除了防火墙、反病毒、IPS/IDS,安全还有别的工作可做么?至少不少国外企业的网管已经开始注意,面对越来越多的私人设备在企业网中的泛滥,确实需要做些什么了。
风险从何而来
近日,在美国造小企业联盟年会期间,一些小的非营利组织通过一系列调查指出,越来越多的中小企业内网使用DSL连接到Internet。其中,不少公司职员自己私自使用了WiFi,并且使用私人的笔记本通过企业网连接到Internet。
显然,对于一个经验丰富的网管来说,这种做法在安全上是不可接受的。不过令人遗憾的是,大部分中小企业的IT部门的员工都是临时工或者外包给别的公司,因此这些网管并没有拒绝类似的行为。而且要指出的是,这种情况带有普遍性。
私人设备进入企业网,特别是通过企业网连接到Internet,这绝对不是一件小事情。要知道很多私人电脑的防护并不完善,病毒、木马程序、间谍软件、甚至是直接的攻击包,都很有可能通过这些不安全的设备威胁企业网的安全。
企业需要怎么做
也许除了网管以外,大部分中小企业的董事会一样需要引起注意。事实上,在安全方面他们有很多事情需要关注。因为这里有很多问题需要在事前说清楚:最重要的一点就是,管理层要考虑在适合的时机制定一项政策,核心内容必须包括----只有公司配发的电脑,或者公司内部的电脑,才可以在网络中使用。
这样的政策可以实现很多事情。良好的安全政策可以帮助企业尽可能地缩小间谍软件、病毒感染电脑的可能性,要知道这些电脑的保护级别可能不一样。
无独有偶,近期北美IT业界最近报料了很多安全问题,一些文章作者指出,员工通过私人电脑连接到网络,大大增加了企业敏感信息离开公司所在地并且在个人手中死亡的可能性,而事实上这些人可能根本不需要访问这些信息。而且目前一些私人笔记本也出现了被盗问题,这又会进一步增加对公司的安全风险。
另外,有关企业IT资产的授权(License)问题,一样需要被关注。有专家表示,不管企业现在拥有什么样的服务器,都要确保电脑不要被企业以外的网络拥有,否则将会削弱服务器资源授权的一致性。
安全的做法是,企业网管需要依靠企业拥有的各种防火墙把企业网连接到Internet,并且一定要搞清楚,哪些防火墙用在哪里,这点对于IT外包的企业尤其重要,要知道大部分中小企业选用的防火墙都是被授权处理一定数量的用户。
此外,如果企业拥有两个或者更多的系统在运行在网络中,防火墙可能会因为某种授权问题引发某些用户无法访问Internet,这个问题大多发生在基础安全控制的零星之处。
善用末端加密
另外要注意的是,当前很多中小企业都在企业网里面架设了一个无线访问点AP。在AP的授权控制时候,大部分企业都采用了以SSID或者管理员密码的配置方式。
目前有安全专家表示,基于这两点的安全控制应该被改变,因为这两个安全控制可能无法运行任何类型的加密,而那些私人电脑也会暴露企业的信息,目前一些入侵者已经可以凭借这两个控制手段判断出企业名称甚至是企业电脑访问目的等信息。
不过,在一些企业用户中,无线网络的布线与应用确实比传统有线网络更加便宜且易于安装。但这并不能让企业降低安全方面的担心。目前一些安全厂商已经开发了专门的无线网络加密发生器,使用了包括硬件能够支撑的AES算法和更加强壮的加密钥匙。如果没有这种装备,目前的无线网络很可能也给黑客或者窃贼留下了隐患。
以上问题都是在日常企业运行中最为常见的。对广大中小企业来说,其中一些基本的步骤应该被采纳,IT经理也应该帮助公司减少威胁的隐患。要知道,这些策略不是一时的步骤,网管人员可以遍历一个周期性的过程,以便确保每件事都是安全的并且在情况需要时进行升级。
另一个值得推广的经验是,如果企业发现某位员工明白如何部署上述方案,那么企业应该重用这个人,从而实现更快更彻底的安全部署,要知道这对于中小企业来说更加重要。