技术创新铸就企业级安全.docVIP

PAGE PAGE 1 技术创新铸就企业级安全(需求篇) 　　企业级用户考虑更多的是怎样选择自己合适的产品，选择具有核心技术与良好服务的安全产品才能为企业带来更可靠的保障。随着政府及企业信息化建设的迅猛发展，企业级用户对安全产品的选择也将会日趋成熟。 　　现在，几乎每天，各种媒体都在宣传网络安全的重要性：又出现了某种新病毒，提醒人们要多加注意，又发现了某个商危险漏洞，告诫用户要及时打补丁…… 　　总之，各种各样的安全威胁充斥网络，上网的人要小心再小心。这种宣传给人的直接感觉是：网络很危险。有人说，最安全的方法就是拔掉网线，不上网。显然，这不现实。那么到底应该如何才能获取安全感?这个问题是萦绕在许多人，包括信息安全专家心中的困惑。 　　一问：便捷与安全的平衡点 　　现在的管控手段和企业的结合不到位，导致管理附加成本极高，为了安全管理，影响正常的工作。以文档管理为例，安全文档的使用非常繁琐，要经过一系列的审批流碰，才能获得需要的文档。那么安全公司如何利用技术手段帮助用户在安全和便捷之间找到一个平衡点? 　　便捷性是使用网络的根本价值所在，而安全性则是用户使用网络进行业务操作的核心和关键。便捷性和安全性是两个相辅相成的标准。 　　其实安全本身就讲究平衡、适度与和谐，无论安全防护不够还是防护过度都是不可取的，在防护的“度”和平衡的指标上，国家已经出台了相关的规范和要求，比如公安部等4部委主导的信息系统等级保护以及涉密单位进行信息安全建设所需要参考的《涉及国家秘密的信息系统分级保护管理规范》(简称，分级保护)等，这些规范可以帮助用户建设和谐的网络安全环境。 　　赛门铁克中国区技术团队专家部技术经理徐耀文建议用户分四步走： 　　第一，企业需要通过确保端点、消息和W曲环境的安全，来保护其基础设施。而其中，保护重要的内部服务器和实施备份及恢复数据的能力应当是重中之重。此外，企业还需要可视性和安全智能，以便对攻击及时反应。 　　第二，IT管理员需要采取以信息为中心的方法来积极保护信息和交互。采取内容感知法保护信息是了解敏感信息位于何处、谁访问过它以及它如何进入或离开企业等内容的关键。 　　第三，企业需要制定和实施IT政策，并自动实行IT遵从流程。通过确定风险重要级别和明确跨地区的政策，客户可以通过内置自动化和工作流程来实施IT政策。这样，不仅能发现攻击，而且能在攻击发生时立即采取补救措施，或者在发生之前就阻止它。 　　第四，企业需要通过实施安全操作环境、发布并实施补丁级别，以及流程自动化来简化效率、监控和系统状态报告。 　　合理化的安全建设改造的过程，其实就是在安全性和易用性之间寻找到一个最佳的平衡点。 　　东软网络安全营销中心安全服务部部长席斐表示，在寻求平衡点的基础上任何技术都离不开配套的管理。在增加相应技术控制措施“阻碍”之后，配套的管理改良措施也应一并跟上。通过合理调优和梳理原有管理环节与流程，尽可能的降低相应管理成本。 　　另外，加强内部人员的安全意识也是至关重要的。要通过不断的培训和教育，让所有人员认识到，企业的信息安全维护和保障是同每个人息息相关的，是每个人都应承担的责任和义务。每个人都努力向前做到哪怕一小点，整个企业的安全保障工作就会向前迈进一大步。 　　北京启明星辰信息安全技术有限公司总工程师袁智辉表示，平衡不同信息系统的风险与成本，采取不同强度的保护措施。用户既应该反对重应用不重安全、防护措施不到位的“弱保护”现象，同时也反对不从实际出发，防护措施“一刀切”的“过保护”现象。 　　用户在企业机构内部的网络行为活动基本属于安全域内部的活动，既要保持网络的灵活性又要保证行为的安全性，指导思想是在保证网络使用灵活性的基础上和前提下优先保证基本安全。 　　首先，保证用户终端的基本安全，即端点安全。 　　其次，保证安全域边界的安全，常见的就是网关位置，这个位置就像一个院落的大门，哪些内容需要检测，哪些行为需要审计，哪些访问是允许的或禁止的。凡是涉及到内／外部的数据交互都会穿过这个关口，因此在这个关口位置进行安全把控会得到事半功倍的效果，这也是国内外网络安全厂商产品和解决方案比较密集的地方。 　　再次，保证安全域内服务计算资源的安全，这部分多为提供服务的一些应用系统，像邮件服务器、文件服务器、Erp服务器和其他应用系统等。这部分属于企业机构内部或为外部用户合作伙伴提供服务的“后台”资源。这些“后台”资源面临的主要威胁来自于内部用户恶意或误、外部用户入侵与探测、网络蠕虫传播、SQL注入、挂马、自身的安全隐患等。 　　最后，为了方便从总体上分析网络的安全状况和风险，实现适度的安全，需要将端点安全、边界安全、域内的服务计算的日志、安全事件、资源占用和运行状况等数据采集和分析，需要部署安全管理平