您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
信息安全投资需要IT治理的指导
发布时间:2005年09月22日点击数: 作者:三人行 来源:本站原创
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
◎ 点评人

赛门铁克大中华区首席顾问 田成

McAfee北亚区技术总监 陈联

Check Point软件技术有限公司技术顾问 沈江

冠群
金辰软件有限公司技术总监 郑林

◎ 案例背景

“快来啊!我的电脑出毛病了,一上午有无数个广告弹出来,都没法工作了!”市场部的同事电话向杨洋求救。这已经是今天的第四个求助电话了。他正准备起身去市场部现场,电话又响了,是刘总,他也遇到了同样的问题。

杨洋叹了口气,最近几天疯狂的广告软件和间谍软件折磨了不少同事,也让信息部门花了很多精力去清理受到感染的客户端。他派另外一个同事去市场部门,自己则硬着头皮先去给老总的电脑诊断。出了这种情况,免不了要向领导解释。

果然,没等杨洋开口,刘总就开始抱怨:“到底怎么回事?为什么这些广告会‘上窜下跳’?!”杨洋赶紧把前两天在网上搜索到的有关“广告软件和间谍软件”的知识如实向领导汇报。

原来,这些广告存在极大的安全隐患,不仅直接影响了工作效率,还使企业面临着风险。

间谍软件有可能被偷偷地安装在用户系统上,以便收集密码、登陆细节和信用卡详细数据等保密信息。它能够监控企业用户的上网习惯和机密信息,然后在企业毫不知情的情况下把这些信息传送给居心叵测的第三方。

此外,间谍软件还会导致企业计算机网络系统不稳定、死机以及不必要的带宽资源浪费等等。更让杨洋担心的是,因为间谍软件可以在敏感信息被加密前将其捕获,所以它能够绕过防火墙、安全连接和VPN等安全设施。

起初的小麻烦(广告软件和间谍软件),已经成了让公司头痛的大问题。杨洋和信息部门的同事必须赶紧“对症下药”,制止间谍软件的进一步发威。

他们了解到,一些安全厂商也密切关注这个新的安全风险,并迅速推出了应对间谍软件的新产品和服务。根据Forrester调查公司的数据,65%的公司可能购买或升级防间谍软件,从而使防间谍软件成为2005年最流行的安全技术。

难道又要向领导申请资金?年初的预算并不包括防间谍软件等安全投资。如果现在购买新的防间谍软件,清除系统中的间谍软件,不知道下一次,又会出现什么样的安全问题。

建立主动性信息安全体系

文/赛门铁克大中华区首席顾问 田成



应对这一问题的有效方法是,建立主动性信息安全体系。主动性信息安全体系的核心是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。

案例中的安全问题并不少见。如何有效地进行企业信息安全建设,并使安全投资最大化?我认为应对这一问题的有效方法是,建立主动性信息安全体系,而不是被动式的安全防御手段。



图1 主动性安全风险管理模型

图1的很多内容都是为大家所熟悉的安全技术和安全管理手段。比如身份认证、防火墙、访问控制、紧急响应、预警、安全策略等。但这里所强调的是一个主动性的机制和主动性的安全管理理念。

有一个备受业界关注的问题:我们比较好理解从预警角度提高安全防护的主动性,但管理、响应、防护如何能够体现出主动安全防护呢?

不错,确实很多主动防御手段都是通过预警机制推出来的,安全预警是主动性信息安全体系和安全保护体系的主要组成部分之一。但除了预警之外,在安全保护、安全管理、安全响应方面都能体现出主动性安全机制的内容。

有些人认为,目前还没有发生严重的信息安全事件,因此和业务建设比起来,信息安全建设不是一个紧迫项目。这反映出主动性的安全管理观念缺乏。在还没有预料到问题将要发生的时候,去做安全工作,这就是我们认为的主动性安全管理。

此外,安全响应似乎是一个被动的安全机制,但如果没有主动性安全的基础,安全响应将难以有效地应对将要出现的问题。

主动性安全体系分析

以早期预警系统为例,对主动性安全体系做一个进一步的分析。大家都知道预警就是要尽早发现问题,从而能避免一些问题的发生,及时解决可能出现的问题。选择和建立一套安全预警系统,有几个因素是最重要的?

一个是及时性,警报不管是对安全漏洞、安全威胁、还是恶意代码,信息发布要及时。

第二是准确性,现在安全报警的来源很多,有些还是免费的,但有些信息的来源未必可靠,所以准确性不是很高。准确性不高的安全预警信息,可能会起到与期望相反的结果。

第三是针对性,现在全球每天所发送的安全威胁信息是大量的,这些信息如果不经过分析并针对企业的环境客户化,就不能被用来防御所面临的威胁,因此其可利用价值是很低的。

优先解决六大问题

综上所述,我认为企业在建设主动性信息安全体系时,要优先解决6个问题。

第一,改变被动应付多于主动防御的局面。很多单位都面临这样的问题:花了很多的精力和资金在安全技术方面,但安全问题仍层出不穷。如果仔细分析的话,就是没有做好前期的预防,而是出现问题时都手忙脚乱地应付。

第二,加强对安全建设过程的重视。仔细比较我在欧洲、美洲、日本和中国做过的安全项目,我发现中国客户和其它国家客户一个很明显的区别,就是对于安全建设过程的认识。

虽然中国客户也非常重视安全目标,有相应的安全需求,明确要实现的结果和要达到的安全运营水平。但和国外安全管理比较成熟的大型企业相比,中国客户明显不够重视安全建设的过程。

国外大型企业做安全建设工作的时候,除了注重目标和结果外,他们会花很大的精力和服务商讨论从开始的目标,到实现结果,到最后的运营所需要走的过程和可能遇到的问题,他们会关心在这个过程里面企业需要注意哪些问题,在这些过程里面需要哪些手段、技术、管理、和人来帮助实现目标和结果。

由于他们愿意仔细看过程,所以也愿意跟服务商一起共同承担安全建设的风险。真正注重安全建设过程的企业,是愿意承担风险的,也是最有可能实现安全管理最佳境界的。

第三,提高安全技术管理水平。国内很多企业愿意把钱花在防火墙上,而相应的管理水平、手段没有体现,包括管理的技术、流程和人的管理。

第四,选择和制定适合企业的安全标准。现在安全标准无论是在全球还是中国并不缺少,但关键是选择和制定适合本企业的安全标准。这是整个业界都面临的问题。

第五,改善用户管理的问题。这是大型企业所共同面临的问题。这也是实现主动性安全管理体系的前提,因为用户管理的问题是信息资产安全管理的核心和基础之一。

第六,提高安全组织的作用和安全意识。安全威胁、安全故障、安全问题的出现,其实大多数都是由非恶意的行为造成的。真正恶意行为造成的威胁和破坏,从统计上来讲只占一小部分。那些非恶意的破坏和威胁可能是用户不知道如何做好安全保护,不知道如何遵守安全规定,不知道遵守哪些安全规定,无意之间造成了错误,无意之间给企业造成了破坏。

概括地讲,主动性信息安全体系的核心是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。在主动性安全体系的建设的过程里面有很多的工作要做,比起安全目标和安全结果来讲,最应该花费精力、付出代价、坚持不懈的是走主动性安全体系建设的过程。这个过程需要国家、服务商、产品供应商、客户携手同心来走。

链接:电脑安全小窍门

对于中小型企业来说,其实遵循一些安全的操作,就可以在一定程度上保护企业的安全。

互联网联盟(Internet Security Alliance(www.isalliance.org))有一套关于电脑安全的建议,其中很多方法实际上是不需要花费或者花费很少的,这些方法应该对于每个企业都是经济实用的,现摘录如下:

1、使用比较复杂的密码并时常更新。

2、仔细检查邮件附件和文件下载。

3、安装及更新防病毒程序。

4、安装和使用防火墙。

5、删除无用的软件和用户账户。

6、加强所有的计算机设备的访问管理。

7、为重要的文件、文件夹和软件备份。

8、即时为软件进行更新。

9、执行网络安全访问控制。

10、限制对敏感和机密性数据的访问。



深层防护 整体安全

文/McAfee北亚区技术总监 陈联



安全系统的构建不是一个单一的安全问题,而需要一个整体的安全理念。杨洋在当初制定安全战略时,就忽略了一个全局的概念,也没有深层防护的意识,导致今天的被动局面。

从案例来看,杨洋所在公司已经部署了一定的网络安全产品,并有自己的安全系统。面对这种突如其来的广告软件和间谍软件,杨洋所建立的安全系统无法应对,从而陷入了两难的困境之中。

一方面,不解决目前的间谍软件和广告软件问题,公司的正常业务就会受到影响,而且也无法向老板交待;另外,如果向老板申请额外的预算,自己的投资眼光就会受到质疑。

笔者认为,安全系统的构建不是一个单一的安全问题,而需要一个整体的安全理念。杨洋在当初制定安全战略时,就忽略了一个全局的概念,也没有深层防护的意识,所以才导致今天的被动局面。

细细研究就会发现,当今的安全状况与前几年相比,已经发生了非常大的变化。几年前占据着新闻头条的计算机病毒事件(如LoverLetter, Melissa和Michelangelo),在今天看来已经不是什么新闻了,取而代之的是破坏程度呈几何增长的新型病毒。

这种新型病毒被称为混合型病毒,它结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现整个企业网络内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或“引导”处的薄弱环节。混合型病毒的传播速度非常快,其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多。

混合型病毒的出现使人们意识到有必要设计一个有效的保护战略在病毒爆发之前进行遏制。这个战略必须具有前瞻性,而不是等到事件发生后才做出反应,必须能够在桌面和企业网络等级集成来提供病毒保护。

面对混合威胁,笔者认为一个完善的安全体系应该遵循以下原则,才能在保护公司网络和系统的前提下,获得最大化的投资回报。

深层防御是关键

当今企业面临的安全问题越来越复杂。为了满足用户的需求,时刻保持竞争优势,企业不得不持续拓展企业的网络。然而,网络的每一次扩张——每台新计算机,每台新服务器以及软件应用平台,都将产生额外的安全风险。同时,目前的安全威胁正在极速增长,这些威胁不仅以光速进行传播,而还可以攻击系统和网络的深层结构。Slammer病毒竟然在三分钟内传遍了全球!

案例中杨洋所遇到的间谍软件和广告软件也正在成为人们越来越关注的安全问题。McAfee防病毒和漏洞紧急响应小组McAfee AVERT近期发布的本年度第二季度影响企业和个人用户的常见恶意威胁和非预期程序 (PUPs) 报告显示,BOTS、广告软件和间谍软件继续成为个人用户和企业用户在第二季度最关注的安全问题。

在2005年度的前两个季度,通过使用后门技术攻击电脑的数量比2004年增长了63%。这是由于间谍软件和广告软件被下载到受影响系统而导致的。间谍软件已经成为一个主要问题。个人用户和企业用户越来越清楚地知道他们需要多种安全技术来保护电脑和网络。

以上数字说明一点,企业需要真正深层的防护,才能做到全面的安全。深层防护无非就是系统和网络的防护,如果企业的安全系统能够做好系统和网络的防护架构,不仅能够防护象红色代码、尼姆达和Slammer病毒这样的混合威胁,而且还能有效地防护已知攻击和未知攻击,这样,就会避免杨洋面对间谍软件和广告软件束手无策的尴尬局面了。

杨洋如果能在建立安全系统之初,就考虑到深层防护的重要性,选择安全产品或解决方案的时候,引进对间谍软件和广告软件的防护功能,就会避免今天的不利形势。

全面防护是目的

混合型病毒的出现使人们意识到有必要设计一个有效的保护战略,在病毒爆发之前将其遏制。这个战略必须坚持两个原则:

首先,它必须是主动性的,而不是在病毒发生后再做出反应。针对混合型病毒提供主动性保护主要基于以下几个原因:混合病毒传播的速度和它们的破坏程度;停机时间造成巨大的成本,需要大量的IT资源来清理病毒。

前瞻性的网络保护应提供启发式分析,检查文件中的代码是否含有类似病毒的指令。它还应该根据病毒定义提供全面的检索,检查某个病毒家族的所有变种。

第二,这个战略必须是集成的,来为桌面和企业网络提供保护。易管理性和强大的报告工具也是必不可少的。例如,桌面功能(一般指防火墙)必须能够便于管理,来降低额外管理费用,报告功能应能够在宏观和细分层次上进行轻松的可视分析。

投资回报看数字

随着混合威胁的不断发展,基于混合威胁的安全方案也越来越多。目前IPS(入侵防护)正在成为主动防御的主流。从IPS的投资和回报来看,任何安全系统的投资回报都可以进行量的考评。

比如,据McAfee提供一份调查显示,美国的一家财务公司,在全球有12个分支机构,原来使用250个许可证的IDS产品,目前,用30个许可证的McAfee IPS产品就能实现全球网络的入侵防护,而管理人员只需要3至4人,效率却提高了6倍以上。因此,建议杨洋重新考虑安全体系的架构,以深层防御为核心,构建一个真正的能防御混合威胁的系统。



堵住这个无底洞

文/Check Point软件技术有限公司技术顾问 沈江



安全部署和任何其他工作一样是不能一蹴而就,但是只要制定好正确的安全策略,做全盘部署并重视可扩展性,安全投资无底洞的局面是可以控制的。

杨洋公司的安全问题现在来说是个非常普遍的问题,间谍软件问题已经成为眼下互联网行业的热门话题之一。一家国际调查公司公布,大约67%的电脑都带有某种形式的间谍软件,尽管其中有很大部分是家用电脑,但是间谍软件对企业的威胁还是不容忽视的。

从案例来看,杨洋公司的主要问题是,这次购买了新的防间谍软件,下次怎么办?安全投资好像变成了无底洞一样。因此对安全投资要全盘的计划,一开始对安全策略的制定也是至关重要的。我个人对此有三点建议:

全盘部署

现在企业对于安全也需要做出和商业计划一样的周密计划。企业应该要把对安全的投资看作整个企业预算的一部分。

首次开支一般是比较高的,在以后每年的基础上,花费会有一定的变动,安全挑战也可能会固定在一定的水平。意识到这一点,才能在整体上控制和把握对安全的投资。杨洋公司需要多关注这一点。

制定全方位的安全策略

全方位的安全体系结构,它必须涵盖内部安全、Web安全、内容安全、全面保护(Total Access Protection )、VoIP和法规遵循等多个关键解决方案领域。虽然我们不能指望一劳永逸,但是起码可以在最大程度上减少安全上的漏洞。

根据木桶原理,木桶的最大容量总是由最短的那块木板决定。安全的可靠性也是,漏洞总是出现在最薄弱的环节。所以对于任何一部分,企业都应该考虑到。

全方位的安全体系结构,是唯一可以在最大范围内给企业安全保护的安全策略。一些先进的安全厂商也意识到了这一点,如Check Point软件公司的“全面访问保护” (Total Access Protection,简称TAP),就是源自这一策略的一个安全保护的层面。它能保护计算机安全,使它们不受黑客、目标攻击、间谍软件以及恶意代码等威胁。它使企业可以防护它所有连接的个人计算机。不论它们的所在位置、拥有权或者连接方式,为它们提供统一的远程访问、端点安全、主机入侵防护和政策执行。

着重可扩展性

可扩展性安全策略,也就是在以后需要的时候,可以对其进行升级。用户的网络不可能是永远一成不变的,随着业务的发展,公司内部可能组建不同的安全级别的子网,安全策略不仅要在公司内联网和互联网之间实行,还要在公司内部子网之间进行。

安全问题是日新月异的,谁也不知道明天会有怎样新的安全威胁出现。所以在建立防火墙架构的同时,如果将成长性理念植入其中,不仅会节省许多的投入,同时还能确保安全配置与业务扩展速度保持同步。

安全部署和任何其他工作一样是不能一蹴而就,但是只要制定好正确的安全策略,做全盘部署并重视可扩展性,安全投资无底洞的局面是可以控制的。



安全建设服务于业务目标

文/冠群金辰软件有限公司技术总监 郑林



信息安全建设的核心就是要清晰被保护的信息和信息系统的作用所在,分清轻重缓急,选择适当的控制措施。

杨洋面临的问题也是大部分企业用户面临的问题。安全威胁多种多样,安全问题层出不穷,如果每天着眼于处理单个的安全事件和问题,管理员的角色就会成为“救火队”,而失去了“管理”的本来意义。

如何让网络和信息系统的安全置于“管理”的概念之下,而不是被动地响应事件,是目前相当多网络用户亟待解决的问题。用户的投资是有限的,如何利用有限的投资达到最大限度的安全保障效果,是一个很现实的问题。

引入IT治理

在信息技术逐渐成为业务重要支撑技术的背景下,IT治理成为了中国信息化建设领域的研究热点之一。IT治理的目标将帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念,正确定位IT部门在整个组织中的作用。所以,信息安全建设的核心就是要清晰被保护的信息和信息系统的作用所在,分清轻重缓急,选择适当的控制措施。

良好的安全投资策略,建立在对信息技术和业务系统深刻理解的基础之上。规划一个良好的信息安全保障体系,需要首先明确组织的业务目标。根据组织业务目标,进行业务流程分析,确定核心信息资产,比如需要重点保护的数据信息、信息系统等,细化了信息处理流程、数据存储位置、人员操作流程之后,基本上就可以确定信息支撑系统在业务流程中的位置了。

然后进行风险评估,定位系统中存在的风险。明确了信息资产以及相关的风险之后,再根据组织对风险的接受程度和安全建设预算,确定风险的处理方式,并且采用适当的控制措施,实施安全和管理策略。

到此为止,用户基本上就可以清楚哪些系统需要重点保护、哪些可以采取简单防范措施即可,哪些安全项目需要马上开始,哪些可以稍后进行或不需要设置,哪些安全建设是一次性的,哪些工作是需要长期持久进行的。

统筹各种安全技术

在这个案例中,杨洋所在的公司面临的主要问题是计算机终端的安全保护和管理。计算机终端往往是创建和存放重要数据的所在,也是数据泄密的重要薄弱环节。

传统意义上的终端保护主要依赖于防病毒技术,而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任,以至于引发了防病毒软件是否卖“过期药”的激烈讨论。

事实上,防病毒技术是众多安全防范技术中的一种,我们不能够依赖一种技术试图解决所有安全威胁引发的问题,而是要贯彻国家关于信息安全的综合防范方针,要采用系统的思路统筹各种安全技术,并加以合理运用。

为了保障终端系统以及其中信息的机密性、完整性和可用性,需要整合多种安全防范技术对终端实施全面的安全保护。同时,终端的具体业务目的决定其行为模式。一些业务不需要的操作行为、应用程序等需要被禁止,并且需要有相关的监控措施。当终端处于不同网络中或单独运行的时候,需要有相应的保护和监管策略。

良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并且由专门人员进行日志的分析整理,发现违反策略的行为或者策略需要改进的地方。

综上所述,信息系统是服务于组织的业务目标的,所以,安全投资策略需要建立在对信息技术和业务系统的关系的理解基础之上,需要分清主次、技术和管理手段并举、产品和服务兼顾。
分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计