天融信安全专家谈企业如何保护信息资产安全 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2004年05月21日 09:49 新浪科技 | |||||||||
2004年5月3日,在互联网上出现蠕虫病毒W32.Sasser.Worm以及其变种病毒,即"震荡波"病毒,它通过互联网攻击Windows2000、2003、XP操作系统,其利害之处在于它可以不需要收发邮件,只要电脑联网就可能被感染,使被感染电脑重复启动,最后导致内存不足而使其瘫痪。不到一周的时间内,该病毒已经在全球范围内感染了超过1800万台计算机,很多公司被迫中断运营,来调试系统或者对所使用的防病毒软件进行升级更新,增加安全措施的设备和人员投入。
那么企业如何保护信息资产安全? 网络信息安全产品装置 信息安全问题实际上包括三个部分,即网络安全、身份认证和安全存储。针对互联网而言,网络安全的防护首当其冲,解决信息网络安全问题需要技术管理、法制和培训并举,而从技术解决信息网络安全问题,又是最基本的,具体体现在防火墙、入侵检测、隔离装置等网络安全硬件产品。 目前,在国内有CISCO、NETSCREEN、天融信等50多家网络安全产品生产企业。最具代表性的产品有CISCO 的PIX 500系列防火墙;NetScreen的208、204防火墙;天融信的NG FW4000系列防火墙等。其中,作为连续四年销售额和市场份额均居国内安全厂商之首的天融信旗舰系统产品-- NG FW4000,采用了其独创的核检测技术,同时结合强大的分层管理、多种工作模式、远程集中管理、负载均衡和双机备份、多层次分布式带宽管理、深层日志及审计分析等功能,能够为用户网络正常运行提供最优秀的性能及功能保证。 当然,作为一个企业级用户,在强调技术硬件解决信息网络安全重要性的同时,还要充分认识网络攻击的无边界性、突发性、隐藏性等特点。特别是对于网络防御来源,它要对付的攻击是难以预测的,困难在于一个攻击者仅需要发现一个成功的攻击,而防御者需要对所有可能的攻击加以防护。因此,从技术上讲,仅满足于分散的封堵已发现的安全漏洞是不够的,要把网络与信息安全视为一个整体,从安全体系结构(包括操作系统)、安全协议、安全监控管理(包括应急反应)、关健安全总结等多个方面与整体要求有机地结合起来,形成完整的解决方案,从而化解信息网络风险。 网络安全企业的服务支持 由于黑客攻击手法层出不穷,技术水平不断提高,相应的安全防御技术也必须同步跟进。否则原有的防范措施就可能由于落后而失效,从而导致整个信息安全保障的失败。因此信息安全保障不能仅仅依赖产品,安全不应该作为一个目标去看待,而应该作为一个过程去考虑。在这个过程中,网络安全企业的服务支持能够起到决定性的作用。 而这种服务支持应包括网络安全现状分析、安全需求分析、安全策略规划、防御体系构建、运行维护测评认证多个环节的安全服务。从实质上看,安全服务就是指人依靠技术(保障框架、安全标准、评估、认证、产品)来执行安全操作(风险评估、实时监控、入侵检测、报警响应、灾难恢复、审核审计),保障企业信息安全。服务是可管理的产品,更是一项系统工程。做好服务,需要具有丰富经验的专家帮助完成设计策略、体系模型、等级保护、专业培训、管理制度等的开发和完善。而要达到这个目标.就必须具备雄厚的人才储备、深厚的技术积累、先进的安全理念、丰富的实施经验和诚信敬业的态度。对安全企业来说,真正了解不同用户服务需求就显得尤为重要。而天融信公司早在2003年年底,依据用户产品、平台和服务三个不同层面的应用需求,提出了“三层服务”理念。即将用户需求分成初级、中级和高级,并根据用户的不同需求,为其提供相应的服务,为用户提供全程化安全服务,帮助用户建立统一的安全管理平台。 当然,对于现阶段国内信息安全服务商的选择,应该着重考察理论高度(对信息、业务与安全的正确评价与之国外相关方面的最新知识)、实践深度(人才、服务响应制度与测试程序)、工作态度(保守公司秘密与应急时间)、服务能力(安全产品服务面、专业化报告和应对策略制订与、建议)和资质评估等。 强化企业内部人员安全培训 信息安全培训是实施信息安全的基础,根据中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来黑客引起。据公安部最新统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理;58%无严格的调存管理制度。 要实现“企业安全”就必须对企业内部人员进行安全培训,从而强化从高层到基础员工的安全意识,最终提升企业网络信息安全的“机率”。 安全培训计划可阶段性地进行,根据企业性质与人员的职责、业务不同,可以将安全培训分成三个不同的层次,即初级、中级和高级。初级培训的对象包括所有员工,培训的内容主要角色与责任、政策与程序;旨在强化所有员工的安全意识与责任;第二层次为中级培训,对象包括高层经理、(非)技术管理人员、系统所有者、合同管理者、人力资源管理者与法律人员。教育及培训的内容包括安全核心知识、风险管理、资源需求与合同需求等,旨在强化人员的安全能力与安全意识。第三层次为高级安全培训,对象包括信息安全人员、系统管理人员,内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估,旨在提高企业的整体安全管理。 结束语 网络安全是一个比较复杂的问题,它涉及到网络边界、网络基础设施、核心业务和桌面等多个层次,涵盖路由器、交换机、防火墙、接入服务器、操作系统、数据库、DNS、WWW、MAIL以及其它一些关键应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理,需要在客户化的、可操作的安全策略的基础上,构建一个综合考虑了安全需求、技术、管理、相关法律法规等各方面因素的、全面的、多层次的、组件化的安全防御体系。该体系不是各个安全组件的简单叠加,而是安全硬件产品、厂商服务支持与企业内部管理三者之间相互协同,才能实现安全资源的集中管理、统一审计和信息共享的动态防御体系。(鸿磬) |