的,不论这些流量是来自公司内部还是来自互联网。
当今的商业环境,无论是政府机关,还是私营企业都已经认识到:专有网络与公共网络的互联将会带来安全性方面的风险。全球范围内,人们已经开始通过立法来保证私有数据和网络用户的整体在线体验。例如,在美国1996年开始正式实行的HIPAA(the Health Insurance Portability and Accountability Act)法案有明确的安全条款来保护医院病患的隐私权。无论病患记录是被一所大医院,还是一所偏远的小型医疗机构所使用,病患所有信息都必须被加密。
多重的安全威胁
对于通过电子邮件和文件下载在企业和用户之间迅速复制并扩散的计算机病毒威胁,大部分企业的管理者都能给与重视。但是,电子邮件病毒只是需要企业采取措施加以防护的多种可能攻击方法中的一种。有一种被称为“拒绝服务”的攻击方法也同样具有破坏性。当采用这种攻击方式时,企业的网络会收到大量的请求和非常多的含有垃圾信息的数据包,从而使网络陷于瘫痪,进而导致完全中断。黑客工具可以在互联网上轻易获得,使那些没有技术背景的攻击者能够实施此类攻击,从而加重了这种危险发生的可能性。
此外,一些安全性的潜在危险更加隐蔽,更加难以察觉。怀有不良企图的计算机用户能够通过窃取某位授权网络用户,或某一台网络设备的合法身份而获取所有网络通信和网络资源的访问权限。由于计算机存储着非常多,包括个人资料、每笔财务交易以及每一项涉及商务竞争策略的私密性信息,因此,数据私密的攻击方式不仅更令人感到忧虑,而且比前几种攻击方式更加容易实施。根据2001年的CSI/FBI调查,企业所遭受的最为严重的经济损失均来自对私密信息的窃取以及财务欺诈等行为。
在2000年10月27日星期五,微软公司受到黑客攻击,其源代码遭到窃取的新闻充斥了各大媒体的版面。据路透社报导,微软公司将这一事件称为“商业间谍的可怕行为”。路透社直接引用微软公司Steve Ballimer的话:“很明显,黑客确实看到了我们一部分源代码”。知识产权窃取所带来的损失在不断上升,而硬件被盗窃的现象又没有任何下降,所以企业必须确保,在丢失的笔记本计算机或台式计算机上的秘密信息没有落入他人之手。更令人担心的是,存储在计算机上有关安全性机制的信息可能使黑客和商业间谍轻松进入企业内部网络。
统一的安全策略
如此多的潜在风险需要考虑,因此,企业如果不采取统一的安全策略来保证网络的安全性将是非常愚蠢的。作为一项最低要求,企业应该投入一定的管理时间来开发网络安全性策略文档。我们时常看到这样的状况: 即使有防火墙,入侵还是在发生。尽管数据都经过加密,窃取贸易机密的信息也还是层出不穷。即便企业都制定了相关的规定,网络资源的滥用仍然存在。那些希望在今后生存下去的企业必须开发出统一的信息安全策略,并把技术和人文方面的各种因素都考虑进去。这些企业还需要对负责信息安全职责的人员进行必要的培训和支持,并分配给适当的资金和人员。
总而言之,网络安全性问题是一个人力和流程的问题,可以通过技术的手段加以解决。企业需要对安全性问题进行适当的管理,并使其与企业的商务模式相吻合。
您需要保护的是什么?您的业务和网络在安全方面最为薄弱的是哪一部分?如果不能回答以上问题,同时又对网络安全没有信心,那么您一定需要一套安全策略。
安全策略是一份文档。这份文档为企业勾勒出企业的安全需求以及流程。每家公司都拥有各自不同的安全策略,其重要性对任何规模的企业都是相同的。这份安全性策略文档应该确定什么是您需要保护的,并确定各自的安全性级别,这样便不会出现企业一方面花费精力去保护那些并不重要的数据,另一方面却使真正重要的数据暴露在危险之中。公司需要确保网络中数据的私密性、网络的完整性以及拥有网络访问权限用户的合法性。在考虑以上所有问题之后,您就可以确定能够保护您商务网络的最佳安全性策略。
当您的IT预算已经用到尽头,而仍然需要网络发挥更多作用的的时候,一份安全性策略文档能够帮助您对需求进行恰当的评估,以便合理地利用开支购买新的网络安全产品。一份内容翔实的安全性文档应该把所有潜在安全性问题可能带来的损失都考虑进去,包括因经常性网络暂时中断而造成的业务停顿所带来的损失等。这一方式将通过考察每个用户的直接成本而帮助企业管理其财务收支。
安全性策略文档并不是一份静态的文档。企业需要定期对这些文档进行重新审查,并针对新的安全性风险、企业信息资产以及法律法规对其进行更新。举例来说,法国政府最近已经通过一项新立法,电子签名可以作为电子商务应用中的交易证据。同样,美国法律要求美国学校对网络流量进行过滤,以防止在校学生浏览不良内容。类似这些外部的变化都可能推动安全性策略的变化。
有效的安全性解决方案
采用何种级别的安全防护措施最终是由公司需要保护什么样的信息资产来决定的。同样地,选择什么样的安全性解决方案产品也是由经过分析所了解到的网络中面临风险最大的部分所决定的。如果在您所制定的一套安全性策略中考虑到了上面这两点,您便能够为您的网络创建最为有效的安全防护解决方案。
有些安全设备或技术能够防范本文前面所提到的安全性问题。任何企业都没有理由将自己暴露在危险面前。采用一种最初级的具有安全防护手段的边缘防火墙能够将公司的网络与互联网隔离开,使其免受多种类型的外部攻击,如密码破解、拒绝服务攻击以及电子邮件与数据文件病毒等。
如果您的企业拥有一个移动办公或远程办公队伍,可以采用虚拟专用网(VPN)使流量安全的穿越互联网,从而免去对数据私密性方面的担心。此外,不论是从企业内部还是从外部接入,在完善由许多无线局域网(WLAN)产品所提供的最基本的安全防护手段方面,虚拟专用网也非常有用,无线局域网产品的内在安全性也将因此得到提高。许多设备供应商,如3Com公司,已经开始向用户提供各种高效能的标准化多层无线局域网安全解决方案。
认证机制是另一种很有价值,并已经产生广泛影响的安全解决方案。认证机制要求所有的用户在获得网络访问权限之前通过提供用户名和登录口令来确认身份。认证使企业能够通过一系列的手段来有效管理庞大的用户群体,例如制造业中的企业可以利用这一手段限制供应商对某些业务的访问,而教育业的企业可以同样限制学生访问某些服务。在网络安全性的战场上,认证机制将有望成为一项锐利的武器,此外,随着生物统计学各项最新技术(角膜识别与指纹识别)的实用化,认证系统将会在未来变得更加强大、失误率更低。即便是硬件的失窃都将不会带来重大的损失。企业可以安装集中化的认证软件。这类软件将能够有效阻止窃贼利用失窃的计算机访问企业网内宝贵的信息。
安全问题中的安全问题
不同企业在网络中的不同位置上需要不同级别的安全性防护措施。只有通过创建多样的安全防护策略
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。