今天,随着网络复杂程度的增加,新的安全威胁正在快速产生并利用,然而我们的安全防护体系却还略显单薄,为此我们有理由担心,时下盛行的各种“流感”病毒有一天会在我们的网络中重现。
不得不承认人类正在改变着地球,而这些改变的背后却引发了良性质变和危险隐患。随着时间的迁移,我们今天发现在医学领域有了许多新的疾病和名词,“禽流感”、“猪流感”、“非典”这些看似陌生却又如此熟悉的病菌像一阵飓风骤然降临,当我们感叹医学领域缺乏有效的免疫体系时,您是否想过假如信息安全同样遭遇“流感”侵袭又会是何种境况?
正如民以食为天一样,如今信息化时代,网络已成为日常生活工作中不可或缺的一部分。然而随着基于网络的应用不断增加,网络正在变得越发复杂。我们已经看到各种各样的新式恶意软件和攻击行为正在通过各种途径威胁着我们的网络。
有意思的是网络中威胁的产生,和现实生活中新病菌的产生存在几分相似:首先,它们都是以我们生活工作最为紧密的个体作为宿主;其次,它们都是瞬间爆发,并迅速借助于其相关联的个体扩散到其他区域;再其次,为了防止疫情的扩散,我们都需要从源头去找寻病根。
由此可见,当安全“流感”来袭,我们面对的挑战是相当巨大的。
那么今天的网络中,我们将面对哪些威胁?
正如RSA大会2009中各国安全专家担忧的一样,随着云计算以及SaaS服务模式的普及,大量基于Web的应用,将给信息安全造成巨大的挑战。而这些威胁对于今天的IT运维人员而言很难以被发现。
IDC的高级安全顾问也指出,内容安全对于用户而言,其实施的时间成本将远远大于基础网络安全设备的部署。
这也从另一方面说明,基础网络安全设备虽然相对完善与成型,但是面对由应用和管理造成的安全威胁,基础网络安全设施已经显得捉襟见肘。正如“猪流感”暴发时,虽然已经有一些疾病控制体系,但是依然无法彻底阻挡其快速的传播。我们对信息安全的担忧,同样如此,因为至今我们并没有看到行之有效的信息安全防御体系。
对于云计算的担忧,思科CEO钱伯斯在RSA大会的主题演讲中语出惊人:“对于安全而言,云计算是一场噩梦”。虽然业界包括思科在内对云计算的趋势一致认同,但由于云计算复杂的体系架构,使得其潜在的安全问题难以预测。
绿盟科技的专家表示,“云计算带来的安全问题,是我们无法回避且必须付出很大的努力来解决的。”
而对于SaaS来说,其存在的安全隐患数量相对于云计算,有过之而无不及。SaaS的安全问题存在于它的各个层次:基础设施、运行平台以及上层应用。例如对于基础设施,数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点;而对于平台,数据安全、数据与计算可用性、灾备与恢复问题则更受关注;到了应用层面,则对于数据与应用的安全问题更为关注。而且,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知,不可控的。
当然除了云计算和SaaS服务模式的挑战,目前我们依然需要高度关注漏洞和管理带来的威胁挑战。
Qualys首席技术官Kandek表示,“当前攻击方式正变得越来越复杂,而大多数关键漏洞的利用时间却越来越短,这使安全问题变得愈发严峻。企业只有掌握了漏洞趋势、潜在危害性和漏洞的优先权,才能采取更有效和更直接的方式来保护网络。”
因此,只有提高人的安全观念,强化用户防范威胁的意识,并主动出击规避风险,才能确保网络运维安全的行之有效。
那么是否解决了这些无法回避的问题,我们的网络就真的安全了?
我们给出的答案是否定的。对于云计算以及SaaS来说,造成其安全问题不可控的原因在于,使用者再也无法自己实际掌握对安全便捷与数据的控制权;另一方面,服务模式的改变,将使得更多的合作伙伴参与到企业的核心业务中去,对于服务外包及合作伙伴的管理已成为我们必须认真考虑的安全问题。
为此,除了解决企业边界安全保护以及必要的数据保护、身份接入控制外,企业必须拥有一套行之有效的安全审计与合规管理机制,来保护业务系统的安全稳定运营,规范员工与合作伙伴的行为。
在“流感”盛行的今天,我们的信息安全该如何保障?
健壮的法规遵从
今天,企业面临的最主要安全问题也许并不是网络安全基础设备的部署和使用状况。相反,国内很少有企业或机构拥有完善的信息安全规章制度,缺少必要的安全合规意识。这正如法治社会需要规范的法律来约束公民一样,企业同样需要信息安全法规遵从来约束使用终端或网络的用户。
当然,我们看到了国家在这方面正在做着积极的努力,即将实施的《内控》法,以及公安部积极推进的等级保护都让我们看到了希望。但是这些对于多变的信息安全而言,还是存在些许不足,企业在这个过程中,更需要从自身入手,定制更加详尽的制度来规范员工和合作伙伴行为,从内部将可见的威胁斩断。
必要的边界网络防护
虽然,当前不少企业IT管理者已经拥有并部署了防火墙等基本的安全设施,但为何还会发生数据泄露、黑客入侵等各种安全事故?这种状况的发生,在很多程度上是由于边界安全设备,并没有满足企业的安全需求。为此,企业在选购安全产品时,需要首先规划出企业信息安全的预期,然后确定企业关键系统的安全防护等级,最后才是根据需求来选择安全产品。特别是企业在临时决定强化某方面的安全需求时,更应该全面考虑整个环境的安全实情,再做定夺。
另外用户需要避免一些误区,并不是说功能越多的安全网关就会给企业带来最佳的安全防护,在选择边界安全设备时,企业IT管理者需要认清,企业具体保护的内容,以及企业可以承受的最大负载和业务延迟。这也是当前安全网关产品面临的一大瓶颈——性能。
规范的安全评估
防微杜渐是解决企业信息安全的基本法则之一。正如我们之前提到的安全专家对云计算和SaaS的困扰一样,企业网络中业务应用的增加趋势既成事实。应用的增加使得潜在的安全威胁亦在增长,定制的网络安全评估,可以及时发现企业存在的安全威胁。
据统计,今天企业所遭遇到的攻击行为,80%源自企业应用存在的安全漏洞。当然,企业在选择安全评估时,通常会对评估成本以及评估结果格外关注。为此,我们建议企业IT管理者在实施专业的安全评估前,可以利用已相对成熟的开源软件来对网络状况做提前判断。
全面的终端安全
终端安全一直是企业安全防护的重点,如今攻击者越来越乐于借助终端来发起更为广泛或更具有目的性的攻击行为。或许企业中已经部署了主流的终端安全解决方案,然而终端是任何业务应用的最直接途径,因此对于终端潜在的安全隐患必须引起企业IT管理者的高度关注。而且,对于终端产生的威胁或许就来自您所管理的网络内部。
牢固的数据保护
今天,数据的重要请不言而喻。相信任何人都不希望敏感数据被“有心人”所利用,企业更是如此。对于企业而言,知识产权、核心技术、财务报表以及关键的通信邮件的泄露,都可能给企业造成致命的打击。为此,数据防泄露解决方案成为业界关注的新焦点。
为了保护企业关键数据的安全,企业的IT管理者必须准确的掌控,“关键数据存储在那里”,“哪些人可以访问这些数据”,“数据流向了哪里”,只有全面兼顾这三点,才能有效的保证企业关键数据的泄露,降低安全隐患。
数据存储灾备与归档
最后,我们要说的还是跟数据有关。任何企业的关键数据最终都要存储在各种存储设备中。当我们将过多精力集中在系统、业务以及攻击者造成的威胁时,我们很可能已忽略了基础安全对企业造成的影响。宕机、系统故障,这些非人为的因素很可能会在一瞬间让您的业务系统彻底瘫痪,由此可见必要的灾备对于企业而言是至关重要的选择。
另一方面,对于上市公司以及敏感行业来说,实施快速高效的归档将有助于企业减少不必要的法律纠纷。通常企业在实施灾备与归档的过程中,可以参考萨班斯法案、ISO27001等安全认证,当然我国即将实施的《内控》法规也将帮助企业强化此方面的安全意识。
综上所述,我们不难发现,在“流感”盛行的今天,信息安全领域中的“流感”疫情随时都可能给企业网络造成无法预估的灾难。面对愈发严峻的安全威胁,唯有主动出击,从企业自身实情出发,打造立体的威胁防御体系,才会有效抵御安全“流感”的侵袭。因此,我们呼吁企业应提前做好准备,将潜在的安全风险降至最低。
