新的网络攻击水平在提高,因此人们需要思考过去对安全的认识。仅仅从补漏洞出发已经不足以应对网络攻击,而只有那些准备充分的企业才可能将损失降低到最小。
李治成是北京一家软件公司的IT经理,刚刚结束“五一”长假,为了避免塞车,一大早赶到办公室,此时其他同事还没有到,办公室和整个公司都静悄悄的。李治成打开笔记本,接入公司局域网。过了一会儿,屏幕上弹出了一个警告:无法登录主域控制器。李检察了一下网线,又检查了一遍网络设置,断定是网络服务器出现了故障。
网络服务器完全宕掉了。李治成重启了服务器,5分钟以后,服务器再次宕掉。李治成决定使用无线GPRS登录互联网,不出所料,网上发布的消息:又一个名为“振荡波”的病毒席卷了全球。
根据Cert机构得到的美国地区安全事件的统计,在2000年的时候,报告给Cert的安全时间为21756起,这个数字在之前成简单的线性增长,此后就飞速地以指数级数增加。2001年和2002年分别为52658和82694,到了2003年,报告的安全事件已经达到137529起。
安全事件中既包括黑客对系统的有目的或无目的的攻击,更包括大量的病毒、间谍程序造成的破坏。由于近一年中,针对系统的漏洞进行的网络攻击呈现上升的趋势,公众对于系统漏洞的关注不断升温。起初,公众关心的焦点直接指向系统本身,因为既然每当操作系统或网络设备的漏洞公之于众,病毒和黑客攻击便蜂拥而起,那么显然操作系统厂商和网络设备厂商应当承担责任。
上述的逻辑清晰而合理,但是忽视了安全问题日益复杂的现状。和以往的情况不同,新的攻击来得越来越迅速,往往在IT人员刚刚开始部署应对措施的时候,形势已经迅速恶化,以最近的振荡波病毒为例,在微软发布漏洞之后仅仅几天,大量网络服务器已经开始受害。在这段时间内,IT经理虽然已经登录相关网站查看公告,但是4月29日发布的漏洞在网站并没有显得很突出。也许是马上就要放假了,很多单位的工程师要么还没有开始部署方案,要么已经开始但是没有完全部署完毕。
其实问题已经暴露:简单地依靠技术手段,被动地在事件发生时应对,应对措施缺乏系统性和科学性,灾难便无可避免。IBM的理念是,面对日益突出的安全问题,企业需要提高对攻击的预见性,而制定整个公司层面的信息安全战略十分关键。
没有人可以保证任何一种操作系统没有漏洞,网络攻击几乎一定会发生,但是,还有一些企业认为在安全攻击中或许存在侥幸,即使发生攻击也不一定蒙受损失。
2003年2月,美国黑客攻破了一家负责代表商家处理信用卡交易业务的企业计算机系统,掌握了几百万个顾客的信用卡号。2003年2月,日本最大的宽带网接入服务提供商互联网服务数据库中的452万用户资料被泄漏,这些数据占数据库中全部数据的67%。当时预计要支付40亿日元赔偿损失。
上述例子只是为了证明安全问题的严重性,由于现代企业对关键数据如此依赖,因此受到攻击以后,损失会直接影响到公司的安危。从这个角度看,安全工程应当也必须是一把手工程。
评估自己的弱点
有一些企业已经建立起安全体系,对于这些企业来说,往往对自己的体系结构的弱点和问题并不十分清楚。另一些企业则刚刚购置了防火墙,部署了安全域,对于下一步的安全计划正在考虑中。也有一些企业,连防火墙还没有部署,更不要说安全策略了。不论企业属于上述进程中的哪一个阶段,都面临着评估和规划的问题。
随着安全问题的日益突出,企业对安全体系的建立已经不存在怀疑,但是如何部署安全方案还不知如何开始。对此,IBM主张应当建立在对安全状况系统、科学的评估之上。
对一些网络攻击进行分析,可以发现很多破坏其实已经具有早期的征兆,而并非全部是偶然的。其实我们知道,黑客攻破网络的主要方式就是多方试探,直到找出漏洞,像黑客一样,企业自身也可以通过对系统的分析发现漏洞。而使用科学的办法对现有的网络安全机制进行评估,会发现很多巨大的隐患。
IBM通过对某大型企业的ERP系统分析发现,由于系统管理没有建立这样的规定——新注册用户立即修改登录密码,而系统又没有设立初始密码——一旦入侵者使用一个非常普通的姓名登录,就可以进入系统,甚至修改自己的安全等级,在内部网络上为所欲为。通过对身份认证系统的评估和分析,客户发现了漏洞,也进行了调整和校正。
通过科学的评估和分析,企业会找到自己的问题,这些问题可能来自各个方面:企业有没有实施高水平的技术管理,企业是否对员工制定了严格的规章制度,制定了规章制度又是否严格地执行,已经推行的安全管理规范是否具备科学的衡量标准,身份认证管理是否处于可控制的状态,对企业资源的访问控制和监控手段是否健全,等等。
在评估的过程中,过分地关心技术问题往往会忽视人员问题。防火墙、3A产品当然可以提高安全管理的效率,但是如果忽视了对人员的管理和规范的建立和执行,任何安全产品都不能发挥他们应当发挥的作用。
对企业的弱点给出评估结果以后,信息安全建设的方向就会确定,这时企业就可以考虑选择合理的实施方案了。
计划与执行
很多企业都面临着资金和效果的问题。企业并不清楚为了保证信息安全,其在安全方面的投入应当在整体信息投入中占有多大的比例,也不清楚这种投入与效果之间的关系如何。事实上,企业缺乏在安全实施方面具有丰富经验的专家为自己做细致的规划,并根据对安全的具体要求制定符合企业财务能力的方案。
完成现状评估之后,IBM提供了一套系统的方法建立企业的信息安全框架。首先,企业需要对信息资产的保密性、完整性和可用性进行分析,对信息资产给予分级。在建立对信息资产的整体透视图以后,IBM会帮助客户制定安全策略。
因为信息安全是由系统和使用者共同实现,所以制定安全策略就一定要考虑管理、技术、人员和系统的互动、突发事件的应对和反省等各个方面的问题。IBM为了帮助客户简便地规划整个系统,提供了很多有用的模型,在这些建模工具的辅助下,用户可以从总体上把握规划的方向。
首先是信息安全管理模型。因为人是整个公司中最有活力、也常常变动的因素,对人员的管理和规范制度的建立就很关键。哪些人要使用哪些资源,使用资源时的分级权限,人员变动时需要修改的信息,对可能发生的由于人员操作引起的故意的和非故意的风险分析,以及因为这种分析而提供的应对,新进公司员工的培训,员工离开公司的注销等等。
在技术实现的层面上,IBM会帮助客户从物理安全、网络安全、系统安全到应用安全进行整体规划。在这个层面上的规划,IBM主张应当避免被动式地应对攻击,而是通过有预见的分析决定如何配置技术力量。从认证系统的管理到内容安全的监控,用户会做好充分的准备,对可能发生的攻击以及攻击可能造成的损失给出定量的结论。
安全方案的缜密只是问题的一个方面,还要考虑方案的可用性。能否发现各个环节中的不合理因素,IBM同样提供了可用性模型。当然,系统必须可以从实践中学习,在每一段时间过后,无论是否发生了突发性事件,企业都应当进行评估和维护,针对各种变化调整应对的策略。IBM同样提供了维护模型。
针对信息安全建设,IBM提出这样包含五个环节的周期概念:安全评估、安全计划、安全设计、安全实施和安全运行。以上五个阶段是周而复始的循环关系,在每一个周期结束自然进入下一个周期。
安全没有边界
专家帮助企业实施了安全方案以后,并不是安全问题的终结,只是安全问题的开始。
实际上,IBM提供给企业的将是一套完整的安全保障机制而并非一劳永逸的大结局。越来越多的信息安全专家的观点发生了转变。从最初对攻击的完全防守到目前确保损失最小化,人们意识到同现实生活中其他安全问题一样,信息安全同样需要耐心和毅力。正是基于对安全任务长期性的认识,有目的、有计划的安全计划将取代随机的应付。
同时人们也认识到,仅凭任何单方面的努力并不足以保证信息安全,而包括网络、计算机、软硬件、管理等各方面咨询的方案制定才有更好的保证。IBM为了帮助客户实施信息安全,和业界最优秀的方案供应商成为合作伙伴,保证用户按照自己的需求选择最适合自己的供应商,实现用户利益的最大化。
Gartner预言,到2007年,没有完成信息化的公司将不得不在竞争中处于劣势。可以想象,当信息化成为企业的正常生存状态,确保信息安全就是企业生存的免疫系统。
|