来源:硅谷动力 更新时间:2008-03-16
2002年,60%的亚洲公司报告了信息安全遭到破坏的事件。今年上半年,黑客攻击事件发生率猛增至77%,因此,2003年亚洲公司报告情况好转的可能性微乎其微。
本文研究了亚洲企业面临的日益猖獗的网络安全威胁问题,并探讨了管理人员应采取哪些举措,保护组织的信息网络免遭破坏。
2003年,蠕虫和病毒的防护费用达到130亿美元
亚洲企业当前面临着日益猖獗的来自多个方面的信息安全威胁。根据CMP提供的2002年度亚洲信息安全实践调查,亚洲39%的信息安全破坏源于病毒。截止2003年8月,澳大利亚、中国大陆、香港、日本、新加坡和韩国等地估计有250,000到300,000台计算机感染了MSBlaster病毒,该病毒利用了Microsoft Windows操作系统的安全漏洞。
此类事件会导致停机和拒绝服务,病毒对业务的影响会造成巨大损失。技术经济学家MarkMcManus认为,从全球来看,2003年公司用于病毒防护的费用将增加到130亿美元左右。仅8月出现的MSBlaster和SoBig.F病毒就可能花费了全球公司15—20亿美元费用。
黑客对公司的威胁更大
另外30%的信息安全破坏源于黑客攻击,黑客群体的定义包括竞争对手、肆意破坏者、前雇员和恶作剧者。虽然黑客攻击受到媒体关注的程度通常低于病毒,但实际上他们给公司带来的威胁更加严重。
资料来源:Computer Economics
虽然病毒能够造成业务中断和数据损失,但病毒开发通常没有某种特定目的,只是恶作剧。而黑客入侵就可能造成更加严重的后果,因为黑客往往具有特定目的,包括善意的(例如只是提醒管理员存在安全漏洞)和恶意的(例如使用错误信息替代重要数据库,对公司造成破坏)。由于这些攻击是有预谋的,因此其防御更加困难。
资料来源:Riptech Inc.(2002)
目前,互联网上存在着一些黑客信息和工具,这意味着,并非只有计算机专家才能成为黑客。tkiddies指那些专业知识有限,却能使用他人开发的脚本和程序的攻击者。Cybercop和Satan等黑客工具可以自动扫描计算机系统的缺陷,由此催生了更多的“ClickKiddies”-指那些只会通过简单的“点击”应用程序从事黑客活动的人。
“tkiddies从编写脚本的黑客那里获得信息。正因为如此,他们并不精通技术,但却可能导致比预想更严重的破坏。简而言之,如果一群孩子拿着枪四处乱跑,他们可能导致与原子弹同样的破坏。”
-SecureCirt 副总经理Benjamin Quek
外部黑客令人担忧,但他们却并非亚洲公司担心的主要对象。据FBI估计,71%的安全破坏是“授权用户”所为。雇员(和前雇员)通常能够轻而易举地访问公司网络,了解到系统及其缺陷。如果一名精通IT的员工知道自己很快将失去工作,则他可能建立一个后门,以便将来进入系统,或者在系统中留下一个“逻辑炸弹”。
对网络的依赖性增强,使安全的重要性提高
由于公司对信息网络的依赖性增强,网络安全问题日益重要。随着公司的扩展和兼并,更多员工通过电子方式连接,使用IT网络的人也越来越多。在新加坡,自从1998年以来,公司和政府机构安装PC机的数量以每年21%的速度增长。IDA2002年个人和家庭信息的年度调查显示,68.4%的家庭拥有电脑,59.4%的家庭接入互联网。截止2002年末,新加坡共有230多万台计算机。
由于更多信息(包括部分敏感数据)可通过互联网访问,在IT网络上进行的交易增多,所以未获授权的访问和互联网诈骗风险日趋提高。据互联网诈骗投诉中心报告,他们在2002年收到了48,252次诈骗投诉,比2001年增长了三倍。总经济损失由1,700万美元上升到5,400万美元。
新技术需要新安全措施
新信息技术(如IP通信)的推出有利于提高生产力。然而,每项新功能通常会产生新“窗口”,黑客可利用其来渗透网络。比如,黑客可以使用一种称为“IPspoofing”的技术,假冒用户IP地址,从而进入内部IP网络。
内部控制也亟待提高。VPN使授权用户可以通过一个商用ISP,远程访问企业的内部网络。然而,如果在实施VPN时没有进行正确的访问控制,这意味着一名员工能在任何地点下载公司网络的所有信息。
与PABX系统不同,IP语音服务容易遭受基于IP的攻击,如果要保持传统电话服务的可用性、服务质量和安全性,必须减少此类攻击。IP语音网络设计通常与传统语音系统设计平行,并经常保持开放状态,很少需要或者根本不需要访问授权。黑客可以利用IP语音系统访问语音信箱,向公司用户发送垃圾邮件,或者只是搞点恶作剧。
为了帮助企业识别安全问题、部署解决方案,以保护他们的网络,信息安全技术专家建议整个流程分三步走。
开展安全评估,了解网络缺陷
第一步是进行安全评估,全面检查企业网络安全的运行(或称作当前状态的“快照”)。这个过程有助于判断网络存在什么安全缺陷、在哪些位置及如何修复。
安全评估通常包括外部和内部环境检查。测试外部环境时,安全专家使用黑客技术和特殊工具,试图从互联网渗透进入公司网络。这样可以判断网络周边(如防火墙、路由器、主机和其他设备的状态和配置)抵御外部攻击的保护能力。外部评估还包括审查物理环境,即未经授权用户是否可以进入IT设施?
评估内部环境时,需要进行评审,将企业安全策略和实践与业内最佳实践和规则进行对比。这些评审通常需要考查安全培训和安全意识水平。
安全评估项目通常外包。除非公司拥有合格的网络安全专家,支付高昂的工资(由于通过安全认证的专业人员紧缺,所以此项费用很高),否则,公司无法进行全面评估。一些融合技术(如IP支持的PBX应用、IP语音、VOIP、一体化通信和CRM应用)尤其需要更加集中的安全解决方案。
此外,外部评审人员具备更强的客观性,这是评估网络安全所必需的。
进行安全策略开发以管理风险,确保必要控制措施到位
第二步是进行安全策略开发。在开发安全策略的过程中,企业应当定义一个网络安全策略,并在系统和网络体系结构中实施,以保护公司资产和知识产权。除提供一般的安全策略说明外,公司应确定用户和访问控制,并分析风险等级(确定安全投资的适当水平)。
安全策略开发是一个不间断的过程,包括监控网络和用户实践,必要时进行更改。它还将规定企业如何响应违反安全性的行为和业务连续性流程。
ISO17799安全标准(包括安全的其他方面)使您能够清楚地了解组织的安全策略应当覆盖哪些领域。
安全体系架构与设计提供安全解决方案实施的蓝图
第三步是安全体系架构与设计。在安全体系架构和设计阶段,企业规划蓝图,以成功实施安全基础设施。在对网络安全要求(在安全评估阶段测定)与设定的目标和标准进行对照后,安全体系架构的设计应考虑到公司IT基础设施的特殊要求。
网络安全体系架构的设计包括服务器、互联网/网络设备、远程访问设备和共享工作站。组织的物理访问和安全控制机制也包括在计划内。
技术发展需要安全意识的提升
企业引进一些新应用和新技术,以加快业务流程,提高生产力时,应当牢记:安全意识也需不断增强。由于关键任务活动更多地依赖于数据和融合/IP通信网络,所以这一点尤为重要。
注:文章作者为Avaya全球服务部网络咨询服务亚太区总监
作者:Peter Thorne
|