監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關閉

安全小洞不補,大洞吃苦

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

在排山倒海的洪峰和毫不起眼的管涌中,你更害怕什么?可能更多人害怕后者。沒錯,因為洪峰不會從天而降且可以預見,但堤壩上一個逐漸滲水的管涌口,會悄悄掏空堤壩,最終釀成大禍。企業(yè)的信息安全防線就像一堵防洪大壩,一方面新的病毒、新的攻擊手段層出不窮,沖擊著這座堤壩,一方面企業(yè)不斷添置硬件和軟件系統(tǒng),如果不能主動找出可能出現(xiàn)的安全漏洞,并提前防范,任何看似固若金湯的安全系統(tǒng)都會變成“馬其諾防線”。

雖然對漏洞的危害性,企業(yè)信息安全人員都心知肚明,但對于一個擁有各種不同品牌的硬件、不同操作系統(tǒng)、不同應用軟件的企業(yè)來說,即使窮盡IT部門的精力來“捉蟲”恐怕都捉不盡。根據(jù)美國計算機緊急響應小組協(xié)調中心(CERT/CC)的調查結果,計算機突發(fā)事件和漏洞數(shù)量正在不斷增長,平均每天公布的漏洞數(shù)量在40個以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長,系統(tǒng)受到攻擊的可能性以及相關費用也在不斷增加。因此,一個自動化、集成化、全局性的漏洞管理系統(tǒng)對企業(yè)就顯得十分必要了。

智能查缺

“企業(yè)應該把風險管理放在IT系統(tǒng)建設的首位?!?國際著名的信息安全專家,F(xiàn)oundstone公司(Foundstone,Inc.)首席執(zhí)行官(CEO)喬治·庫爾茨(George Kurtz)在接受本刊越洋電話采訪時開宗明義,“首先要做的是把系統(tǒng)中危險的地方查出來?!睅鞝柎氖恰逗诳痛笃毓狻罚℉acking Exposed)一書的作者之一,該書在美國被奉為“信息安全界的圣經(jīng)”,號稱“信息安全第一書”。

庫爾茨在他的安全咨詢職業(yè)生涯中完成了數(shù)百個防火墻、網(wǎng)絡和與電子商務相關的安全評估。2004年,F(xiàn)oundstone公司被McAfee公司(McAfee,Inc.)以8,600萬美元收購。

雖然很多企業(yè)已經(jīng)采用了各種網(wǎng)絡安全漏洞的檢測工具,但是對如何確定哪些漏洞更嚴重,如何去堵住這些漏洞,往往仍然束手無策。企業(yè)真正需要的是一個能提供持續(xù)性的網(wǎng)絡安全漏洞評估管理系統(tǒng),對于漏洞能查出、能分析、能堵住。群柏數(shù)碼科技有限公司市場總監(jiān)王慧說:“企業(yè)內一個廢棄的路由器上不經(jīng)意連著網(wǎng)絡的網(wǎng)口,都很有可能成為攻擊的入口?!?/FONT>

管理軟件廠商美國Altiris公司(Altiris,Inc.)大中華區(qū)銷售總監(jiān)馮國興說:“企業(yè)進行漏洞評估的內容應該包括防病毒軟件的狀態(tài)、安全補丁的狀態(tài)、業(yè)界皆知的漏洞、個人防火墻的狀態(tài)、系統(tǒng)安全配置的設定、未授權軟件和未授權硬件這七大領域?!?/FONT>

庫爾茨的方法是“知己知彼,百戰(zhàn)不殆”,就是用仿真黑客攻擊的手法來檢測公司的網(wǎng)絡是否有不正確的設定與危險的漏洞,同時提供完整的管理機制,以方便管理者追蹤、記錄、驗證漏洞評估管理成效,同時通過量化的報表來真實地反映網(wǎng)絡安全問題。如Foundstone公司的弱點評估管理系統(tǒng)就是仿真黑客的行為模式,協(xié)助企業(yè)找出暴露在互聯(lián)網(wǎng)上的每一部主機、網(wǎng)絡服務,以及相關信息與漏洞,用黑客的方法檢查一個企業(yè)的網(wǎng)絡架構,了解整個網(wǎng)絡架構的變動狀況。

管好家底

自演一把黑客,用黑客的方法檢視自己的網(wǎng)絡為企業(yè)提供了一個不一樣的角度,但企業(yè)要梳理清楚自己的全部IT資產(chǎn)并不是舉手之勞。由于企業(yè)的IT建設都是循序漸進的,桌面電腦、服務器、存儲、路由器、交換機????硬件上林林總總,軟件方面,各種操作系統(tǒng)、數(shù)據(jù)庫、應用軟件,紛繁蕪雜。這些都成為病毒攻擊的目標。

2006年1月,《信息周刊》研究部發(fā)布了《2005年中美信息安全調查白皮書》,研究結果表明:“操作系統(tǒng)和應用軟件的漏洞,經(jīng)常成為安全攻擊的入口?!痹谠獾桨踩舻闹袊髽I(yè)中,接近四分之三的企業(yè)都表示:攻擊來自于已知的操作系統(tǒng)漏洞;五分之二的企業(yè)表示:攻擊來自于未知的操作系統(tǒng)漏洞;接近三分之一的企業(yè)表示:攻擊來自于已知的應用軟件漏洞;而五分之一的企業(yè)則表示:攻擊來自于未知的應用軟件漏洞;還有四分之一的企業(yè)則承認:在過去的1年中,不適當?shù)慕尤肟刂茖е铝税踩簟?/FONT>

庫爾茨認為:“第二步就是如何把企業(yè)所有的IT資產(chǎn)管理起來。不僅在企業(yè)里IT設施需要管理,員工攜帶的筆記本電腦同樣也需要管理?!?BR>良好有效的資產(chǎn)管理對于消除死角、減少漏洞意義重大。由世界500強企業(yè)英國標準人壽保險公司和天津泰達投資控股有限公司共同創(chuàng)立的恒安標準人壽保險有限公司(下稱“恒安標準人壽公司”)的資產(chǎn)管理就是一個典型案例。恒安標準人壽公司的內部網(wǎng)絡連接了150多臺桌面電腦、筆記本電腦,20臺服務器和20多臺網(wǎng)絡設備,這些電腦和設備安裝的應用軟件五花八門,要把這些資產(chǎn)清查一遍不是件容易的事情,但不查往往就會漏洞百出。

恒安標準人壽公司信息技術總經(jīng)理林新觀說:“公司內部的人員會調動,資產(chǎn)自然也會流動,如果完全靠人力來進行資產(chǎn)管理比較困難,有時候甚至無法進行下去,必須采用一個系統(tǒng)管理軟件,能夠完全自動化地對資產(chǎn)進行動態(tài)管理。”通過與國際商業(yè)機器公司(IBM)的合作,恒安標準人壽公司基于IBM公司的Tivoli軟件構建了一套資產(chǎn)管理系統(tǒng)。

現(xiàn)在,在恒安標準人壽公司的Tivoli系統(tǒng)上,管理員可以通過圖形化的界面看到每個終端的軟件安裝情況。如果有不允許安裝的非法軟件,系統(tǒng)會發(fā)電子郵件提出警告,如果員工不按警告提示盡快刪除非法軟件,就會有專門的管理人員去跟他交涉。原來恒安標準人壽公司進行資產(chǎn)更新檢查,需要花費一個禮拜甚至半個月的時間,而且需要一個行政人員、一個財務人員和一個IT支持人員共同參與。部署Tivoli系統(tǒng)之后,每臺設備的具體配置都由Tivoli軟件自動掃描管理,每當設備配置更新,Tivoli軟件能夠自動檢測、自動更新。如要查看IT資產(chǎn)狀況,只需要由Tivoli管理系統(tǒng)按照需求生成一張報表即可,整個過程不到1小時。該公司通過有效的管理,做到對公司所有的IT資產(chǎn)的狀況一目了然,大大降低了人為原因造成漏洞和安全隱患的可能性。

快速補漏

查出漏洞后就要及時修補漏洞,目前常用的方法是打補丁。但庫爾茨也認為“打補丁是比較被動的方式”,而且對于企業(yè)來說,收集、測試、備份、分發(fā)等相關的打補丁流程仍然是一個頗為繁瑣的過程。美國Altiris公司大中華區(qū)銷售總監(jiān)馮國興說:“雖然企業(yè)越來越重視補丁管理,但面對日益增多的補丁,IT人員難以識別和確定應當使用哪些補丁,首先進行哪些升級。”甚至補丁本身就有可能成為新的漏洞。顧能公司(Gartner)2005年的一項調查顯示:大部分安全威脅是由舊補丁、新補丁、新漏洞、錯誤設定和缺乏統(tǒng)一標準造成的。解決補丁管理的混亂,企業(yè)首先需要建立一個覆蓋整個網(wǎng)絡的自動化補丁知識庫。相關人員通過自動掃描受管理的設備,對所有運行中的補丁程序進行集中查閱,然后分析各個補丁所針對的問題的嚴重性。

其次是部署一個分發(fā)系統(tǒng)。在恒安標準人壽公司,管理員就是通過Tivoli系統(tǒng)分發(fā)補丁軟件和病毒庫,提高運作效率,消除補丁分發(fā)所需的人工成本。而且自動化的補丁分發(fā)程序大大加快了補丁的部署速度,減少了漏洞暴露在互聯(lián)網(wǎng)上所帶來的威脅?,F(xiàn)在,某些補丁分發(fā)程序,如Altiris公司的客戶管理套件(Client Management Suite)還能夠將程序包發(fā)送到遠程和移動用戶,并且采用動態(tài)帶寬控制和斷點續(xù)傳功能,大大提高了補丁分發(fā)的效率。

由于補丁是針對緊急情況的被動應變措施,往往并不能百分百保證與系統(tǒng)完全“嚴絲合縫”,因此在分發(fā)安裝補丁程序,需要做好備份工作。美國Altiris公司大中華區(qū)銷售總監(jiān)馮國興說:“補丁管理程序需要集成備份與恢復程序,能夠快速、不留痕跡地恢復到原來的工作狀態(tài)?!边@樣才能有效地減少補丁可能帶來的新的困擾。

不僅是補丁管理程序,整個漏洞管理系統(tǒng)還需要與企業(yè)的防入侵系統(tǒng)、防病毒系統(tǒng)等其他安全系統(tǒng)集成,構筑一條完整的風險管理防線。
McAfee公司對Foundstone公司的收購就是集成化趨勢的一個體現(xiàn)。Foundstone公司CEO庫爾茨說:“McAfee公司收購Foundstone公司后,我們會將漏洞管理與McAfee的入侵防護技術等產(chǎn)品線結合起來?!睋?jù)國際數(shù)據(jù)公司(IDC)的報告,漏洞評估和管理及入侵檢測市場將在未來幾年得到較大增長,整個市場的收入在2008年將達16億美元。庫爾茨說:“雖然很多中國企業(yè)才剛剛感覺到風險管理的必要,但緊迫性仍然不言而喻。”
小貼士

美國計算機緊急響應小組協(xié)調中心(Computer Emergency Response Team Coordination Center, CERT/CC),成立于1988年,是一家美國聯(lián)邦政府支持的、從事互聯(lián)網(wǎng)安全研究的專門機構,位于卡內基梅隆大學(Carnegie Mellon University)。(信息周刊)
 
  
    

發(fā)布:2007-04-22 10:00    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢