“掩耳盗铃”还是“成竹在胸”

　　不久前，美国曾做过一项针对2千多家中小企业的网络计算机犯罪调查，有88%的受访企业在2005年至少发生过一次安全事故，而近半数企业最多发生过四次安全入侵的意外事件！与此相对应的是，另一项调查却显示，超过90%的企业IT管理人员都认为已经对公司进行了有效的安全防护，只有不到4%的人正确认识到，企业信息系统很难做到100%完善的安全防护。

　　实际上，大多数企业，尤其是中小企业IT主管在信息安全上出现盲目的乐观情绪并非偶然。他们往往认为，自己的企业架构并不像很多大型企业一样复杂，而且已经装配了市场上主流的防病毒软件和防火墙设备，因此应该可以高枕无忧。

　　但是，这些企业，特别是中小企业所所处的商业环境，以及需要面对的主要敌人——黑客，和5年前相比都已经有了很大的不同……

　　暴露的命脉

　　首先从环境因素来看，网络的蔓延与普及，使其成为大多数中小企业发展的重要驱动，而中小企业的竞争优势，很大程度上体现在对市场与客户高度迅速的反应，因此，对于信息网络的依赖度更高。

　　越来越多的中小企业把自己的业务系统放到网络上后，针对信息网络的安全威胁也随之增多：

　　1. 不同于早期的集中式应用，现在中小企业的计算机系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，在这样的环境中，企业的数据库服务器、文件服务器、应用服务器等都是与网络连接的“大门”，只要有一个“大门”没有完全保护好，“黑客”就会通过这道门进入系统，窃取或破坏所有资源。

　　2．企业内部网日益完善，具备层次化的网络结构，成为企业通向Internet的传输纽带，由于第三方连接日益增多，现场办公的临时员工需要连接到公司网络，而且公司自身员工的移动性也越来越强，从而导致威胁可以绕过互联网边界控制，然后从内部以相对迅猛的速度传播。根据ICSA统计，目前来自企业受到系统内部的安全威胁高达60%。因此，除了原来必须要保护的日益增多的基础架构外，企业现在还必须保护内部网络和系统。

　　3．由于需要保持竞争优势，所以各个企业必须更迅速地应用新兴技术（例如，WLAN、VoIP 和 Web 服务）以及所有现有技术和平台的新版本。再加上一系列重要的应用系统建立在内部网中，如财物营销系统、客户管理系统、办公系统等。各个企业不但必须管理和保护更多计算基础架构和应用程序，而且其中大部分均为新出现的复杂架构和程序，极为分散。结果是由于配置错误和疏忽导致的代码漏洞与日俱增。

　　4．中小企业通常是高度成长的企业，随着企业的不断发展与壮大，企业内的终端数量日益膨胀，不断变化，增加了安全管理的难度。

　　黑客的武装

　　与日渐复杂、难于管理的信息环境相比，中小企业面临的更直接挑战则来自于黑客。由于近年来黑客作案的动机越来越强烈地受到经济利益的驱使，而大多数中小企业赖以发展的客户记录、财务数据、技术特点等具有很高的商业价值，但是其防护措施却往往相对单一，因此成为黑客的最佳攻击目标。

　　过去人们可能会认为，黑客不会针对中小企业开发专门的攻击手段，因为这样看起来得不偿失，但实际上，根据赛门铁克的调查统计发现，制作开发新型恶意软件的难度越来越低，日益成熟的黑客工具包不断增多，并且在互联网上随处可以下载，威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。

　　与此同时，这些安全威胁的生成时间也日益缩短。从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上，根据近年来的统计，留给企业“打补丁”的“窗口时间”平均仅为六天。因此，即使一些企业的相关人员会不定期地对系统漏洞进行补丁升级，仍然难以保证自己网络的安全，而现阶段大多数中小企业所依赖的杀毒软件与防火墙在更新时间上，同样面临着类似的问题。

　　最后，黑客通过使用多种利用机制、有效负载或传播方法，混合式的入侵手段更有可能避开企业防线，然后成功地达到其目的。导致局面恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点，而不是网络层的漏洞。这样，他们的攻击往往成为侧重网络层活动防护策略的漏网之鱼，不幸的是，如本文开头所述，大多数中小企业目前只凭借这样的安全对策来保护自己，并认为已经万无一失。

　　全面入侵防护

　　面对上述问题给中小企业带来的困惑和挑战，赛门铁克认为，关键的一点就在于，大多数中小企业只是采用侧重边界的高度反应性防御措施，因此无法与当前日新月异的威胁趋势保持同步。而眼下的新安全威胁层出不穷，并以前所未有的速度进行传播，必然会导致目前的混乱局面。

　　换句话说，中小企业应该了解多层次安全措施的洋葱理论，采用以入侵检测、入侵防护为代表的混合防御措施，才有可能保证网络的安全。这是因为通常防火墙只是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此对于很多入侵攻击仍然无计可施。而入侵防护技术则通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，对入侵活动和攻击性网络流量进行拦截，避免其造成损失，这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在 IPS 设备中被清除掉。

　　赛门铁克针对中小企业的网络安全解决方案中，集成并突出了入侵检测和入侵防御系统的作用，如Symantec Network Security 7100（以下简称SNS） 系列安全设备，无论其在何种网络拓扑环境中运行，通过单击鼠标即可在入侵检测和入侵防御模式间切换，这种灵活性在保障安全的同时，最大限度地保证网络应用的通畅。

　　此外，虽然赛门铁克的入侵防护系统虽然是基于网络的设备，但它却主要用于在计算堆栈的所有层阻止攻击，因此防护严密全面。其主要技术特性如下：

　　·采用创新入侵防范统一网络引擎 (IMUNE)。IMUNE 架构结合了多种检测技术，不仅可以准确标识已知和未知攻击，而且可以将对不存在威胁的合法通信的影响降至最低。IMUNE 系统还包含对自定义特征的支持；扫描、侦察和探测检测；拒绝服务检测、后门检测以及 IDS 回避检测。

　　·对攻击主动拦截。SNS设备可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的网络访问，实现主动防御。

　　·混合检测体系结构，识别零时间攻击。SNS组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS 逃避处理、数据流策略冲突、IP 地址拆分重组以及自定义增强特征签名描述语言来收集恶意活动的证据。SNS 7100 的协议异常检测有助于检测以前未知的攻击和新攻击（在它们发生时检测）。此功能称为“零时间”检测。

　　·实时事件关联和分析，快速定位企业网威胁来源。SNS的关联和分析引擎可滤掉冗余数据而只分析相关信息，从而使得提供的威胁通知不会出现数据超载。SNS 使用跨节点分析在企业网内收集信息，从而快速地帮助管理员弄清楚趋势并在相关事件和事故发生时识别它们。

　　·自动的Symantec 安全更新。来自 Symantec 安全响应中心的定期、快速响应 安全更新可提供最佳的安全保护和最新的安全上下文信息，包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了企业管理员的维护工作量。

　　由此我们可以看出，赛门铁克提供的中小企业入侵防护系统，不仅着眼于将中小企业的安全防护水平提升到与现阶段安全威胁相适应的新高度，更从部署、维护的便利性，升级、管理的简便性上，让中小企业的信息安全防护，真正从“掩耳盗铃”似的盲目乐观转变为“成竹在胸”的安枕无忧。