业务连续性(BC)安全将会成为未来企业最关注的IT建设方向,除了传统的存储融灾方案,基于应用的监控优化与基于端点的统一安全管理都成为了新一代BC发展的两个支点。
进化:BC概念外延
自从911事件以后,IDC就引入了BC安全的概念。那时候,所有的BC安全建设都在围绕各种在线的自动化存储融灾方案打转。可进入2002年以后,越来越多的企业开始围绕Web展开业务系统建设,与此同时,安全面临新的挑战。两年后,当越来越多的安全威胁围绕各种混合攻击展开的时候,BC的概念受到了极大的冲击:传统的存储化技术无法“消化”从网络发起的各种安全攻击,而这对于企业的业务连续运行造成了重大影响。
IDC的报告指出,由于安全网络化趋势日渐明显,BC的建设准则需要进行扩充:“基于应用的监控优化”与“基于端点的统一安全管理”已经成为新一代BC中两个不可或缺的组成部分。
这种变化再一次凸显了安全与网络的不可分割,实际上,早期的安全威胁针对的是用户的IT资产,许多攻击和威胁主要影响其基础架构。但现在大量以盈利为目的的攻击目标已不再是基础架构,而是运营在基础架构上的业务数据。由于这种攻击的目标改变了,因此造成了BC概念的变化,同时相应的防范措施也发生了变化。
支点一:应用监控与优化
其实,业内有很多公司已经看到了传统BC的不足,并纷纷围绕企业的业务应用做文章。据悉,像思科、赛门铁克、趋势科技、CA都已经推出了类似的技术。此前记者曾电话咨询过赛门铁克中国区业务拓展经理郭训平,他认为,在国外,很多安全企业都把注意力转移到对于企业应用开展监控、优化和保护,在现有的IT架构基础下,最大限度地符合企业业务连续性的要求。他也谈到,由于国内很多企业也是采用国外的解决方案和安全套件,从技术上来说,也都能够主动监控、分析并诊断对关键业务应用造成影响的性能和可用性瓶颈,但是从根本上进行防护还是整个体系的事情。
在新一代的相关安全方案中,我们可以看到新系统加速了识别和解决应用性能时间,可以帮助企业的IT人员在用户体验之前更正事件。同时,通过将大量技术层面的交易数据协同起来,实现性能故障快速识别,可以帮助用户在复杂的多层应用中快速识别性能故障所在。
事实上,这些类似技术都已经可以为企业用户的IT管理员在一个界面中提供主要性能故障总结,以及据此发布有针对性的建议和处理措施。另外,这些监控与优化技术都是面向J2EE 的,这样就可以对在WebLogic、WebSphere和Oracle等数据库中运行关键业务应用的用户提供性能优化建议。
此前,美国《Network World》曾报道过Financial Security Assurance保险公司的IT经理Luis Morales对应用监控技术的看法,他表示“这些技术可以帮助用户确保关键应用的可用性和性能,使IT部门能够更好的支持企业的业务和客户。凭借类似技术的应用,IT人员可以主动通报威胁业务连续性隐患的潜在发作时间,同时快速解决应用性能的问题,并将IT资源与其他关键业务活动协同起来。
支点二:终端统一安全管理
在终端安全管理方面有一个典型的例子:不少企业花了很多钱去防病毒,IT人员把每一台机器都安装了防护系统,定时升级,补丁也打了,按理说已经可以了。但根据IDC的统计,在这样的情况下,仍有70%左右的用户受到病毒的影响。对于企业用户来说,桌面防护的关键问题不在于技术,而在于如何通过有效的方法把终端管理好,实现终端安全,从而最终降低BC的安全风险。
冠群金辰的安全产品经理表示,目前越来越多的企业开始重视这一块内容,他们看到仅仅依赖于防病毒是远远不够的,还需要加强管理。对此郭训平举例说,中小型企业要实现终端安全管理标准化,深入分析后就会发现要从自身需求出发解决问题,采用以策略为中心的方法,而并非以防护为中心。
事实上,此前安氏领信的安全专家也认为,用户找到合适的产品其实是相对比较容易的,但问题却在于将会采用什么样的方法部署,即要确保产品的所有功能都能成功安装,并且装上之后不会被轻易的卸载掉,其实这个问题很多用户都会发生,只不过严重程度不一样。
为此郭训平建议,企业要想保证业务连续的万无一失,必须实现终端的标准化管理。因为只有实现标准化,防范效果、运营成本和管理有效性才能得到提升。以桌面维护为例,某公司会指定几个品牌的电脑,其主要目的就在于维护起来十分简单,不论是硬件的更新还是日常的维护都很方便,只要通过自动化和标准化的管理就可以实现,从而降低成本并确保管理的有效性。
对于BC而言,安全管理要实现标准化,就不能以安全防护为中心,安全防护只是一个手段,其真正核心在于企业要根据自身需求制订相关的标准。例如,在终端必须要装防病毒软件,及时打补丁等等类似的要求。另外,还需要加强管理,确保所制定的策略和要求在真正执行时能够实现有效执行。例如用户安装一段时间后却被卸载掉了,IT人员可以通过技术手段发现被卸载,然后立刻督促用户重新装上。
无疑,终端安全管理标准化已经成为BC发展的新趋势。在此以赛门铁克的Endpoint Protection 、冠群今辰的KSMS、安氏领信的LinkTrust IntraSec为代表,可以看出类似技术主要包括三个方面:第一是标准的终端安全防护技术,以免厂商集成多种不同技术而加剧管理的复杂性;第二是法规遵从,要求企业不仅仅具有优秀的安全防护产品,还能够在使用的同时确保遵守相关的一些基本要求和规范,从而通过强制策略、规范和遵从要求实现企业系统的标准化;第三是问题出现的快速响应。终端标准化除了进行防护确保自身执行之外,还要求能够在一旦发现问题之后可以让用户采取很多措施,并且通过一个集中化的操作,方便快捷的将威胁降至最低。这三点可以在很大程度上确保终端的安全性,从而进一步加强了BC的安全机制。