在多年协助客户开展安全建设工作的过程中,会碰到各式各样的问题,其中有很多非技术性的问题非常普遍,而且对安全建设影响很大;为此,中喜安全科技做了一些分析和总结,把一些想法理顺,希望能够对广大客户开展相关工作有帮助。
企业级客户网络安全状况分析 这些年来,随着互联网络的迅速发展,通讯的便利和资讯的发达,让人们通过网络紧密地结合在一起,对网络的依赖程度日益增加,无论是工作还是生活,乃至娱乐;网络带给人们方便和快捷和竞争力,提供给人们新的娱乐和生活方式的同时,互联网络上的资讯爆炸性地增加,IT环境也变得越来越复杂和开放,大大增加了网络的管理难度和成本;而信息系统的迅速膨胀伴随着层出不穷的漏洞,恶意威胁和攻击日益增多,安全事件与日俱增,也让接触互联网络的每一个人都不同程度地受到了威胁; 互联网的开放性让所有人都处于一个平等的、无限联接的网络之中,你可以自由驰骋。然而,当你真正深入到网中央,却又发现来自互联网上的"安全隐患"是多么的棘手。 一般来说,人们会面临以下的主要几种威胁来源: ·内部人员(包括信息系统的管理者、使用者和决策者); ·准内部人员(包括信息系统的开发者、维护者等); ·特殊身份人员(具有特殊身份的人,比如,审计人员、稽查人员、记者等); ·外部黑客或小组; ·竞争对手; ·网络恐怖组织; ·军事组织或国家组织等。
对于企业级网络客户来说,面临最大的问题常是因无知而无畏造成巨大的损失,而且这种现象非常普遍。通常有以下几种情况:一个是因为客户自身的管理员技术水平的限制,加上缺乏足够的技术和服务支持,不了解如何来更好地提供足够的保障。二是管理层安全意识薄弱,花了巨资构筑硬件基础架构和软件平台,却不愿意或者不到出事就不愿意花适当的钱来把自家的信息架构安全门槛逐步提高到合理的水平。三是员工的安全意识淡薄,一些好奇或者不当的行为会把威胁主动地从外部带到内部,或者给内部不良分子可乘之机,不经意地造成不可挽救的损失。这其中,因为领导安全意识薄弱而让企业/单位处于高风险中是最常见也是最关键的一个因素;而由于员工的安全意识不足,在网络上的不当行为则往往是导致不安全隐患增多的很大一个原因。
对于第一种情况,由于企业级网络IT环境的相对封闭性,管理员日常维护工作的艰巨和繁忙,决定了网络管理人员不能及时掌握最新安全动态,不能拥有足够的安全技术手段来维护工作业务日益依赖的网络平台。而作为一个企业级客户来说,通过花很大的投入招聘高水平的安全专家专职为自己单位或企业服务无论对成本考量还是对高水平的安全专家自身发展来说都是非常不切实际和不现实的;而且,一个高水平的专家往往需要扎实的理论基础,经过多年的培养,拥有丰富的实践积累才能培养出来,非常不容易,所以,真正高水平的网络安全专家数量很少。对于一个高水平的专家来说,选择只为一个单位或企业服务是不明智的,而且网络安全技术往往涉及方方面面领域,没有哪一个安全专家能精通所有的领域,对于企业级网络安全体系的构筑来说,往往需要精通不同领域的安全专家付出共同的努力。
因此,解决单位或企业因技术人员水平限制的问题,企业需要专业的网络安全服务公司这样一个得力的助手来协助构筑和维护自己的网络安全保障体系,来保障依赖于网络的业务系统正常稳定地运行。
关于管理层安全意识薄弱问题,有一定的现实原因,单位或企业本来对开支巨大的IT建设持谨慎的态度,管理层和信息部门往往横着一条很深的鸿沟,对于信息化本来就存在着不同的理解和判断,这里需要有个过程。
在信息化的潮流中,在信息化与否之间没有第二种选择,只有选择如何更好地让信息化为提高单位工作效率,为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务,是个颇费心思的问题;这也是一个不断尝试,不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移,运作非常依赖信息资产前,企业管理层安全意识薄弱的问题是有一定的客观原因的;随着企业信息化水平的不断加深,管理层网络安全意识应该会逐步得到增强,并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点,从电信、金融、电力等极度依赖信息系统的领域可以看出来。
比较值得一提的是,由于管理层繁忙的工作事务和专业差异,常常对网络安全体系的建设过于忽视,孰不知,安全无小事,一旦因缺乏安全防护措施,对信息系统造成破坏,造成的巨大损失远非预先的安全建设投入可比。因此,管理层应该给予信息化安全系统建设足够的重视,根据信息化的不同阶段,逐步地增强安全保障措施,切忌一劳永逸的做法。
单位或企业信息化中存在的安全问题往往是由于内部员工的安全防范意识薄弱造成的;由于互联网络开放性的特点,接入网络的人往往可以很容易地去到网络的任何角落,通过网络接触到形形色色的事物,存在很大的不确定性;由于信息技术的很多固有局限,网络里面存在很多高风险的因素,而内部员工由于非专业性,对各种风险的来源未必清楚,因此有必要加强对员工的网络安全防范意识,以及对员工进行充分的安全操作和流程的培训及教育,以免给外部和内部不良分子以可乘之机,造成经济损失。另外,光靠员工的自觉,是远远不够的,也需要附之于技术手段来加强管理,借助各种成熟可靠的安全工具辅助管理,因此,单位或企业信息化,在带来巨大收益和回报的同时,构筑一套信息系统保障体系也是非常必要的。
中喜公司的一些建议:
1、安全,合适最重要! 不要把安全太当一回事,也不要把安全不当一回事;太看重安全的是傻瓜,安全从来只不过是辅助的位置,咱们不能主次颠倒;太忽视安全的是蠢材,因为安全虽然处于辅助的位置,但是却是非常必要的,自以为可以眼不见为净,可以省下一点钱,可也许自己已经不知不觉遭受了很大的损失也不知道。 有些类型的客户,他们的企业业务已经充分建立在信息化网络化的基础上,离开了网络,公司的业务就会受到严重影响;对这种客户,有了安全不见得对企业效益有什么很大的帮助,但是没有了安全,企业也许就会随时遭受重大的损失,而这个损失可能会远远超出所需要的安全体系建设投入。对这类客户,安全已经是无法忽视的了。 也有些客户,他们的网络算是比较大,但是应用不是非常深入,简单的应用比较多,对这种客户,如何深入地信息化,是首先考虑的问题,安全相对来说,并不紧迫,不过,由于有些安全问题会直接影响到网络和系统的稳定性,并且内部的安全隐患存在着很大的风险不确定性,这样也会影响到工作的开展;所以,对这类客户,适当的安全投入是应该的。 对有些业务类型的客户,他们的企业业务发展所面临的市场竞争格局已经面临压力,不通过加强信息化建设就会给淘汰,但是处于对安全的顾忌,一直不能放心地充分利用信息网络化来提高自身的竞争力,这类企业,安全体系的建设也许就是当前重中之重的事情,而不是可有可无的事情了。 安全只需要基本的防护,合适自己的情况就可以;对普通企业,你永远不可能奢望电信级别的安全,因为没有这个实力,也因为需要保护的信息资产没有贵重到如此的地步。既然还有更高等级的安全等级,说明就有更大的风险存在;因此,对任何企业来说,安全和风险都是相对的;我们只需要合适自己需要保护的信息资产的安全解决方案就可以,超过了这个解决方案能够管理和解决的风险问题,应该交给法律来规范;没有了法律,该安全的时候安全,该出事的时候还是会出事。 我们不需要用网络战争的高度来构建安全体系,合适最重要。 从长远来看,靠国家法律法规的完善,企业内部管理制度的完善,积极规范网络行为才是治本之道,网络中存在的安全问题,不是靠技术,靠产品能够完全解决的,这些只能起到辅助和监控的作用;就向现实中的社会一样,不能光靠武器和保镖来保障我们的安全。
2、安全,要从上到下的重视! 高层没有安全意识,就会漠视或者不重视网管技术部门的工作,或者认为出了问题靠技术部门的人就会解决,导致技术部门的安全建设工作周期长,成本就会增高,成本高了,高层往往更谨慎投入;恶性循环;根本之道,要让所有的企业高层意识到建设安全体系,维护自己在4维度网络世界利益的重要性。把项目成本降下来,改善流程,促进良性循环。
3、安全投资是企业节省成本,提高竞争力的有效手段! 安全投资是非常值得的投入,是一种节省企业运营成本的非常有用的手段;因为只需要少量的投入,建设好基本而贴身的安全体系,起到保障了企业业务运行的作用,让企业效益有了保证;依次同时,减低了一些风险和无形的浪费,一些风险的存在极大地提高了公司的成本,适当的安全建设可以保持企业躯体的健康。例如,也许企业内部花费了很大心血通过市场调查而来的结果,或者经过长时间研发出来的最新成果,轻易地流失出去,落到竞争对手那里;会使这些成果顿失价值,而且错失良机,再例如,由于缺乏适当的管理工具,企业内部非正常网络运用例如聊天,下载电影,玩游戏等,导致企业效率降低,此番种种,都直接导致了企业成本的增加,效率的降低。安全投入相对于这些损失来说,实在是微乎其微。 一般情况下,安全的投入可以保障企业在相当长一段时期内处于低风险阶段,平均分摊下来,安全投资甚至少到每天才几元钱。而这几元的作用却是非常关键,直接关联到企业的竞争力。
4、服务是真金子,要重视服务,不要为了省钱而做安全。
服务才是真金子;我们所说的服务贯穿始终,并非纯指技术性服务,从刚开始接触客户,到评估网络,出方案,进行测试,然后是采购商务流程,实施,售后支持等等,每一步都体现以客户为中心的理念,从头到尾,作为一家专业的安全服务公司,是需要投入大量的人力物力和精力的,而这些都会最终成为运作成本,也会成为项目成本;而这些只有真正走专业化的安全服务公司才能体会,非纯贸易型公司所能感受。 在实际的项目中,客户技术部门和相关安全公司会花费很多精力进行前期的工作,但是到了采购和商务流程,采购人员或者决策人员往往只重价格,忽略了其他必须注意的因素,忽视了前期和后期的服务成本,如此导致的结果,往往是客户花了很多钱建设安全,最终却为了节省那么一小部分钱而斤斤计较,而这些钱往往也就是安全服务公司为了把服务做好必要的利润空间;用最少的钱把事情做好,对任何企业来说,都是合情合理的,不过,可别变成了为了省钱而做网络安全的工作了,这样一来,客户花了钱没把事情做好,后患无穷,安全服务公司前期的各种投入也白白浪费,双输!这一点,决策层更应该意识到,选择相关安全产品来为自身企业提供保障还是有一定的特殊性的,尽量做更周详的考虑好一点。5、重视高端/敏感人物信息安全
敏感的信息资产需要保护,因为敏感信息资产直接关系到客户的核心业务是否能安全可靠稳定地运行;高端/敏感的岗位也需要给予足够的关注和保护,因为这些岗位人员的一举一动,影响深远,关键的时候,些许疏忽,也能造成重大而不可挽回的损失和影响。如竞争激烈行业的上市企业高层及敏感人物,机要部门人物,明星等,他们往往需要利用网络带来的无限便利性,提升自己的竞争力,在这个片刻千金的时代,通过各种终端访问网络、发送包含商业机密和重大决策文件等敏感邮件的时候常常存在,但是由于非专业性,现实中强势的人物在网络上也会立刻处于非常弱势和被动的处境,常无法意识到网络上怎样的行为会带来风险,无法判断自身所处的网络环境是否可靠,也不知道如何来保护自己等等;我们可以为这些群体开展以下一些支持:
协助高层更好地理解内部信息安全体系,更合理地进行决策,促进信息安全建设
评估个人信息安全性,本机面临公司内部和外部而来的威胁
严重补丁提供加固
病毒,木马,蠕虫防护
传输安全防护
良好安全习惯培训
旅途威胁处理(如在酒店上网进行商务操作)
笔记本失窃处理(意外防护)
口令强度评估
攻击分析
紧急响应
电话咨询/现场解答
定期安全知识培训
月刊提供
机器损坏数据快速安全恢复,不被泄露
评估数据是否已经泄密
提供安全浏览保证,避免个人喜好习惯等泄露
6、不断提醒内部员工,增强网络安全意识
根据调查,引发网络安全事件的原因中,因“利用未打补丁或未受保护的软件漏洞”,占50.3%;对员工不充分的安全操作和流程的培训及教育占36.3%;紧随其后的是缺乏全面的网络安全意识教育,占28.7%。因此,要用直观、易懂、演示性的方式来加强员工的网络安全意识水平,降低企业面临的各种风险,提高竞争力。并且要像广告一样,经常提醒员工,才能达到更好的效果。可以培训的内容和形式有:
IT系统安全的发展趋势
安全口令的结构
口令的重要性和保护方法
口令是如何泄漏的?- 演示
本地键盘操作
网络窃听
远程入侵
暴力破解
口令破解-演示
木马和恶意代码-演示
电子邮件和浏览内容的安全问题
明文传输的安全问题
最新的高风险病毒分析
局域网安全隐患-演示
Win2000/NT口令传输安全问题
Win98共享安全问题
远程控制/管理Win98,Win2000
邮件文件安全问题
交换环境下信息嗅探和监听
内部入侵桌面系统全过程
保护本地数据的方法 (Office文档,压缩文档。。。)
如何保护直接连接因特网的个人电脑
物理安全的重要性-演示
良好的安全习惯。