权威研究及分析机构Gartner最近指出,部分长期在业界流传的有关IT安全威胁的评述是言过其实,这不但会误导用户,更会使企业忽略了真正需要优先处理的安全问题,从而造成更大危害。
Gartner有关人士表示,长期夸大安全威胁会误导用户,这反而会造成危险。为防御这些不实的威胁,用户得花费时间及精力,但最终受益的只是那些但求促销产品而危言耸听的技术供应商。建议企业在采取行动前要三思而后行,以免被骗。
谣传一:IP话音不安全
这种观点不正确。安全设置IP话音系统绝无难度。由于语音是大部分企业最核心的应用,时刻保持警觉固然是明智的做法,但只要安装适宜,其效益远超过风险。而现实中,IP话音系统极少受到袭击。这也正是为什么一旦有此类事件发生,就很有新闻性的原因。不幸的是,这类新闻往往被断章取义。电话被窃听,就是一个被夸大的IP电话安全问题。其实,要想窃听,前提是要先与IP电话机连接在同一本地网络内。因此,在多数情况下,窃听传统电话比窃听IP电话更容易。窃取语音包和数据包难度是一样的,所以毋须过于惧怕IP话音通讯会被中途截听并被不法分子利用。企业应关注更有可能发生的攻击,例如防范针对IP电话服务器的服务中断袭击。
Gartner建议,只要IP电话对业务有帮助,企业就可以采用,所要做的就是运用目前最佳的IT安全措施来保护IP电话服务器即可。若担心被窃听,最佳的保护措施是使用与数据通信相同的方法将话音通信做加密处理。
其实,要以这种威胁手段破坏数以百万计的移动设备的事件恐怕在2006年底前不太可能发生。IT安全业旨在通过让市场相信针对移动设备的恶意软件所造成的威胁已迫在眉睫,从而使众多的手机和PDA用户购买相应的安全解决方案。然而,由于智能电话和PDA的兴起,30%的全球市场被这些新设备占据,他们运行在与以往不同的平台上,使那些恶意软件失去了肆虐之地。大规模的破坏需要一个通用的运作平台,这样的平台在近期内不会出现。
Gartner建议企业慎重选择移动设备与无线服务,力求购买最安全的产品。企业还应制定相应的流程,同时管理企业配备的和员工自有的移动设备。分析现有的安全政策,确保其能够找出移动设备使用中的安全漏洞,能堵截在网络中的移动恶意软件。
谣传三:互联网会因Warhol蠕虫而不能可靠地处理业务通信及VPNS(虚拟网络)
多年来,业界对互联网灾难的预测不断,但说到Warhol蠕虫病毒能拖垮整个互联网,是过分夸张了。
2003年SQLSlammer蠕虫发作时,互联网被证明在灾难性攻击下仍能迅速恢复运作,有很强的免疫力。Gartner预期到2007年,互联网的性能和安全性将满足所有的企业至消费者通信、七成的企业到企业通信,以及半数以上的公司广域网络(WAN)的通信要求。企业应确保在未来两年内部署可靠的域名服务及能在中途阻截服务中断攻击的防护措施,以确保持续提供可靠的互联网服务,以切合业务的需要。
谣传四:遵守了监管法规便足够安全企
业往往为遵从监管法规的要求而为信息安全项目提供资金,却很少注意到安全问题的真正核心。虽然加强安全性确是有助于遵从法规,但遵守了法规却不代表企业就可以高枕无忧了。大部分法规只要求企业多做报告,却不一定能提升企业的安全水平,且法规的要求也往往赶不上技术更新及安全威胁变化的速度。
美国的《萨班斯·奥克斯利》法案(简称SOX)便是一个突出的例子。它原本旨在针对欺诈性财务报告所涉及的个人不当行为,后来才被扩展到IT系统和用作评估IT项目的效益。可是,SOX审核的项目与实际提升企业安全水平的关联不大。
Gartner建议企业先建立更有效的安全流程,再制作能证明其合规的文件。SOX要求解决的首要安全问题是身份识别和存取管理,然后是漏洞管理。因此,企业应先为制定相关框架,以便实施以上流程,再按照业务需要来评估有关采购是否合乎效益。
