公司刊物

关于网络安全 你需要知道什么

关于网络安全 你需要知道什么

来自互联网行业的新机会 带来新的安全挑战

作者:Fred Sandsmark

互联网与网络技术为中小企业的业务增长和市场竞争创造了新的机会,同时也突显了其在保护计算机系统不受安全威胁上的必要性。2003年一项调查中的“计算机安全研究所”(CSI)报告表明,78%的受访者通过互联网连接“经常”受到攻击,这个比例在2000年为59%。

今天,即便是非常小的企业也感到有必要将自己的业务活动搬到网上,并且已开始付诸行动。然而,从事市场调研的Gartner公司副总裁和研究主管Jim Browning说:“它们常常忽视了安全,而安全却应当是首先要考虑的问题。”

在没有适当的保护下,网络的各个部分在来自黑客、竞争对手,甚或雇员的未经授权的侵入面前都是脆弱的。根据Gartner的调查,截止2005年,自己管理自己的网络安全、对互联网的使用不仅只是收发e-mail的中小企业中,其中40%将体验到一次入侵成功的网络攻击,而这些公司中的一半以上甚至都不知道它们自己被攻击了。

“小公司处于一种麻痹大意、自以为很安全的状态,”Browning说。“它们通常会对其网站所受到的最后一次病毒攻击或最近一次破坏做出反应,但它们的处境是,能用在网络安全上的预算只有这么多。”

基本形式

同所有犯罪行为一样,针对网络和资源的威胁来自于少部分人,但这部分人的数量却在增加,部分原因是,在网上可以随时获得各种免费的、可下载的工具,这些工具令新手能够很容易地发起利用计算机系统已知弱点的攻击。国际网络入侵威胁背后的人可能是黑客,可能是蓄意破坏者,也可能是偷窥者。

黑客仅仅满足于进入一个系统后对世人宣称,他们成功了,这就好比登山家登上一座山峰后向世人宣布自己成功了一样。蓄意破坏者更为恶毒,他们进入一个机构的计算机网络后会蓄意进行破坏——修改网页、偷窃或破坏数据。偷窥者通常是公司雇员,他们因好奇或恶作剧的驱使而获取私人信息。

常见的安全威胁包括网络攻击和社会工程,以及病毒、蠕虫和间谍软件。出于技术、政治或经济动机的复杂网络攻击,通常都是以某一特定的公司或系统为目标。他们可能会使一个用户数据库瘫痪,偷窃账号或专有资料,或在一个网络内安装未被发现的代理服务器,以使入侵者能够利用你的资源发起攻击。

网络攻击有以下三种基本形式:

  • 侦察攻击是情报搜集活动,在这种活动中,入侵者收集数据,以便日后破坏网络。
  • 接入攻击则是利用网络接入点上的弱点。
  • 垃圾邮件攻击是向一个服务器发送大量信息,实际上相当于造成网络交通瘫痪,使合法用户不能登录该服务器。

你必须优化自己的防卫体系,来保护自己的网络不受外界攻击,同时使宝贵的资产不会被内部潜在的攻击者破坏。事实上,Gartner预估,损失金额在5万美元以上的全部攻击中,70%都涉及到公司内部的一个攻击者。

社会工程(实质上就是欺骗)也被用来获取关于一个公司的网络及其进入点的敏感信息。不知情的雇员常常在不知不觉中帮了这种活动的忙。例如,社会工程可能涉及来自某个人的一个电话呼叫,这个人声称自己是一个技术支持代表,要求获取密码信息来更新一个系统。计算机病毒、特洛伊木马、蠕虫,以及集这些病毒之大成的新的威胁,会对你公司的生产力等产生破坏性影响。这些威胁很少以某一特定公司为目标,而通常是在互联网上发布,选择某些系统进行感染。病毒和特洛伊木马通常是依靠不知情的用户来暗中传播助其感染,而蠕虫则是自我复制和自我传播,使得它们能够在几小时、甚至几分钟内在全球范围内得以传播,感染那些没有打补丁的系统。根据安全软件公司PestPatrol提供的数据,这些威胁的总数已从2000年的约27000个增加到2003年的近60500个。

解决方案

识别,然后消除或减少安全弱点是减少风险的关键。通常,达成以上目的的第一步是制订一个正式的、书面的安全政策。对多数正在成长中的公司来说,在人力资源(HR)活动变得正规化的时候,对这样一种政策的需求也变得更为明显。“有正式HR流程的公司正在将互联网和e-mail的使用政策纳入人员聘用过程,”Browning解释说。“其中包括这样一个事实:公司的一台PC及其上面的数据是公司的财产,不是雇员的财产。”

在有雇员因不适当使用公司资产而被发现时,制订一个书面政策显得尤其重要,对有这种行为的雇员,可以以违反公司政策为由终止其雇用合同。

专家建议,一旦制订了一项安全政策,你就应当进行一次彻底的安全评估。“第一要务是,你要对你的技术进行评估,找出你所采用技术的全部风险和安全隐患,”Browning建议。安全状况评估工作就是确定公司当前的安全准备水平,评估现有安全措施、政策和响应机制的有效性。

一旦你的公司评估了自己的安全需求,将若干策略结合起来可减少,甚或消除今天的许多安全问题。这些策略包括:部署适当的技术来探测和防止网络攻击及违反安全政策的行为,对雇员进行培训和严格执行安全政策等。

注意事项

市场上出现的几个新产品可帮助中小企业解决存在于网络安全方面的问题。传统上为大企业提供安全产品的公司正在为中小企业制订专门的解决方案。在今天存在的安全威胁面前,需要大量先进技术来保护公司原有的生产力和资产,但很多公司却没有时间、人力、预算或专长来将所有这些技术集中起来。

“中小企业想获得一种容易使用和部署的产品,”Browning说。

幸运的是,领先经销商现在已经将多项安全功能集成到网络产品的每个层次,用来提高网络的互操作性,减小与新设备引入相关的学习曲线。

保障网络和相关资源的安全,还需要定期更新系统并为系统打补丁。Slammer和Blaster电脑病毒都会攻击微软操作系统的弱点,针对这些弱点,在这两种病毒发布之前就已经有了相应的补丁。

一些中小企业选择将它们的安全需求外包给一个MSSP(Managed Security Service Provider,即“安全服务管理方案提供商”)。很多MSSP能够进行安全状况评估,然后设计、配置和提供24小时的安全方案管理,收取固定月费。“我们的确看到许多中小企业正在寻求安全服务管理方案,但对这种方案的采用率仍然非常低,”Browning说。

Browning将这种低采用率归咎于“外包服务整体上的复杂性”。中小企业喜欢收取固定月费的方式,但据Browning说,他们想尽力找到一个自己信赖的供应商。不过,他预计中小企业对安全服务管理方案的采用将会增加。

底线影响

互联网安全会直接影响一个公司的底线。与联邦调查局的“计算机入侵组”联合进行的2003年度CSI调查显示,75%接受调查的公司承认因系统安全问题而遭受过经济损失。对能够量化其损失的(或愿意透露这一信息的,很多受访者不愿透露该信息)47%的受访者来说,总损失竟然高达2.018亿美元。专有信息的窃取、服务功能的瘫痪和计算机病毒是造成最惨重损失的三种攻击类型。而这些攻击并非都是针对“财富500强”公司的。相反,CSI受访者中18%的公司其雇员不到100人,23%的公司年收入少于1000万美元。

更难量化,但对中小企业尤其重要的是,与安全事件相关的停产和生产力损失。在很多情况下,当出现一次安全问题后,公司必须立即将关键服务器、桌面系统和供应链的联系,及服务系统临时断开。IT研究公司Computer Economics所做的调查显示,2001年,对于一个依赖于通过100个节点(台式电脑、服务器和其他网络设备)进行互联网通信的公司来说,恶意攻击所造成的年平均经济损失为233370美元。

然而,即使面对巨大的潜在损失,小公司对于是否需要将钱花在安全预防措施上也常常犹豫不决。

“很多中小企业将安全产品的作用看作与保险一样,”Browning说。“他们很不愿意为这种东西花钱。他们认为安全产品是自己从来都用不着的东西。”

通常,电脑病毒也就会在这个时候进行攻击。

真实世界

尽管很难对网络安全状况描绘出一个清晰的画面,(如前文所述,企业常常不愿承认自己存在安全问题),但在中小企业中的确也有成功的故事。

Hahn & Hessen是曼哈顿一个从事金融服务的法律事务所,有50名律师和40名支持人员。当该法律事务所最近搬家时,它采用了一个单一的IP网络,用于其电脑数据和电话通信。该新网络的一个至关重要的部分是一个Cisco PIX 515防火墙,位于网络的“边缘”上,即该事务所的内部网络与外界的连接点上。因为其员工有时在家、异地,或旅途中办公,所以该事务所还安装了一个Cisco VPN 3005 集线器,为通过互联网登录公司网络的员工提供安全连接。Hahn & Hessen还计划在一些律师的家里安装Cisco PIX防火墙和其他网络设备。

德克萨斯奥斯汀的Vignette公司提供软件产品,帮助企业迅速建立、管理和部署网络应用。该公司有近900名员工,在全世界都有办事处,因此拥有一个安全的网络是关键。当该公司重新设计其网络时,它采用了一个基于思科公司的SAFE蓝图的模块化方法。“该方法使我们能够控制多数病毒、网络管理、部署和增长,”高级网络工程师Selim Nart说。Vignette公司分阶段实施安全解决方案,先从防火墙开始,然后是VPN和入侵探测系统。该公司的IT员工对入侵保护解决方案所挫败的活动数量印象深刻,但却难以将这种保护维持下去。“我们每个月会接到约9万个报警,”Nart回忆说。“我们没有专门人员来处理它。”向实施方案中添加思科的“威胁响应”软件解决了这个问题。“该软件生成一种人工智能,比一般的工程师快约25倍,它接收报警,对其进行调查,然后就其严重程度及我们是否应对其予以关注进行报告,”Nart说。他计算,该软件使报警数量减少了95%,在一个月内就消除了超过85000起误报。

下一步怎么办

安全威胁以及减小安全威胁的技术都在不断发展。成功的保护要求采取一个持续的、以过程为取向的方法,其中包括以下措施:

对安全政策和安全状况定期进行评估。采用能够适时、适地提供安全连接、威胁防卫和身份管理功能的安全技术。针对已知和未知的威胁,对终端、服务器和桌面系统打补丁,进行保护。

我们应当意识到,任何一种安全技术如果单枪匹马都不能达到很大效用。即使在小网络中,采用将安全措施集成在所有设备中的一种分层管理战略,也能对网络提供最有效的保护。

许多基本的安全措施并不要求花很多钱或做很多努力。Browning认为,中小企业可采取简单易行的办法来改善其安全状况,如关闭停用的用户账号和阻止有潜在危险的e-mail附件等。

“中小企业可避免多数常见的互联网攻击,阻止入侵,大大降低网络攻击所造成的损失程度,”Browning说。

中小企业与大企业相比目标较小,但这并不意味着它们受到攻击的可能性较小,然而它们仍能通过易行的、常识性的预防措施来保护自己。

关于作者

Fred Sandsmark来自旧金山湾区,经常为iQ供稿。

返回

联系我们