監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

當(dāng)風(fēng)險(xiǎn)遭遇現(xiàn)實(shí) 如何保證信息安全

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

讓我們先從一個(gè)案例說起。在某石油生產(chǎn)商的遠(yuǎn)程站點(diǎn)隔離區(qū)(De-Militarize Zone,DMZ)中,系統(tǒng)服務(wù)器警報(bào)陡然響起。分析師們?cè)谘芯亢蟮贸鼋Y(jié)論:漏洞掃描程序發(fā)現(xiàn)了重大的安全漏洞。IT部門經(jīng)過幾個(gè)回合的電子郵件和電話交流后,在幾分鐘內(nèi)掌握了需要的信息。

當(dāng)時(shí)的情況是:出現(xiàn)漏洞問題的是報(bào)表轉(zhuǎn)發(fā)系統(tǒng),報(bào)表在轉(zhuǎn)發(fā)之前將會(huì)接受其他程序的復(fù)核。該系統(tǒng)沒有包含過分敏感的信息,而且相對(duì)孤立,并未與任何重要的流程捆綁,所以其漏洞不會(huì)影響到鄰近系統(tǒng)。由于該系統(tǒng)位于遠(yuǎn)程站點(diǎn),要為該系統(tǒng)打補(bǔ)丁得派一位IT人員乘飛機(jī)專程跑一趟。這家石油公司認(rèn)為,派專人專程去打補(bǔ)丁不僅麻煩,從費(fèi)用上說也不合算。因此IT部門的解決方案是:將此次漏洞警報(bào)記錄下來,在下次遠(yuǎn)程站點(diǎn)進(jìn)行日常維護(hù)時(shí),再讓人順便解決這個(gè)問題。

從這件案例中,我們得到的結(jié)論是:為了實(shí)現(xiàn)有效的漏洞管理,IT部門必須在考慮商業(yè)價(jià)值的前提下,合理運(yùn)用風(fēng)險(xiǎn)管理原則和邏輯。

如今的系統(tǒng)漏洞可謂是層出不窮,令人防不勝防,比如企業(yè)自行開發(fā)的應(yīng)用程序所包含的漏洞,基礎(chǔ)設(shè)施中存在的缺陷(如安全保護(hù)措施不夠完備的無線網(wǎng)絡(luò))等等?,F(xiàn)在的網(wǎng)絡(luò)犯罪手段已經(jīng)從嘮嘮叨叨、技術(shù)落后的網(wǎng)絡(luò)“蠕蟲”進(jìn)化到了無影無形、技術(shù)先進(jìn)、目標(biāo)明確的惡意軟件。

IT部門必須與業(yè)務(wù)單位通力合作,將企業(yè)的安全漏洞控制在可接受的風(fēng)險(xiǎn)程度以內(nèi),創(chuàng)建將企業(yè)計(jì)算環(huán)境作為整體來處理的業(yè)務(wù)流程,并且選擇合適的技術(shù)平臺(tái)來支持這些流程。

有效的流程

有效的漏洞管理程序必須合理地對(duì)技術(shù)、商業(yè)智能和流程進(jìn)行平衡。

必要的技術(shù)包括漏洞掃描軟件,如邁克菲公司(McAfee)的FoundScan、夸利斯公司(Qualys)的QualysScan或泰納寶網(wǎng)絡(luò)安全公司(Tenable Network Security)的Nessus;應(yīng)用程序掃描軟件,如惠普公司(Hewlett-Packard)的WebInspect和國際商業(yè)機(jī)器公司(IBM)的AppScan;以及配置和補(bǔ)丁管理工具。然而,如果沒有幾個(gè)重要的漏洞管理流程領(lǐng)軍的話,這些工具只是游兵散勇,起不了太大作用。

維護(hù)網(wǎng)絡(luò)安全的一個(gè)重要流程是減少受攻擊面。受攻擊面這個(gè)術(shù)語指的是應(yīng)用程序或系統(tǒng)整體在各種攻擊面前所暴露的風(fēng)險(xiǎn)程度。企業(yè)經(jīng)常綜合使用網(wǎng)絡(luò)設(shè)計(jì)演習(xí)(network design exercise)、訪問管理和配置管理等幾大手段來減少受攻擊面。例如,為了減少某系統(tǒng)的受攻擊面,可以只將那些必需的服務(wù)暴露在網(wǎng)絡(luò)上,禁用或刪除不必要的軟件,并限制經(jīng)授權(quán)可登錄系統(tǒng)的用戶數(shù)量。

有效的漏洞管理計(jì)劃還能幫助企業(yè)改善整體的安全狀況和風(fēng)險(xiǎn)承受能力。通過對(duì)漏洞和事故數(shù)據(jù)的匯總整理,IT部門可以提高系統(tǒng)的安全性。通過數(shù)據(jù)中顯示的趨勢(shì)和相關(guān)性,便可了解內(nèi)部活動(dòng)和外部事件是如何影響企業(yè)風(fēng)險(xiǎn)狀況的。這種數(shù)據(jù)分析有助于評(píng)估實(shí)施的項(xiàng)目(如打補(bǔ)丁和系統(tǒng)維護(hù))究竟起了多大作用,同時(shí)確定哪些領(lǐng)域還需要更多投入。

漏洞管理計(jì)劃的另一個(gè)好處,是能幫助企業(yè)達(dá)成合規(guī)任務(wù)。各種技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)框架、法規(guī)(如薩班斯·奧克斯利法案(Sarbanes-Oxley))及針對(duì)特定行業(yè)的框架(如健康保險(xiǎn)流通與責(zé)任法案(HIPAA)和污染控制指數(shù)(PCI))等,都推動(dòng)了企業(yè)加強(qiáng)控制并提交有關(guān)管理成果的報(bào)告。有效的漏洞管理計(jì)劃不僅可以幫助企業(yè)證明自己的控制措施滿足合規(guī)要求,還能在出現(xiàn)合規(guī)問題時(shí)為管理層敲響警鐘。在成熟的漏洞管理程序中,各種工具和數(shù)據(jù)相關(guān)性能夠提取多樣化的統(tǒng)計(jì)信息(如缺省密碼長(zhǎng)度、過期時(shí)限及復(fù)雜度要求等),并將這些信息納入到合規(guī)報(bào)告中。

然而,我們觀察到,雖然一些企業(yè)在安全工具和掃描軟件的全面部署上砸下了很多錢,但似曾相識(shí)的糟糕結(jié)果還是月復(fù)一月、年復(fù)一年地不斷重現(xiàn)。

那么,我們要怎樣做才能打破徒勞無功的宿命呢?以下便是至關(guān)重要的幾個(gè)步驟。

第1步: 對(duì)收集的數(shù)據(jù)進(jìn)行整合

漏洞管理程序的有效性很大程度上不僅取決于所使用的技術(shù),還取決于各組件的整合程度。漏洞識(shí)別系統(tǒng)(如漏洞掃描軟件、系統(tǒng)策略及設(shè)備配置審計(jì)工具等)為數(shù)據(jù)收集提供了基礎(chǔ)工具,但將收集到的數(shù)據(jù)與變更管理軟件緊密地整合到一起也是必要的。

配置管理、補(bǔ)丁管理以及身份和訪問管理工具不僅可以將系統(tǒng)維護(hù)流程自動(dòng)化,同時(shí)還能讓人們實(shí)時(shí)監(jiān)控系統(tǒng)和設(shè)備狀態(tài)。將這些產(chǎn)品和漏洞識(shí)別工具整合到一起,企業(yè)便可對(duì)整體環(huán)境的漏洞和風(fēng)險(xiǎn)有一個(gè)全面的了解。不過,說歸說,要將系統(tǒng)維護(hù)工具和漏洞識(shí)別系統(tǒng)整合起來談何容易。

整合工作的關(guān)鍵,是要確定哪些因素對(duì)漏洞管理計(jì)劃至關(guān)重要。我們建議采用自上而下的辦法。企業(yè)應(yīng)該列出一個(gè)實(shí)際使用的系統(tǒng)和數(shù)據(jù)的清單。關(guān)鍵的利益相關(guān)者應(yīng)當(dāng)對(duì)系統(tǒng)狀態(tài)進(jìn)行審查,并評(píng)估IT組織部署變更的業(yè)務(wù)能力,為實(shí)現(xiàn)更高的安全水準(zhǔn)提出更高層次的問題。比如說,企業(yè)在某個(gè)特定區(qū)域部署了多少Windows系統(tǒng)?Apache系統(tǒng)的漏洞出在什么地方?當(dāng)IT團(tuán)隊(duì)回答諸如此類的問題時(shí),他們應(yīng)該收集到必要的相關(guān)信息。

只有這些問題得到解答后,才可考慮采用其他附加技術(shù)。

第2步:制定優(yōu)先級(jí)

在IT組織中,優(yōu)先級(jí)的重要性顯而易見,但往往只有真正出現(xiàn)問題了,它才會(huì)引起人們的重視。毫無疑問,在部署漏洞管理時(shí),優(yōu)先級(jí)的排列必須一目了然。這通常意味著對(duì)資產(chǎn)進(jìn)行分組,以提高數(shù)據(jù)收集效率,或是對(duì)責(zé)任人進(jìn)行分組,以便使報(bào)告更具相關(guān)性和可操作性。各組通常是根據(jù)區(qū)域、職能或技術(shù)來歸類的。在確定安全狀況時(shí),資產(chǎn)分組應(yīng)該與業(yè)務(wù)功能保持一致。各組必須規(guī)模適當(dāng),易于管理,同時(shí)責(zé)任明確。

在減少受攻擊面的問題上,責(zé)任人應(yīng)包括IT經(jīng)理、數(shù)據(jù)中心負(fù)責(zé)人以及其他負(fù)責(zé)維護(hù)系統(tǒng)安全和完整性的IT人員。在處理企業(yè)范圍內(nèi)的安全問題時(shí),責(zé)任人通常包括安全組織的成員、內(nèi)部審計(jì)員以及業(yè)務(wù)單位。以合規(guī)為導(dǎo)向的責(zé)任人應(yīng)當(dāng)配合那些專門負(fù)責(zé)合規(guī)執(zhí)行和報(bào)告的人員。

第3步:不斷完善

要想持續(xù)地完善系統(tǒng),企業(yè)必須了解單個(gè)因素如何影響漏洞管理程序目標(biāo)的實(shí)現(xiàn)。上表列出了7個(gè)與漏洞管理目標(biāo)相關(guān)的因素。

在確定安全狀況或合規(guī)水平時(shí),高質(zhì)量的數(shù)據(jù)至關(guān)重要。如果說有漏不報(bào)會(huì)造成虛假安全感的話,那么低質(zhì)量數(shù)據(jù)就可能會(huì)導(dǎo)致誤報(bào),也就是說明明不存在漏洞卻發(fā)出警報(bào)。當(dāng)減少受攻擊面成為當(dāng)務(wù)之急時(shí),IT部門應(yīng)該經(jīng)常收集數(shù)據(jù),但在確定安全狀況時(shí),就不必那么頻繁地收集數(shù)據(jù)了。

要了解安全狀況、漏洞削減項(xiàng)目的成效以及與合規(guī)相關(guān)的活動(dòng),就應(yīng)當(dāng)對(duì)趨勢(shì)有所掌握。趨勢(shì)信息可以顯示IT組織的風(fēng)險(xiǎn)狀況如何隨時(shí)間的推移而變化,外部事件(如漏洞和補(bǔ)丁發(fā)布)如何影響企業(yè)的安全狀況。(信息周刊)

發(fā)布:2007-04-21 13:54    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
哈爾濱OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普哈爾濱OA軟件行業(yè)資訊其他應(yīng)用

哈爾濱OA軟件 哈爾濱OA新聞動(dòng)態(tài) 哈爾濱OA管理信息化 哈爾濱OA快博 哈爾濱OA軟件行業(yè)資訊 哈爾濱軟件開發(fā)公司 哈爾濱門禁系統(tǒng) 哈爾濱物業(yè)管理軟件 哈爾濱倉庫管理軟件 哈爾濱餐飲管理軟件 哈爾濱網(wǎng)站建設(shè)公司