|
|||||||||
 |
|
||||||||
|
|
||||||||||||||
| | 网站首页 | 关于我们 | 工作动态 | 风险评估 | 信息安全管理 | 标准 | 培训认证 | 方案产品 | 招贤纳士 | | ||
 |
||
|
||
|
|||||
| “三板斧”堵死安全漏洞 | |||||
作者:itgov 信息安全管理来源:itgov 点击数: 更新时间:2006-11-6  |
|||||
|
在排山倒海的洪峰和毫不起眼的管涌中,你更害怕什么?可能更多人害怕后者。没错,因为洪峰不会从天而降且可以预见,但堤坝上一个逐渐渗水的管涌口,会悄悄掏空堤坝,最终酿成大祸。企业的信息安全防线就像一堵防洪大坝,一方面新的病毒、新的攻击手段层出不穷,冲击着这座堤坝,一方面企业不断添置硬件和软件系统,如果不能主动找出可能出现的安全漏洞,并提前防范,任何看似固若金汤的安全系统都会变成“马其诺防线”。 虽然对漏洞的危害性,企业信息安全人员都心知肚明,但对于一个拥有各种不同品牌的硬件、不同操作系统、不同应用软件的企业来说,即使穷尽IT部门的精力来“捉虫”恐怕都捉不尽。根据美国计算机紧急响应小组协调中心(CERT/CC)的调查结果,计算机突发事件和漏洞数量正在不断增长,平均每天公布的漏洞数量在40个以上,随着发现漏洞数量的增长,系统受到攻击的可能性以及相关费用也在不断增加。因此,一个自动化、集成化、全局性的漏洞管理系统对企业就显得十分必要了。 智能查缺 “企业应该把风险管理放在IT系统建设的首位。” 国际著名的信息安全专家,Foundstone公司(Foundstone,Inc.)首席执行官(CEO)乔治·库尔茨(George Kurtz)在接受本刊越洋电话采访时开宗明义,“首先要做的是把系统中危险的地方查出来。”库尔茨是《黑客大曝光》(Hacking Exposed)一书的作者之一,该书在美国被奉为“信息安全界的圣经”,号称“信息安全第一书”。 库尔茨在他的安全咨询职业生涯中完成了数百个防火墙、网络和与电子商务相关的安全评估。2004年,Foundstone公司被McAfee公司(McAfee,Inc.)以8,600万美元收购。 虽然很多企业已经采用了各种网络安全漏洞的检测工具,但是对如何确定哪些漏洞更严重,如何去堵住这些漏洞,往往仍然束手无策。企业真正需要的是一个能提供持续性的网络安全漏洞评估管理系统,对于漏洞能查出、能分析、能堵住。群柏数码科技有限公司市场总监王慧说:“企业内一个废弃的路由器上不经意连着网络的网口,都很有可能成为攻击的入口。” 管理软件厂商美国Altiris公司(Altiris,Inc.)大中华区销售总监冯国兴说:“企业进行漏洞评估的内容应该包括防病毒软件的状态、安全补丁的状态、业界皆知的漏洞、个人防火墙的状态、系统安全配置的设定、未授权软件和未授权硬件这七大领域。” 库尔茨的方法是“知己知彼,百战不殆”,就是用仿真黑客攻击的手法来检测公司的网络是否有不正确的设定与危险的漏洞,同时提供完整的管理机制,以方便管理者追踪、记录、验证漏洞评估管理成效,同时通过量化的报表来真实地反映网络安全问题。如Foundstone公司的弱点评估管理系统就是仿真黑客的行为模式,协助企业找出暴露在互联网上的每一部主机、网络服务,以及相关信息与漏洞,用黑客的方法检查一个企业的网络架构,了解整个网络架构的变动状况。 管好家底 自演一把黑客,用黑客的方法检视自己的网络为企业提供了一个不一样的角度,但企业要梳理清楚自己的全部IT资产并不是举手之劳。由于企业的IT建设都是循序渐进的,桌面电脑、服务器、存储、路由器、交换机硬件上林林总总,软件方面,各种操作系统、数据库、应用软件,纷繁芜杂。这些都成为病毒攻击的目标。 2006年1月,《信息周刊》研究部发布了《2005年中美信息安全调查白皮书》,研究结果表明:“操作系统和应用软件的漏洞,经常成为安全攻击的入口。”在遭到安全攻击的中国企业中,接近四分之三的企业都表示:攻击来自于已知的操作系统漏洞;五分之二的企业表示:攻击来自于未知的操作系统漏洞;接近三分之一的企业表示:攻击来自于已知的应用软件漏洞;而五分之一的企业则表示:攻击来自于未知的应用软件漏洞;还有四分之一的企业则承认:在过去的1年中,不适当的接入控制导致了安全攻击。(见左图) 库尔茨认为:“第二步就是如何把企业所有的IT资产管理起来。不仅在企业里IT设施需要管理,员工携带的笔记本电脑同样也需要管理。” 良好有效的资产管理对于消除死角、减少漏洞意义重大。由世界500强企业英国标准人寿保险公司和天津泰达投资控股有限公司共同创立的恒安标准人寿保险有限公司(下称“恒安标准人寿公司”)的资产管理就是一个典型案例。恒安标准人寿公司的内部网络连接了150多台桌面电脑、笔记本电脑,20台服务器和20多台网络设备,这些电脑和设备安装的应用软件五花八门,要把这些资产清查一遍不是件容易的事情,但不查往往就会漏洞百出。恒安标准人寿公司信息技术总经理林新观说:“公司内部的人员会调动,资产自然也会流动,如果完全靠人力来进行资产管理比较困难,有时候甚至无法进行下去,必须采用一个系统管理软件,能够完全自动化地对资产进行动态管理。”通过与国际商业机器公司(IBM)的合作,恒安标准人寿公司基于IBM公司的Tivoli软件构建了一套资产管理系统。 现在,在恒安标准人寿公司的Tivoli系统上,管理员可以通过图形化的界面看到每个终端的软件安装情况。如果有不允许安装的非法软件,系统会发电子邮件提出警告,如果员工不按警告提示尽快删除非法软件,就会有专门的管理人员去跟他交涉。原来恒安标准人寿公司进行资产更新检查,需要花费一个礼拜甚至半个月的时间,而且需要一个行政人员、一个财务人员和一个IT支持人员共同参与。部署Tivoli系统之后,每台设备的具体配置都由Tivoli软件自动扫描管理,每当设备配置更新,Tivoli软件能够自动检测、自动更新。如要查看IT资产状况,只需要由Tivoli管理系统按照需求生成一张报表即可,整个过程不到1小时。该公司通过有效的管理,做到对公司所有的IT资产的状况一目了然,大大降低了人为原因造成漏洞和安全隐患的可能性。 [1] [2] |
|||||
| 信息安全管理录入:admin 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 没有相关信息安全管理 |
| 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | | |||
|
