企业网络安全问题,不仅牵系着企业用户业务能否正常运行,而且还直接影响到企业效能和核心竞争力的发挥。
在过去的2007年,无论是年初蔓延网络的"熊猫烧香"病毒,还是11月的英国政府遭史上最大资料外泄使2500万人受到影响的事件,都说明网络安全面临着病毒更毒,黑客更黑。诸如从间谍软件、网游木马、流氓软件、IM通讯病毒、病毒邮件的肆虐,到性质极为严重的网络银行钓鱼和针对性很强的木马、蠕虫病毒的不断出现。
俗话说:"道高一尺,魔高一丈",网络系统的安全性问题之所以让企业头疼,是因为指望通过一劳永逸解决所有安全问题是不可能的。类似的例子不胜枚举,不论是病毒、数据丢失,还是垃圾邮件等等企业网络系统的安全性问题,都给企业敲响了警钟。因此,网络系统的安全性也成为CIO最为头痛和最为棘手的问题之一。
什么是网络安全威胁?
想要应付网络安全威胁,就要先认识到什么是"安全威胁"。据有关调查显示,85%的被采访者表示曾经遇到网络安全问题,其中遇到次数最多的是网络病毒。另外,还有70%的被采访者表示公司网络曾经被黑客访问过。因此,企业网络安全性有两个最大威胁,它们是病毒侵袭和黑客入侵。
(1)病毒侵袭。这几乎有计算机的地方,就有出现病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。计算机病毒传播速度相当快、影响面大,必须对它的危害要引起关注。杀毒软件是对付病毒的最好方法之一,然而如果没有"忧患意识 ",很容易陷入"盲从杀毒软件"的误区。
(2)黑客入侵。一般来说,黑客常见的入侵动机和形式可以分为两种。第一种是拒绝服务(DOS)攻击。这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。另一种是非法入侵,非法入侵是指黑客利用企业网络的安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。这两种黑客入侵行为都可能致使公司停工、增加清除成本或数据被窃而造成无法挽回的损失。除此之外,非法入侵对于企业的品牌形象、客户信赖度、市场占有率甚至股价都有潜在性的影响。
保障网络安全有两个支柱,一个是技术、一个是管理。而我们日常提及网络安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。但正如"木桶原理"所示,你的能力是由你最弱的那个环节决定的,我们在保护网络安全时,也应该从上述二个方面全面考量,而不能只偏重其中的某一个部分。
网络安全必杀技之一:网络优化
谈到网络安全,很多人会直接想到反病毒软件、防火墙等产品。实际上,网络优化也是CIO必杀技之一。以业务效能和应用连续性为目标,整体性的网络和应用安全与优化是IT网络安全价值提升的重要途径。网络优化所涉及的技术与架构的更新,包括全网流量监测、应用流量管理、安全威胁管理。
(1)网络安全应用结构。如今几乎所有的CIO都把关键应用的保障,或者说网络的可用性列为头等大事。
一般来说,网络体系结构包括六个方面:应用性能管理;安全内容管理;安全事件管理;用户接入管理;网络资源管理;端点安全管理。
(2)全网流量监测。众所周知,网络安全问题80%发生在网络的内部。对于较大规模的网络而言,网络内部的不良流量也可能非常严重地影响到网络关键应用的运行。因此,进行全网的流量监测是非常重要而且是必要的。通过全网流量检测,能够了解网络当中的数据流状况,包括流量大小、来源和目的、由何种应用产生、数据量的大小等。
网络优化系统同时结合了识别应用数据的能力和网关型直接防护能力,由于具备直接防护能力,能够避免联动所带来的防护滞后和不够精确等问题,能够直接对不良流量和内容进行封禁。除了能够防护DDoS,蠕虫,入侵,P2P和混合型攻击外,还能够防止内部文件通过网络外泄。
管理短视是网络安全最大隐忧
短视,可能是很多CIO最不愿意承认,却总是会造成致命打击。病毒一下子让企业网络处于瘫痪状态,造成的直接经济损失规模大的惊人。可令人费解的是,众多企业宁可花大把的钱购买服务器、交换机、防火墙,却很少愿意去加强企业网络的管理安全措施。对于一个信息化的企业来说,网络信息安全不仅仅是一个技术问题,也是一个管理问题。在很多病毒或安全漏洞出现不久,通常就会有相应的杀毒程序或者软件补丁出现,但为什么还会让熊猫这样的病毒肆虐呢?
归根结底还是因为很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。保证网络系统安全的第一步,首先要做到重视安全管理,不要"坐以待毙"。防火墙等设备就如网络上的一把锁,它控制着访问网络的权限,只允许特许用户进出网络。当然也不仅仅是在网络设置防火墙,为了最有效地满足网络安全需求,还需要其它技术,如用户验证、虚拟专用网和入侵检测。但更重要的是从管理和技术两个角度结合起来推进网络安全工作。
(1)网络安全管理体系
随着企业信息化建设的展开,网络安全成为不得不面临的严峻问题。安全体系的建立其实涉及到了管理和技术两个层面,而管理层面的体系建设是首当其冲的。技术上的建设和加强只是网络安全
的一方面,而且单纯的实现技术不是目的,技术只是围绕企业具体的工作业务来开展应用。保障业务流程的网络安全,从而进一步促进IT在企业应用层面的拓展,这才我们应用安全技术最根本的目的。因此,"抓管理还是上技术"的最终定格为"三分技术、七分管理",构建一个健全的网络安全管理体系是摆在企业面前的重要一环。
从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等,新技术层出不穷,单纯依靠技术和产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患靠产品难以消除。我们认为:"企业要把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。"
网络安全管理体系应该如何架构?BS7799安全管理体系标准无疑是一个很好的帮助。它最早由英国商务部推动,由BSI将其发展成为标准。 BS7799共分两部分,第一部分是信息安全管理实践指南,第二部分是信息安全管理体系规范。换言之,第二部分告诉我们应该做什么,第一部分则提供了一些如何做或者好做法的指导。
(2)网络行为规范化管理
网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业员工网络行为,这已经上升到了对人的管理的阶段,通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源。
网络安全的根本政策,一定要包含内部的安全管理规范。许多企业花大成本买最好的防火墙,黑客或是熟悉该企业网络环境的离职员工,还是有办法绕过从墙外进来,这是因为没有一套软件可以在没有网络安全管理策略之下发挥作用。防火墙、防毒墙都是提供服务的工具之一,人,才是网络安全最大的关键。CIO必须为网络安全建立一套监督与使用的管理程序,并且彻底实行。
(3)安全意识最重要
面对不断袭来的安全威胁,除了购买安全产品以外,我们还应该做些什么呢?这里需要指出:"安全意识最重要!"。
安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。光依靠技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,所以CIO应该有安全意识,重视自己企业的安全措施。加强安全意识的培训,首先要集团的领导认识到网络安全问题,另外也要对技术人员加强培训,统一认识。
这些安全措施包括,培养员工的安全意识,养成良好的上网习惯,比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行技能培训,对于重要数据一定要做好数据备份,否则会导致灾难性的后果。
其它确保网络安全的有效措施
现在网络安全可以说是关系到企业命运的大事,不管愿意不愿意CIO其中的一个职责就是要保证网络安全。如果公司的信息系统脆弱不堪,CIO必须对此负责。那么,CIO应该制定什么措施来履行这个职责呢?
(1)明确岗位职责,保障网络安全
CIO重要责任之一是保障本公司网络的安全、完整与可用性。这项工作不能外包出去,也责无旁贷,因此要在岗位职能上明确规定。CIO要有特许权,只要检测到网络安全违反行为,就要收集、分析与调查事件。例如职责上明确规定负责安全协调,确保影响网络安全的职能是集成在业务流程过程中而不是独立的任务。同时要进行评估网络安全受到危及或有受到危及之嫌的每一个事件,并把网络安全的质量、健全性和可靠性通知和报告高层管理人员。此外,CIO还应该指导开发人员,确保网络安全成为IT系统设计不可或缺的一部分。
(2)力争在网络安全投入足够预算
CIO要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算,以承担安全成本,例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。
公司高层主管有时会认为CIO对网络安全过于大惊小怪。但CIO要清醒认识到:"至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。对于网络安全,生于忧患,死于安乐的意识并不是传说中的事情,担忧有人对公司的网络构成危害的心态,并非总是基于想象中的恐惧。如果你想到有竞争对手希望你公司遭到危害,那么谨小慎微对生存而言也许绝对必要。
(3)定期进行网络安全检讨会议
在明确了网络安全目标之后,CIO应当就网络安全问题定期地举行检讨会议。一旦安全会议检查到现有的业务运作存在网络安全问题,或评估以往安全措施的执行情况存在问题时,CIO就需要设立一个解决网络安全的时间框架。每月进行安全讨论听上去好像很多,尤其当公司各安全团队是散布在不同的地区,但是 CIO从中所获得的回报是在当月接下来的日子中可以确保公司网络安全,以确保公司业务能处理日常工作。
对于中小企业信息化来说,资金常常是第一位的问题。投资往往要考虑到企业成长的方方面面需求,租写字楼、人员增加等等。“钱要花在刀刃上”,于是投给信息化的钱就显得分外宝贵。
中小企业信息化的重要性,是不是问题的问题。中小企业早已认识到企业能从信息化工具应用中开源节流、有效花费、精准投放,能从信息化建设中获得竞争力的提升。只是,中小企业信息化单单有了投资就行吗?
投资=灵丹妙药?
没投资不行,光有投资也不行。是流行什么就跟着上什么系统、软件吗?跟着潮流走,往往是花了钱却看不到效果。
2007年我国中小企业通过电子商务实现外贸总额3270亿元。有预测显示,2008年中小企业IT投资规模将达到1869.2亿元,中小企业信息化应用的热潮已经掀起。专家普遍认为,2008年将是中小企业信息化年,中小企业信息化将成为当前工业化与信息化融合发展的重点方向。
在这一片投资浪潮中,看清需求“对症下药”是关键。根据专家的分析,中小企业信息化需求的特点主要有以下四点。
一是中小企业迫切需要通过信息化了解市场信息,增强销售能力;二是在客户管理方面,与大企业普遍关注如何留住优质客户相比,中小企业最关心的是如何通过信息化应用发现更多新客户;三是在生产和研发方面,与大企业更多关心创新等长期发展要素相比,中小企业把提高产品质量和降低生产成本作为最需要通过信息化解决的问题;四是在企业管理方面,与大企业重视加强集团管控能力和提高决策水平相比,中小企业列在首位的是及时掌握企业经营情况,其次是提高工作效率。
在这些需求中,人们不难看出管理在信息化建设中的重要性:管理能够改善企业销售情况、是降低生产成本的最有效手段之一。
管理有什么用?
一项调查表明:48.1%的企业希望通过信息化发现更多客户;42.4%的企业希望通过信息化了解客户满意度;39.8%的企业希望通过信息化管好现有客户资料;34%的企业希望通过信息化了解客户的购买行为;30.7%的企业希望通过信息化了解客户对产品改进的需求;18.4%的企业希望通过信息化了解客户信用信息。
管理可以让中小企业发展更多用户,管理更可以提高工作效率。据统计,48.3%的企业希望通过信息化提高工作效率;29.8%的企业希望通过信息化改善财务管理;26.6%的企业希望通过信息化改善进销存管理;22.7%的企业希望通过信息化了解先进的管理思想和方法;22.4%的企业希望通过信息化加强人力资源管理;12%的企业希望通过信息化支持领导决策。
管理更能让“作坊式”的中小企业,成长为适应市场经济发展的现代企业。所有组织能够正常发挥作用、首要条件就是管理,任何一个组织的活动,无论性质如何,都需要有管理者的参于。在有管理的条件下,才可以按照人们需求的方面发展,按人们的要求进行。
团队协作在成长型的企业中更为重要。团队协作往往能激发出团体不可思议的潜力,集体协作干出的成果往往能超过成员个人业绩的总和。正所谓“同心山成玉,协力土变金。”
一个团体,如果组织涣散,人心浮动,人人自行其是,甚至搞“窝里斗”,不能妄谈生机与活力,又何谈事业的发展?在一个缺乏凝聚力的环境里,个人再有雄心壮志,再有聪明才智,也不可能得到充分发挥,也看不到整个组织的进步。只有严密有序的集体组织和高效的团队协作,懂得团结协作才能克服成长中的重重困难、甚至创造奇迹。
用信息化手段,增加团队协作能力,让信息化工具成为管理的有力支撑。不是光有投资,只要花钱就能搞信息化。而是了解企业成长的方向,真正让信息化为企业发展服务,让信息化手段为企业成为发挥团队潜力的魔力。
“健壮的协作将实现更健康的业务增长。”IBM Lotus 软件为用户提供业务协作平台和集成工具,致力于帮助企业提升工作效率和响应能力,降低总体拥有成本。IBM® Lotus® Quickr™是一款团队协作软件,它帮助用户共享内容、与团队进行协作并提高联机工作的速度——无论是在防火墙内部还是外部。