◎ 点评人
赛门铁克大中华区首席顾问 田成
McAfee北亚区技术总监 陈联
Check Point软件技术有限公司技术顾问 沈江
冠群金辰软件有限公司技术总监 郑林
◎ 案例背景
“快来啊!我的电脑出毛病了,一上午有无数个广告弹出来,都没法工作了!”市场部的同事电话向杨洋求救。这已经是今天的第四个求助电话了。他正准备起身去市场部现场,电话又响了,是刘总,他也遇到了同样的问题。
杨洋叹了口气,最近几天疯狂的广告软件和间谍软件折磨了不少同事,也让信息部门花了很多精力去清理受到感染的客户端。他派另外一个同事去市场部门,自己则硬着头皮先去给老总的电脑诊断。出了这种情况,免不了要向领导解释。
果然,没等杨洋开口,刘总就开始抱怨:“到底怎么回事?为什么这些广告会‘上窜下跳’?!”杨洋赶紧把前两天在网上搜索到的有关“广告软件和间谍软件”的知识如实向领导汇报。
原来,这些广告存在极大的安全隐患,不仅直接影响了工作效率,还使企业面临着风险。
间谍软件有可能被偷偷地安装在用户系统上,以便收集密码、登陆细节和信用卡详细数据等保密信息。它能够监控企业用户的上网习惯和机密信息,然后在企业毫不知情的情况下把这些信息传送给居心叵测的第三方。
此外,间谍软件还会导致企业计算机网络系统不稳定、死机以及不必要的带宽资源浪费等等。更让杨洋担心的是,因为间谍软件可以在敏感信息被加密前将其捕获,所以它能够绕过防火墙、安全连接和VPN等安全设施。
起初的小麻烦(广告软件和间谍软件),已经成了让公司头痛的大问题。杨洋和信息部门的同事必须赶紧“对症下药”,制止间谍软件的进一步发威。
他们了解到,一些安全厂商也密切关注这个新的安全风险,并迅速推出了应对间谍软件的新产品和服务。根据Forrester调查公司的数据,65%的公司可能购买或升级防间谍软件,从而使防间谍软件成为2005年最流行的安全技术。
难道又要向领导申请资金?年初的预算并不包括防间谍软件等安全投资。如果现在购买新的防间谍软件,清除系统中的间谍软件,不知道下一次,又会出现什么样的安全问题。
建立主动性信息安全体系
文/赛门铁克大中华区首席顾问 田成
应对这一问题的有效方法是,建立主动性信息安全体系。主动性信息安全体系的核心是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。
案例中的安全问题并不少见。如何有效地进行企业信息安全建设,并使安全投资最大化?我认为应对这一问题的有效方法是,建立主动性信息安全体系,而不是被动式的安全防御手段。
安全管理手段。比如身份认证、防火墙、访问控制、紧急响应、预警、安全策略等。但这里所强调的是一个主动性的机制和主动性的安全管理理念。
有一个备受业界关注的问题:我们比较好理解从预警角度提高安全防护的主动性,但管理、响应、防护如何能够体现出主动安全防护呢?
不错,确实很多主动防御手段都是通过预警机制推出来的,安全预警是主动性信息安全体系和安全保护体系的主要组成部分之一。但除了预警之外,在安全保护、安全管理、安全响应方面都能体现出主动性安全机制的内容。
有些人认为,目前还没有发生严重的信息安全事件,因此和业务建设比起来,信息安全建设不是一个紧迫项目。这反映出主动性的安全管理观念缺乏。在还没有预料到问题将要发生的时候,去做安全工作,这就是我们认为的主动性安全管理。
此外,安全响应似乎是一个被动的安全机制,但如果没有主动性安全的基础,安全响应将难以有效地应对将要出现的问题。
主动性安全体系分析
以早期预警系统为例,对主动性安全体系做一个进一步的分析。大家都知道预警就是要尽早发现问题,从而能避免一些问题的发生,及时解决可能出现的问题。选择和建立一套安全预警系统,有几个因素是最重要的?
一个是及时性,警报不管是对安全漏洞、安全威胁、还是恶意代码,信息发布要及时。
第二是准确性,现在安全报警的来源很多,有些还是免费的,但有些信息的来源未必可靠,所以准确性不是很高。准确性不高的安全预警信息,可能会起到与期望相反的结果。
第三是针对性,现在全球每天所发送的安全威胁信息是大量的,这些信息如果不经过分析并针对企业的环境客户化,就不能被用来防御所面临的威胁,因此其可利用价值是很低的。
优先解决六大问题
综上所述,我认为企业在建设主动性信息安全体系时,要优先解决6个问题。
第一,改变被动应付多于主动防御的局面。很多单位都面临这样的问题:花了很多的精力和资金在安全技术方面,但安全问题仍层出不穷。如果仔细分析的话,就是没有做好前期的预防,而是出现问题时都手忙脚乱地应付。
第二,加强对安全建设过程的重视。仔细比较我在欧洲、美洲、日本和中国做过的安全项目,我发现中国客户和其它国家客户一个很明显的区别,就是对于安全建设过程的认识。
虽然中国客户也非常重视安全目标,有相应的安全需求,明确要实现的结果和要达到的安全运营水平。但和国外安全管理比较成熟的大型企业相比,中国客户明显不够重视安全建设的过程。
国外大型企业做安全建设工作的时候,除了注重目标和结果外,他们会花很大的精力和服务商讨论从开始的目标,到实现结果,到最后的运营所需要走的过程和可能遇到的问题,他们会关心在这个过程里面企业需要注意哪些问题,在这些过程里面需要哪些手段、技术、管理、和人来帮助实现目标和结果。
由于他们愿意仔细看过程,所以也愿意跟服务商一起共同承担安全建设的风险。真正注重安全建设过程的企业,是愿意承担风险的,也是最有可能实现安全管理最佳境界的。
第三,提高安全技术管理水平。国内很多企业愿意把钱花在防火墙上,而相应的管理水平、手段没有体现,包括管理的技术、流程和人的管理。
第四,选择和制定适合企业的安全标准。现在安全标准无论是在全球还是中国并不缺少,但关键是选择和制定适合本企业的安全标准。这是整个业界都面临的问题。
第五,改善用户管理的问题。这是大型企业所共同面临的问题。这也是实现主动性安全管理体系的前提,因为用户管理的问题是信息资产安全管理的核心和基础之一。
第六,提高安全组织的作用和安全意识。安全威胁、安全故障、安全问题的出现,其实大多数都是由非恶意的行为造成的。真正恶意行为造成的威胁和破坏,从统计上来讲只占一小部分。那些非恶意的破坏和威胁可能是用户不知道如何做好安全保护,不知道如何遵守安全规定,不知道遵守哪些安全规定,无意之间造成了错误,无意之间给企业造成了破坏。
概括地讲,主动性信息安全体系的核心是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。在主动性安全体系的建设的过程里面有很多的工作要做,比起安全目标和安全结果来讲,最应该花费精力、付出代价、坚持不懈的是走主动性安全体系建设的过程。这个过程需要国家、服务商、产品供应商、客户携手同心来走。
链接:电脑安全小窍门
对于中小型企业来说,其实遵循一些安全的操作,就可以在一定程度上保护企业的安全。
互联网联盟(Internet Security Alliance(www.isalliance.org))有一套关于电脑安全的建议,其中很多方法实际上是不需要花费或者花费很少的,这些方法应该对于每个企业都是经济实用的,现摘录如下:
1、使用比较复杂的密码并时常更新。
2、仔细检查邮件附件和文件下载。
3、安装及更新防病毒程序。
4、安装和使用防火墙。
5、删除无用的软件和用户账户。
6、加强所有的计算机设备的访问管理。
7、为重要的文件、文件夹和软件备份。
8、即时为软件进行更新。
9、执行网络安全访问控制。
10、限制对敏感和机密性数据的访问。
