《达·芬奇密码》讲述了一个神话故事,但内网安全并非神话故事,需要切实防控 ,对于企业内部网络的安全威胁,怎么强调都不过分.
在员工浏览色情网站、使用即时通讯和访问购物网站的时候,一些间谍软件、广告软件等恶意程序就会不知不觉地被下载到电脑中,并在企业内部网络中进行传播。严重者可能导致公司信息系统被入侵、机密资料被窃以及公司网络堵塞等问题。
由于企业忽视对关键数据和敏感信息的保护措施,致使所有的人都可以轻而易举地访问这些核心数据,从而为企业机密文件的泄露埋下了隐患。
企业网络虽然有里三层、外三层的防护,但攻击事件仍然不断,企业机密文件仍然不知不觉地跑到竞争对手的电脑里。
所有这些都表明,网络安全问题已不再只是外部攻击和简单的病毒防护。当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时,殊不知,威胁企业生存和发展的是来自内部网络的安全隐患,而且其危害远大于一次黑客攻击或一次病毒骚扰。据FBI和CSI曾对484家公司进行的网络安全调查结果显示:超过85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。
您的内网有此问题吗?
古语云:“知己知彼,百战不殆”。企业要想找到安全体系失控的原因,不仅需要了解外网安全的环境,更要清楚地了解影响企业内网安全的因素,以及内网安全所面临的问题。只有弄清了外网安全和内网安全的交互关系,以及各自所面临的安全环境和安全问题,才能制定清晰的整体安全策略、合理地部署安全架构,内外呼应,实现企业网络的整体安全。
安全机制尚需完善
企业往往注重网络边缘的安全防护,认为外部安全了,内部自然就平安无事。因此,在制定安全机制或策略时,往往是针对外部威胁而设定的。许多企业对企业核心数据和信息的保护几乎是零,既没有身份认证的授权要求,也没有等级的访问权限,更没有进行适当的数据加密处理,企业机密几乎被置于真空当中。另外,大部分企业对员工的上网行为和上网方式,也没有严格的限制措施,使得许多安全风险都伴随员工不当的上网行为和上网方式而来。比如,员工私自拨号上网,就可能把间谍软件,甚至是木马病毒带入内部网络环境当中。
单一防护无法构建深层防护体系
要想使企业内网成为一个安全的环境,首先就要解决网络边缘的安全问题。只有网络边缘安全了,才能防止病毒、蠕虫、恶意威胁透过互联网进入企业内网。于是,许多企业开始在网络边缘部署防病毒软件、防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段。防火墙没有办法实现对内部用户安全攻击的控制;IDS不能实现对所有业务的监测和控制;防病毒软件没有办法控制病毒在网络内的传播;虽然企业不只有一台防火墙、一台IDS,但仍然无法避免威胁的攻击。这说明,企业的安全架构只是一副骨架,各个环节之间并没有进行联动和配合。因此,这种安全机制势必会造成顾此失彼的防御问题,从而也就无法保障内网的安全。
网络资源使用不当 无法保障网络稳定
网络的稳定性、可靠性和可用性是保障企业业务顺利进行的基础。然而,目前大部分企业没有合理利用网络资源的策略和机制,只是等着问题的出现。问题出来了,网络不稳定了,才去查找原因,这是一种被动的思想。正是这种被动的策略环境,使得员工无法控制自己的上网行为,不仅浪费了大量的网络资源,甚至还可以导致网络瘫痪。比如,有很多员工在上班时间利用BT下载音乐、电影等。
您的内网有此策略吗?
企业若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累积的技术资产和研发投入成为他人的嫁衣,甚至可能因此导致企业失去竞争力。企业还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。怎样才能有效地实现内网安全呢?企业除了制定健全的内网安全机制之外,不妨从数据加密、身份认证以及上网行为管理等方面多下功夫,从根本上消除内网安全风险。
数据加密提供基础安全
企业除了利用防火墙、IPS、防病毒产品等手段防御外部威胁,数据加密成为保护企业有价值数据的主要工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗,企业依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为这些资产都得到了安全的加密保护。
[1] [2]
对电脑硬盘进行加密保护,可以降低信息被非授权者利用的风险。硬盘加密采用业界公认的加密算法,对硬盘进行高强度保护。目前这种保护强度让硬盘不会被攻破。在没有经过授权的情况下,硬盘会处于加密保护状态,即使将其连接到其他系统,也无法读取或存储硬盘数据,唯一处理的方式就是将硬盘格式化。采用硬盘加密技术的笔记本电脑,其硬盘上的所有数据被保护起来,大大降低机密数据泄露的风险。
身份认证设定访问等级
采用双因素身份认证的方式,可以达到高强度的安全保护,身份认证可以通过智能卡、一次性口令,或者USB令牌的方式进行。当然,启动前的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的硬盘加密技术,并不是要通过繁琐的加密步骤来困扰用户,而是为硬盘本身提供应有的保护。用户每天都要登录系统,因此在不影响用户使用的前提下,简单的操作和高强度的保护,才能为用户提供一个安全、便利的环境。
有调研机构曾对1000多名受访消费者做过有关信息安全问题的调查,内容包括对信息安全的警觉性、电子交易安全的信心以及防范身份被盗用与电脑被攻击所采取的安全措施等多项问题。当被问及“与去年比较,你对身份被盗用问题的认识是否有所加深?”时,63%的受访者认为,自己在这方面的认识“加深了”;但是,49%的被访者表示,他们并不感到今年比去年更安全,更有26%的人认为,自己比2003年更不安全;只有18%的受访者认为,今年较去年同期更安全,在这18%的受访者里面,超过半数的受访者指出,感到更安全的原因在于,他们加强了其个人安全措施,少于30%的受访者认为,原因是由于电子安全技术有所改进或银行更改了电子安全的政策及程序。这说明大部分的用户对身份认证的重要性还意识不到。
随着互联网日益蓬勃及新兴电子商务应运而生,个人的身份识别问题日渐受到重视。这不仅仅是由于网络安全问题日益严重,更是因为这是决定真正的网上交易能否达成的关键。如何识别某人的真实身份,进而赋予其相应的权限,允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。
上网行为管理杜绝安全隐患
为防范内部安全问题潜在的威胁,企业需要一套有效率的网络监控、管理和报表解决方案。先进的网络内容安全行为管理解决方案具备隐藏式过滤技术和详细报表功能,监控但不阻挡浏览的能力以及灵活地根据客户需求进行订制。网络安全行为管理系统软硬件设备可以作为路由器使用,因此,企业网络信息系统可以避免被沉重的非工作相关网络流量拖垮的风险。
集成的安全管理成为趋势
越来越多的企业认识到了保护资源的重要性。但令人遗憾的是,威胁的数量和严重程度使安全管理变得极为复杂,即使是资源最优化的企业都面临着严峻的挑战。所有企业,不论规模大小,都需要在与恶意软件及其他安全威胁的战斗中占得上风,为此,它们都在积极寻找将多种安全功能集成到单个管理控制台的解决方案。当然,企业需要的不仅仅是一个视图和一个集中的命令中心,企业还需要能够帮助他们主动地防护不断增长的威胁。
经常有一些安全产品的口碑不好,就是因为使用这些产品时仍然需要大量的管理员,而且需要安全专家用太多时间对事件日志和数据进行分析解释。不管是要部署更多资源、断开网络访问还是要部署清理服务,客户总是希望能够查看到有用的数据以便立即决定要开展的工作。这一原理同样适用于小型组织。一般的小型企业没有专门进行安全管理的大量员工资源,但是保护其信息资源的重要性并不亚于大型企业。一个不仅整合了多项安全功能而且还能够自动实施的解决方案,在使中小型企业有能力进行有效安全管理方面,有非常大的作用。
虽然技术手段是目前安全防护的主要方法,但是,企业应该学会利用合理的安全机制和政策,从意识上改变对网络安全的认识,从而做到防患于未然。要想更好地解决网络安全问题,需要更多地从组织机构内部而不是基于外部攻击来考虑安全问题。如此,来自公司内部的超过85%的安全威胁才可能降下来,而这个比例能降多少,则要看企业自己了。
(出处:http://www.sheup.com)
[1] [2]