近年来,企业的经营愈来愈困难。除了经济景气的循环之外,天灾人祸频仍,让企业的营运更加艰困。在这样的的环境下,如何让营运不中断,成为企业最重要的课题之一。当灾害来临时,能持续营运而不中断的企业,才能保有其竞争力。除了地震、洪水、非典,以及禽流感等天灾之外,企业营运大量仰赖信息以及网络系统,也让信息安全上的灾害,成为中断企业营运,造成严重损失的重大人祸之一。
信息安全疫情爆发的最大损失,并非有形的灾害,而是营运中断所导致的商机流失。因此,信息安全的第一要务是将企业营运危机降至最少。而传统仅能扫描和删除病毒的防毒软件,已经不足以让企业远离信息安全暴风圈。病毒、垃圾邮件和其它恶意程序的暴增与诡谲多变,造成信息和数据安全极大的威胁。这些快速成长和不断演化的安全威胁,让防护工作的难度大大提高。
威胁已经从外部转向内部
隐性破坏,难以察觉
病毒感染率持续居高不下 全球网络病毒感染率自2001年以来一直处于高水平。感染过网络病毒的企业用户数量占被调查总数的73%,2002年为83.98%,2003年增长到85.57%,2004年网络病毒的感染率达到87.93%。 图- 2004 年与 2005 年的这段期间所侦测到的计算机病毒几乎一样都是1300个,相较于 2004 年,2005 年的第二季与第三季所侦测到计算机病毒总数都增加了一倍。去年第三季的数量为 2675 个,而今年的数量为 4716 个,逼近 5000 大关 大多数企业忽略了信息安全管理的重要 为何这么多的企业花费高昂的成本添购信息安全设备,但病毒爆发的烽火未曾在企业网络销声匿迹?细究其原因,我们不难发现,太多的企业把信息安全当作技术问题来处理,而忽略了管理的重要。许多企业尽管拥有了先进而昂贵的信息安全设备,但「政策」或「人」往往无法配合,产生了很大问题。比如系统缺乏妥善的监控与持续的警觉性、错误的设定等等。因此最好的信息安全设备,未必是最安全的设备,因为许多安全问题,不是因为产品的功能不佳造成的;即使企业上了层层关卡,却可能因为被破解的管理者密码、help desk维修后未关闭的开放权限、轻易分享所有人的网络数据夹….等管理盲点,为黑客及病毒开启了许多后门。因此,我们不难发现,企业信息安全是管理问题,而非单纯的技术问题。唯有妥善的管理,才能降低风险,避免不必要的损失,并能持续企业的营运,积极地掌握每一个商机。 这样的描述,也许无法让您深刻了解信息安全问题的本质。我们提供以下十个信息安全管理测试问题,让您进一步地检视您的组织中信息安全的状况。 1.您能随时提出上个月有多少计算机遭感染、多少计算机因此无法运作、平均复原时间有多长…等安全管理报告吗? 如果您无法回答所有的问题,表示您目前完全依赖防毒产品以及被动的技术支持,来解决信息安全问题。换言之,您仍然将信息安全当做技术问题来处理,忽略了管理的重要性。这样的做法,可能会让贵公司在不知不觉中,成为下一波网络攻击的目标,以及未来病毒爆发受创最深的公司之一。 在这样的前提之下,到底哪些管理问题,是企业信息安全最大的挑战呢? 网管员面临的六大管理难题 根据趋势科技全球防毒研发暨技术支持中心TrendLabs分析归纳指出,企业信息管理部门目前面临的信息安全管理难题,主要有以下六点: (1) 光靠防毒及其它信息安全软硬件,并不足以对抗网络威胁 这些信息安全管理上的难题,往往并非企业中的信息部门人员可以独力解决的。许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独力承担的责任。有时问题出在哪里,不容易察觉,更遑论灾害事前的预防;而有时即使可以找出问题,但种种资源上的限制,如人力不足、工作繁重等,使得问题无法被解决。因此,寻求专家的协助,是确实而有效解决信息安全管理问题的最佳途径。 信息安全服务:未雨绸缪化解威胁 信息安全专家所提供的服务方案,应针对威胁周期的每个阶段,提供企业所需的服务。以人类的健康检查作为比喻,信息安全专家应不只是被动地拿着处方笺开药的药剂师,而应扮演企业的「全天候健康管理顾问」与「专属医生」的角色。为了让企业在连上网络时,不至于因病毒事件影响企业运作,专家服务方案应在网络世界扮演着类似世界卫生组织角色,对于各种威胁网络健康的疫情,都能主动防护、密切的监控并提供解决方案。 在禽流感疫情逐渐扩散期间,世界卫生组织为避免禽流感成为全球性的灾难,主动协助各国卫生单位进行相关检验(诊断),公布禽流感高危险区域,并提出防制之道(规划),发布各疫区威胁等级,协助处理最新爆发的致命疫情(执行),严密监控疑似病例并观察是否已转为更加致命的型态(监控)。一旦某区域爆发变种疫情,世界卫生组织会迅速提出控制疫情改善方案。同样地,持续监控应是信息安全专家服务方案的主要着眼点,在全天候中央管理的持续监控下,一有风吹草动,网络安全专家立即出动提供所需服务。24*7的实时且专人不间断监控,就好比在企业网络植入隐形芯片追踪一般,随时掌握状况,化解未知威胁。这样的做法,能够比客户更早掌握状况,且可在第一时间内主动防御,在灾害未发生或规模不大时,就将问题解决,而不是等到灾害大量扩散至整个企业时,再来收拾残局。 也许有人会说,企业可以自行进行监控,来达到及早预防的目的。但问题是,企业可能拥有各项信息安全管理工具,却不见得知道如何着手建立信息安全架构。就像网络生病了,却不知道买回的成药,是否适合企业体质一样。而通过信息安全专家的监控中心,持续分析企业内部的安全事件,建立企业内部防毒效能的安全指标,找出企业内部的安全隐患,并提供专业的解决方案和建议来改善企业内部的防毒效果,应该是一个更妥善的方式。以保安业来模拟,多数的企业通常并不自行征聘内部人员,来做办公大楼的安全监控,而是寻求保安公司的专家协助。主要的原因,并不在于不知道如何采购大楼的录像监控设备,而是希望能够借重保全专家的知识及经验,达到有效的监控。 我们认为,成功的防毒专家服务方案,应该要针对内部的隐性威胁,诊疗把脉,量身订作,提供未雨绸缪的预防性维护,以防止病毒爆发,并确保营运不中断。尤其重要的是,这些防毒专家服务方案,应该提供全天候戒备的防毒专家、安全威胁生命周期(security threat lifecycle)的全程管理,再加上通过独特的评量方法,来评估顾客的安全防护效果。 信息安全服务的必要工作
量化管理报告,确实评估网络安全投资效益 除了以上提到的信息安全管理工作之外,一般企业通常难以评估安全方案的效益。因此,提供专家服务的厂商,也有义务提供创量化式的风险管理,在评估阶段,依照持续观察追踪,提出改进之道。就如同医生在病人服药后的某段期间,可依据公认的各项健康指数,如骨质流失状况、胆固醇指数改进状况等等,追踪病人的健康状况是否确实改善。评估之后,再决定是否需要更改处方。 又比如每年流感的抗药性可能增强,或人们的免疫力可能减弱,流感疫苗需要不断改良,重新研发,而人们也必须从事运动或其它保健活动以增强免疫力一样,防毒专家服务也必须依据病毒型态,以及客户组织现状的改变,重新分析评估。防毒顾问服务应扮演着公正客观的中立分析者角色,通过防毒效能指标的评估,检查并修改目前的效能指标,以确保或增进防毒效能。另外,防毒安全专家也必须提供系统化的防毒分析报告让客户检视防毒的效能,并定期提出防毒建议。这样可以随时根据企业组织体质调整、自我更新的网络健康服务,是购买软件包的成品药式方案所无法比拟的。 管理报告项目建议
以下我们提出对管理报告项目的建议。防毒安全专家服务必须要能提供这些信息,才能称得上全面与完整,对企业有真正的帮助。 步骤1-背景分析:防毒产品部署效能,一目了然 分析用户网络内部防毒产品的部署情况,并以企业整体防毒体系的角度,找出其中存在的问题并给与建议。
如图所示显示了当前企业内部的防毒软件的安装以及运行状况,由文字和图表两部分组成;文字部分对企业内部的防毒产品安装状态进行综述,对存在的安全问题加以提醒;图表部分将每种不同产品的安装状态分别使用两个不同颜色的柱状图表示,绿色柱状图代表了企业安装的防毒产品的数量;棕色柱状图代表了当前运行良好的防毒产品的数量;如果两者之间的数值不相同,则代表了企业内部有部分产品处于不正常运转的状态下,需要监视原因并进行修复。Online Product Count的数值是提取数据当时的数值,由于该状态随时会发生变化,所以需要在介绍时特别加以说明。 步骤2-整体防护效果综述:认知防毒改善情况 为了便于用户在了解详细信息之前,对企业内部网络中的防毒状况有所掌握,对企业内部一个月来的病毒感染情况做整体的概述,并对几个月来的病毒发展趋势做出对比,使用户能对目前的防毒状况和改善情况有进一步认识。根据感染情况分析中的几项重点内容进行分析,包括 步骤3-感染状况分析:阻绝5大病毒家族入侵源头 在感染状况分析的部分,应对企业内部病毒感染情况作出详细的报告及分析 1)首先会针对三个月来的整体病毒侦测状态做出比较,并对侦测到病毒数最多的几种病毒家族的入侵方式作出分析,从整体防毒策略上作出方向性的指引。 对于已侦测病毒的分析,主要帮助用户整体规划病毒防护策略;但是我们知道,防毒策略的有效实施牵涉到很多的环节,包括企业在防毒产品的全面部署、病毒码的实时更新、防毒软件的效能,还有用户的行为习惯等等方面。无论企业的防毒策略做的多么完善,一个用户不安全的习惯就会在整体上造成内部网络的大面积感染,因此,需要从感染现状上来分析造成感染可能存在的原因及漏洞。我们建议具体对这些问题进行分析,给用户一个清晰的认识并提出我们的建议。通过本页的分析,找出网络中感染最严重的五个病毒家族和这些病毒家族感染的范围,通过这些家族的病毒特性,推断网络中可能存在的病毒隐患和漏洞。 步骤4-弱点分析及建议:专业建议,化解潜在危机 完成了感染情况的分析后,我们对企业内部一个月来的病毒状况有了初步的认识,接下来我们会进入弱点分析及建议部分,在这部分内容中,我们建议首先根据企业的病毒感染情况分析企业可能存在的病毒安全漏洞和隐患,然后根据这些潜在危机提出专业的建议。 ROI让IT部门从「花钱的部门」变成「省钱的部门」 采用上述的防毒专家服务将会有哪些利益?最明显的是员工被成功教育为信息安全负责,计算机中毒时不但不再冲动拿起电话开骂 IT部门,反而会为自己违反公司安全政策,影响公司网络安全而自责。从「千错万错都是 IT 部门的错」到「安全政策,不再只是 IT 部门的事」。当然,这只是防毒专家服务方案在提升组织安全意识这环节所应达到的利益之一。最领先服务趋势的是,连向来难以计算 ROI 的信息安全投资,也可以提出具体数字,让 IT 部分从「花钱的部门」变成「省钱的部门」。就短期来看,防毒专家服务方案的利益将反映在病毒爆发事件数量、使用者工作停顿时间以及损害严重程度的缩减。病毒爆发次数、影响范围、以及停机时间缩减之后,将能产生极大利益 根据趋势科技的估计,采用这样的防毒专家服务方案之后,整体损害将能降低 98.6%,病毒爆发次数可减少66%,损害影响范围可缩减50%,而停机时间可缩减92%。 *基准线代表只使用防毒软件的公司 就长期来看,利益将来自于公司整体安全性的提升。当顾客组织的认知程度、应变程序与安全环境因采用防毒专家服务而有所改善之后,恶意程序所造成的损害将迅速减少,而且通过全程的网络威胁生命周期管理,让总体成本不会因病毒爆发而突如其来地攀升。 结语
|