當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
當(dāng)風(fēng)險(xiǎn)遭遇現(xiàn)實(shí) 如何保證信息安全
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件讓我們先從一個(gè)案例說起。在某石油生產(chǎn)商的遠(yuǎn)程站點(diǎn)隔離區(qū)(De-Militarize Zone,DMZ)中,系統(tǒng)服務(wù)器警報(bào)陡然響起。分析師們?cè)谘芯亢蟮贸鼋Y(jié)論:漏洞掃描程序發(fā)現(xiàn)了重大的安全漏洞。IT部門經(jīng)過幾個(gè)回合的電子郵件和電話交流后,在幾分鐘內(nèi)掌握了需要的信息。
當(dāng)時(shí)的情況是:出現(xiàn)漏洞問題的是報(bào)表轉(zhuǎn)發(fā)系統(tǒng),報(bào)表在轉(zhuǎn)發(fā)之前將會(huì)接受其他程序的復(fù)核。該系統(tǒng)沒有包含過分敏感的信息,而且相對(duì)孤立,并未與任何重要的流程捆綁,所以其漏洞不會(huì)影響到鄰近系統(tǒng)。由于該系統(tǒng)位于遠(yuǎn)程站點(diǎn),要為該系統(tǒng)打補(bǔ)丁得派一位IT人員乘飛機(jī)專程跑一趟。這家石油公司認(rèn)為,派專人專程去打補(bǔ)丁不僅麻煩,從費(fèi)用上說也不合算。因此IT部門的解決方案是:將此次漏洞警報(bào)記錄下來,在下次遠(yuǎn)程站點(diǎn)進(jìn)行日常維護(hù)時(shí),再讓人順便解決這個(gè)問題。
從這件案例中,我們得到的結(jié)論是:為了實(shí)現(xiàn)有效的漏洞管理,IT部門必須在考慮商業(yè)價(jià)值的前提下,合理運(yùn)用風(fēng)險(xiǎn)管理原則和邏輯。
如今的系統(tǒng)漏洞可謂是層出不窮,令人防不勝防,比如企業(yè)自行開發(fā)的應(yīng)用程序所包含的漏洞,基礎(chǔ)設(shè)施中存在的缺陷(如安全保護(hù)措施不夠完備的無線網(wǎng)絡(luò))等等?,F(xiàn)在的網(wǎng)絡(luò)犯罪手段已經(jīng)從嘮嘮叨叨、技術(shù)落后的網(wǎng)絡(luò)“蠕蟲”進(jìn)化到了無影無形、技術(shù)先進(jìn)、目標(biāo)明確的惡意軟件。
IT部門必須與業(yè)務(wù)單位通力合作,將企業(yè)的安全漏洞控制在可接受的風(fēng)險(xiǎn)程度以內(nèi),創(chuàng)建將企業(yè)計(jì)算環(huán)境作為整體來處理的業(yè)務(wù)流程,并且選擇合適的技術(shù)平臺(tái)來支持這些流程。
有效的流程
有效的漏洞管理程序必須合理地對(duì)技術(shù)、商業(yè)智能和流程進(jìn)行平衡。
必要的技術(shù)包括漏洞掃描軟件,如邁克菲公司(McAfee)的FoundScan、夸利斯公司(Qualys)的QualysScan或泰納寶網(wǎng)絡(luò)安全公司(Tenable Network Security)的Nessus;應(yīng)用程序掃描軟件,如惠普公司(Hewlett-Packard)的WebInspect和國際商業(yè)機(jī)器公司(IBM)的AppScan;以及配置和補(bǔ)丁管理工具。然而,如果沒有幾個(gè)重要的漏洞管理流程領(lǐng)軍的話,這些工具只是游兵散勇,起不了太大作用。
維護(hù)網(wǎng)絡(luò)安全的一個(gè)重要流程是減少受攻擊面。受攻擊面這個(gè)術(shù)語指的是應(yīng)用程序或系統(tǒng)整體在各種攻擊面前所暴露的風(fēng)險(xiǎn)程度。企業(yè)經(jīng)常綜合使用網(wǎng)絡(luò)設(shè)計(jì)演習(xí)(network design exercise)、訪問管理和配置管理等幾大手段來減少受攻擊面。例如,為了減少某系統(tǒng)的受攻擊面,可以只將那些必需的服務(wù)暴露在網(wǎng)絡(luò)上,禁用或刪除不必要的軟件,并限制經(jīng)授權(quán)可登錄系統(tǒng)的用戶數(shù)量。
有效的漏洞管理計(jì)劃還能幫助企業(yè)改善整體的安全狀況和風(fēng)險(xiǎn)承受能力。通過對(duì)漏洞和事故數(shù)據(jù)的匯總整理,IT部門可以提高系統(tǒng)的安全性。通過數(shù)據(jù)中顯示的趨勢(shì)和相關(guān)性,便可了解內(nèi)部活動(dòng)和外部事件是如何影響企業(yè)風(fēng)險(xiǎn)狀況的。這種數(shù)據(jù)分析有助于評(píng)估實(shí)施的項(xiàng)目(如打補(bǔ)丁和系統(tǒng)維護(hù))究竟起了多大作用,同時(shí)確定哪些領(lǐng)域還需要更多投入。
漏洞管理計(jì)劃的另一個(gè)好處,是能幫助企業(yè)達(dá)成合規(guī)任務(wù)。各種技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)框架、法規(guī)(如薩班斯·奧克斯利法案(Sarbanes-Oxley))及針對(duì)特定行業(yè)的框架(如健康保險(xiǎn)流通與責(zé)任法案(HIPAA)和污染控制指數(shù)(PCI))等,都推動(dòng)了企業(yè)加強(qiáng)控制并提交有關(guān)管理成果的報(bào)告。有效的漏洞管理計(jì)劃不僅可以幫助企業(yè)證明自己的控制措施滿足合規(guī)要求,還能在出現(xiàn)合規(guī)問題時(shí)為管理層敲響警鐘。在成熟的漏洞管理程序中,各種工具和數(shù)據(jù)相關(guān)性能夠提取多樣化的統(tǒng)計(jì)信息(如缺省密碼長(zhǎng)度、過期時(shí)限及復(fù)雜度要求等),并將這些信息納入到合規(guī)報(bào)告中。
然而,我們觀察到,雖然一些企業(yè)在安全工具和掃描軟件的全面部署上砸下了很多錢,但似曾相識(shí)的糟糕結(jié)果還是月復(fù)一月、年復(fù)一年地不斷重現(xiàn)。
那么,我們要怎樣做才能打破徒勞無功的宿命呢?以下便是至關(guān)重要的幾個(gè)步驟。
第1步: 對(duì)收集的數(shù)據(jù)進(jìn)行整合
漏洞管理程序的有效性很大程度上不僅取決于所使用的技術(shù),還取決于各組件的整合程度。漏洞識(shí)別系統(tǒng)(如漏洞掃描軟件、系統(tǒng)策略及設(shè)備配置審計(jì)工具等)為數(shù)據(jù)收集提供了基礎(chǔ)工具,但將收集到的數(shù)據(jù)與變更管理軟件緊密地整合到一起也是必要的。
配置管理、補(bǔ)丁管理以及身份和訪問管理工具不僅可以將系統(tǒng)維護(hù)流程自動(dòng)化,同時(shí)還能讓人們實(shí)時(shí)監(jiān)控系統(tǒng)和設(shè)備狀態(tài)。將這些產(chǎn)品和漏洞識(shí)別工具整合到一起,企業(yè)便可對(duì)整體環(huán)境的漏洞和風(fēng)險(xiǎn)有一個(gè)全面的了解。不過,說歸說,要將系統(tǒng)維護(hù)工具和漏洞識(shí)別系統(tǒng)整合起來談何容易。
整合工作的關(guān)鍵,是要確定哪些因素對(duì)漏洞管理計(jì)劃至關(guān)重要。我們建議采用自上而下的辦法。企業(yè)應(yīng)該列出一個(gè)實(shí)際使用的系統(tǒng)和數(shù)據(jù)的清單。關(guān)鍵的利益相關(guān)者應(yīng)當(dāng)對(duì)系統(tǒng)狀態(tài)進(jìn)行審查,并評(píng)估IT組織部署變更的業(yè)務(wù)能力,為實(shí)現(xiàn)更高的安全水準(zhǔn)提出更高層次的問題。比如說,企業(yè)在某個(gè)特定區(qū)域部署了多少Windows系統(tǒng)?Apache系統(tǒng)的漏洞出在什么地方?當(dāng)IT團(tuán)隊(duì)回答諸如此類的問題時(shí),他們應(yīng)該收集到必要的相關(guān)信息。
只有這些問題得到解答后,才可考慮采用其他附加技術(shù)。
第2步:制定優(yōu)先級(jí)
在IT組織中,優(yōu)先級(jí)的重要性顯而易見,但往往只有真正出現(xiàn)問題了,它才會(huì)引起人們的重視。毫無疑問,在部署漏洞管理時(shí),優(yōu)先級(jí)的排列必須一目了然。這通常意味著對(duì)資產(chǎn)進(jìn)行分組,以提高數(shù)據(jù)收集效率,或是對(duì)責(zé)任人進(jìn)行分組,以便使報(bào)告更具相關(guān)性和可操作性。各組通常是根據(jù)區(qū)域、職能或技術(shù)來歸類的。在確定安全狀況時(shí),資產(chǎn)分組應(yīng)該與業(yè)務(wù)功能保持一致。各組必須規(guī)模適當(dāng),易于管理,同時(shí)責(zé)任明確。
在減少受攻擊面的問題上,責(zé)任人應(yīng)包括IT經(jīng)理、數(shù)據(jù)中心負(fù)責(zé)人以及其他負(fù)責(zé)維護(hù)系統(tǒng)安全和完整性的IT人員。在處理企業(yè)范圍內(nèi)的安全問題時(shí),責(zé)任人通常包括安全組織的成員、內(nèi)部審計(jì)員以及業(yè)務(wù)單位。以合規(guī)為導(dǎo)向的責(zé)任人應(yīng)當(dāng)配合那些專門負(fù)責(zé)合規(guī)執(zhí)行和報(bào)告的人員。
第3步:不斷完善
要想持續(xù)地完善系統(tǒng),企業(yè)必須了解單個(gè)因素如何影響漏洞管理程序目標(biāo)的實(shí)現(xiàn)。上表列出了7個(gè)與漏洞管理目標(biāo)相關(guān)的因素。
在確定安全狀況或合規(guī)水平時(shí),高質(zhì)量的數(shù)據(jù)至關(guān)重要。如果說有漏不報(bào)會(huì)造成虛假安全感的話,那么低質(zhì)量數(shù)據(jù)就可能會(huì)導(dǎo)致誤報(bào),也就是說明明不存在漏洞卻發(fā)出警報(bào)。當(dāng)減少受攻擊面成為當(dāng)務(wù)之急時(shí),IT部門應(yīng)該經(jīng)常收集數(shù)據(jù),但在確定安全狀況時(shí),就不必那么頻繁地收集數(shù)據(jù)了。
要了解安全狀況、漏洞削減項(xiàng)目的成效以及與合規(guī)相關(guān)的活動(dòng),就應(yīng)當(dāng)對(duì)趨勢(shì)有所掌握。趨勢(shì)信息可以顯示IT組織的風(fēng)險(xiǎn)狀況如何隨時(shí)間的推移而變化,外部事件(如漏洞和補(bǔ)丁發(fā)布)如何影響企業(yè)的安全狀況。(信息周刊)
- 1數(shù)據(jù)安全:下一代數(shù)據(jù)保護(hù)解讀
- 2哈爾濱泛普OA軟件的功能區(qū)域介紹(概念說明)
- 3IDC:云計(jì)算平臺(tái)只是提供云服務(wù)的第一步
- 4虛擬化:似乎醒了,實(shí)際還在睡
- 5解析云計(jì)算安全服務(wù)的利與弊
- 6服務(wù)器虛擬化技術(shù)遭可靠性的挑戰(zhàn)
- 7探討精細(xì)化無線網(wǎng)絡(luò)覆蓋的趨勢(shì)
- 8溫故知新 盤點(diǎn)改變IT安全歷程十大里程碑
- 92009年存儲(chǔ)行業(yè)的三大社會(huì)化趨勢(shì)
- 10新時(shí)代 新安全 看安全技術(shù)發(fā)展趨勢(shì)
- 11企業(yè)數(shù)據(jù)中心里的“綠色生活地圖”
- 1209年中間件:行業(yè)細(xì)分受寵 配置化引領(lǐng)潮流
- 13虛擬化項(xiàng)目實(shí)施前需考慮這十個(gè)問題
- 14“開源”概念相關(guān)理論與其應(yīng)用的探討
- 1509年縱觀企業(yè)網(wǎng)絡(luò)管理發(fā)展新方向
- 16集成備份 最大限度發(fā)揮IT預(yù)算
- 17標(biāo)準(zhǔn)參考:常用的各項(xiàng)信息安全標(biāo)準(zhǔn)
- 18淺析語音識(shí)別技術(shù)及其發(fā)展
- 19企業(yè)實(shí)施數(shù)據(jù)虛擬化的十宗罪
- 20云計(jì)算促進(jìn)健全現(xiàn)有的IT管理體制
- 21虛擬化部署成功的七大秘訣
- 22八種方法“綠化”企業(yè)現(xiàn)有數(shù)據(jù)中心
- 232009年中國災(zāi)備行業(yè)12大趨勢(shì)
- 24OA結(jié)構(gòu)是 “四個(gè)網(wǎng)絡(luò)、兩層平臺(tái)、一套應(yīng)用、一個(gè)門戶”
- 25麥肯錫報(bào)告:云計(jì)算不適于大型企業(yè)
- 26Java中泛型的理解以及等價(jià)實(shí)現(xiàn)
- 27下一代數(shù)據(jù)保護(hù)具備三個(gè)關(guān)鍵特征
- 28網(wǎng)絡(luò)安全新舉措 對(duì)抗DDOS攻擊
- 29能源化工行業(yè)OA軟件基本方案概述
- 30虛擬化技術(shù)拯救數(shù)據(jù)中心的網(wǎng)絡(luò)環(huán)境
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓