2002年，60%的亚洲公司报告了信息安全遭到破坏的事件。今年上半年，黑客攻击事件发生率猛增至77%，因此，2003年亚洲公司报告情况好转的可能性微乎其微。

　　本文研究了亚洲企业面临的日益猖獗的网络安全威胁问题，并探讨了管理人员应采取哪些举措，保护组织的信息网络免遭破坏。


　　2003年，蠕虫和病毒的防护费用达到130亿美元

　　亚洲企业当前面临着日益猖獗的来自多个方面的信息安全威胁。根据CMP提供的2002年度亚洲信息安全实践调查，亚洲39%的信息安全破坏源于病毒。截止2003年8月，澳大利亚、中国大陆、香港、日本、新加坡和韩国等地估计有250,000到300,000台计算机感染了MSBlaster病毒，该病毒利用了Microsoft Windows操作系统的安全漏洞。

　　此类事件会导致停机和拒绝服务，病毒对业务的影响会造成巨大损失。技术经济学家MarkMcManus认为，从全球来看，2003年公司用于病毒防护的费用将增加到130亿美元左右。仅8月出现的MSBlaster和SoBig.F病毒就可能花费了全球公司15—20亿美元费用。

　　黑客对公司的威胁更大

　　另外30%的信息安全破坏源于黑客攻击，黑客群体的定义包括竞争对手、肆意破坏者、前雇员和恶作剧者。虽然黑客攻击受到媒体关注的程度通常低于病毒，但实际上他们给公司带来的威胁更加严重。

　　资料来源：Computer Economics

　　虽然病毒能够造成业务中断和数据损失，但病毒开发通常没有某种特定目的，只是恶作剧。而黑客入侵就可能造成更加严重的后果，因为黑客往往具有特定目的，包括善意的（例如只是提醒管理员存在安全漏洞）和恶意的（例如使用错误信息替代重要数据库，对公司造成破坏）。由于这些攻击是有预谋的，因此其防御更加困难。

　　资料来源：Riptech Inc.（2002）

　　目前，互联网上存在着一些黑客信息和工具，这意味着，并非只有计算机专家才能成为黑客。tkiddies指那些专业知识有限，却能使用他人开发的脚本和程序的攻击者。Cybercop和Satan等黑客工具可以自动扫描计算机系统的缺陷，由此催生了更多的“ClickKiddies”－指那些只会通过简单的“点击”应用程序从事黑客活动的人。

　　“tkiddies从编写脚本的黑客那里获得信息。正因为如此，他们并不精通技术，但却可能导致比预想更严重的破坏。简而言之，如果一群孩子拿着枪四处乱跑，他们可能导致与原子弹同样的破坏。”

　　－SecureCirt 副总经理Benjamin Quek

　　外部黑客令人担忧，但他们却并非亚洲公司担心的主要对象。据FBI估计，71%的安全破坏是“授权用户”所为。雇员（和前雇员）通常能够轻而易举地访问公司网络，了解到系统及其缺陷。如果一名精通IT的员工知道自己很快将失去工作，则他可能建立一个后门，以便将来进入系统，或者在系统中留下一个“逻辑炸弹”。

　　对网络的依赖性增强，使安全的重要性提高

　　由于公司对信息网络的依赖性增强，网络安全问题日益重要。随着公司的扩展和兼并，更多员工通过电子方式连接，使用IT网络的人也越来越多。在新加坡，自从1998年以来，公司和政府机构安装PC机的数量以每年21%的速度增长。IDA2002年个人和家庭信息的年度调查显示，68.4%的家庭拥有电脑，59.4%的家庭接入互联网。截止2002年末，新加坡共有230多万台计算机。

　　由于更多信息（包括部分敏感数据）可通过互联网访问，在IT网络上进行的交易增多，所以未获授权的访问和互联网诈骗风险日趋提高。据互联网诈骗投诉中心报告，他们在2002年收到了48,252次诈骗投诉，比2001年增长了三倍。总经济损失由1,700万美元上升到5,400万美元。

　　新技术需要新安全措施

　　新信息技术（如IP通信）的推出有利于提高生产力。然而，每项新功能通常会产生新“窗口”，黑客可利用其来渗透网络。比如，黑客可以使用一种称为“IPspoofing”的技术，假冒用户IP地址，从而进入内部IP网络。

　　内部控制也亟待提高。VPN使授权用户可以通过一个商用ISP，远程访问企业的内部网络。然而，如果在实施VPN时没有进行正确的访问控制，这意味着一名员工能在任何地点下载公司网络的所有信息。

　　与PABX系统不同，IP语音服务容易遭受基于IP的攻击，如果要保持传统电话服务的可用性、服务质量和安全性，必须减少此类攻击。IP语音网络设计通常与传统语音系统设计平行，并经常保持开放状态，很少需要或者根本不需要访问授权。黑客可以利用IP语音系统访问语音信箱，向公司用户发送垃圾邮件，或者只是搞点恶作剧。

　　为了帮助企业识别安全问题、部署解决方案，以保护他们的网络，信息安全技术专家建议整个流程分三步走。

　　开展安全评估，了解网络缺陷

　　第一步是进行安全评估，全面检查企业网络安全的运行（或称作当前状态的“快照”）。这个过程有助于判断网络存在什么安全缺陷、在哪些位置及如何修复。

　　安全评估通常包括外部和内部环境检查。测试外部环境时，安全专家使用黑客技术和特殊工具，试图从互联网渗透进入公司网络。这样可以判断网络周边（如防火墙、路由器、主机和其他设备的状态和配置）抵御外部攻击的保护能力。外部评估还包括审查物理环境，即未经授权用户是否可以进入IT设施？

　　评估内部环境时，需要进行评审，将企业安全策略和实践与业内最佳实践和规则进行对比。这些评审通常需要考查安全培训和安全意识水平。

　　安全评估项目通常外包。除非公司拥有合格的网络安全专家，支付高昂的工资（由于通过安全认证的专业人员紧缺，所以此项费用很高），否则，公司无法进行全面评估。一些融合技术（如IP支持的PBX应用、IP语音、VOIP、一体化通信和CRM应用）尤其需要更加集中的安全解决方案。

　　此外，外部评审人员具备更强的客观性，这是评估网络安全所必需的。

　　进行安全策略开发以管理风险，确保必要控制措施到位

　　第二步是进行安全策略开发。在开发安全策略的过程中，企业应当定义一个网络安全策略，并在系统和网络体系结构中实施，以保护公司资产和知识产权。除提供一般的安全策略说明外，公司应确定用户和访问控制，并分析风险等级（确定安全投资的适当水平）。

　　安全策略开发是一个不间断的过程，包括监控网络和用户实践，必要时进行更改。它还将规定企业如何响应违反安全性的行为和业务连续性流程。

　　ISO17799安全标准（包括安全的其他方面）使您能够清楚地了解组织的安全策略应当覆盖哪些领域。

　　安全体系架构与设计提供安全解决方案实施的蓝图

　　第三步是安全体系架构与设计。在安全体系架构和设计阶段，企业规划蓝图，以成功实施安全基础设施。在对网络安全要求（在安全评估阶段测定）与设定的目标和标准进行对照后，安全体系架构的设计应考虑到公司IT基础设施的特殊要求。

　　网络安全体系架构的设计包括服务器、互联网/网络设备、远程访问设备和共享工作站。组织的物理访问和安全控制机制也包括在计划内。

　　技术发展需要安全意识的提升

　　企业引进一些新应用和新技术，以加快业务流程，提高生产力时，应当牢记：安全意识也需不断增强。由于关键任务活动更多地依赖于数据和融合/IP通信网络，所以这一点尤为重要。

　　注：文章作者为Avaya全球服务部网络咨询服务亚太区总监

　　作者：Peter Thorne