監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

安全小洞不補(bǔ),大洞吃苦

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

在排山倒海的洪峰和毫不起眼的管涌中,你更害怕什么?可能更多人害怕后者。沒(méi)錯(cuò),因?yàn)楹榉宀粫?huì)從天而降且可以預(yù)見(jiàn),但堤壩上一個(gè)逐漸滲水的管涌口,會(huì)悄悄掏空堤壩,最終釀成大禍。企業(yè)的信息安全防線就像一堵防洪大壩,一方面新的病毒、新的攻擊手段層出不窮,沖擊著這座堤壩,一方面企業(yè)不斷添置硬件和軟件系統(tǒng),如果不能主動(dòng)找出可能出現(xiàn)的安全漏洞,并提前防范,任何看似固若金湯的安全系統(tǒng)都會(huì)變成“馬其諾防線”。

雖然對(duì)漏洞的危害性,企業(yè)信息安全人員都心知肚明,但對(duì)于一個(gè)擁有各種不同品牌的硬件、不同操作系統(tǒng)、不同應(yīng)用軟件的企業(yè)來(lái)說(shuō),即使窮盡IT部門(mén)的精力來(lái)“捉蟲(chóng)”恐怕都捉不盡。根據(jù)美國(guó)計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心(CERT/CC)的調(diào)查結(jié)果,計(jì)算機(jī)突發(fā)事件和漏洞數(shù)量正在不斷增長(zhǎng),平均每天公布的漏洞數(shù)量在40個(gè)以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長(zhǎng),系統(tǒng)受到攻擊的可能性以及相關(guān)費(fèi)用也在不斷增加。因此,一個(gè)自動(dòng)化、集成化、全局性的漏洞管理系統(tǒng)對(duì)企業(yè)就顯得十分必要了。

智能查缺

“企業(yè)應(yīng)該把風(fēng)險(xiǎn)管理放在IT系統(tǒng)建設(shè)的首位。” 國(guó)際著名的信息安全專家,F(xiàn)oundstone公司(Foundstone,Inc.)首席執(zhí)行官(CEO)喬治·庫(kù)爾茨(George Kurtz)在接受本刊越洋電話采訪時(shí)開(kāi)宗明義,“首先要做的是把系統(tǒng)中危險(xiǎn)的地方查出來(lái)?!睅?kù)爾茨是《黑客大曝光》(Hacking Exposed)一書(shū)的作者之一,該書(shū)在美國(guó)被奉為“信息安全界的圣經(jīng)”,號(hào)稱“信息安全第一書(shū)”。

庫(kù)爾茨在他的安全咨詢職業(yè)生涯中完成了數(shù)百個(gè)防火墻、網(wǎng)絡(luò)和與電子商務(wù)相關(guān)的安全評(píng)估。2004年,F(xiàn)oundstone公司被McAfee公司(McAfee,Inc.)以8,600萬(wàn)美元收購(gòu)。

雖然很多企業(yè)已經(jīng)采用了各種網(wǎng)絡(luò)安全漏洞的檢測(cè)工具,但是對(duì)如何確定哪些漏洞更嚴(yán)重,如何去堵住這些漏洞,往往仍然束手無(wú)策。企業(yè)真正需要的是一個(gè)能提供持續(xù)性的網(wǎng)絡(luò)安全漏洞評(píng)估管理系統(tǒng),對(duì)于漏洞能查出、能分析、能堵住。群柏?cái)?shù)碼科技有限公司市場(chǎng)總監(jiān)王慧說(shuō):“企業(yè)內(nèi)一個(gè)廢棄的路由器上不經(jīng)意連著網(wǎng)絡(luò)的網(wǎng)口,都很有可能成為攻擊的入口?!?/FONT>

管理軟件廠商美國(guó)Altiris公司(Altiris,Inc.)大中華區(qū)銷售總監(jiān)馮國(guó)興說(shuō):“企業(yè)進(jìn)行漏洞評(píng)估的內(nèi)容應(yīng)該包括防病毒軟件的狀態(tài)、安全補(bǔ)丁的狀態(tài)、業(yè)界皆知的漏洞、個(gè)人防火墻的狀態(tài)、系統(tǒng)安全配置的設(shè)定、未授權(quán)軟件和未授權(quán)硬件這七大領(lǐng)域?!?/FONT>

庫(kù)爾茨的方法是“知己知彼,百戰(zhàn)不殆”,就是用仿真黑客攻擊的手法來(lái)檢測(cè)公司的網(wǎng)絡(luò)是否有不正確的設(shè)定與危險(xiǎn)的漏洞,同時(shí)提供完整的管理機(jī)制,以方便管理者追蹤、記錄、驗(yàn)證漏洞評(píng)估管理成效,同時(shí)通過(guò)量化的報(bào)表來(lái)真實(shí)地反映網(wǎng)絡(luò)安全問(wèn)題。如Foundstone公司的弱點(diǎn)評(píng)估管理系統(tǒng)就是仿真黑客的行為模式,協(xié)助企業(yè)找出暴露在互聯(lián)網(wǎng)上的每一部主機(jī)、網(wǎng)絡(luò)服務(wù),以及相關(guān)信息與漏洞,用黑客的方法檢查一個(gè)企業(yè)的網(wǎng)絡(luò)架構(gòu),了解整個(gè)網(wǎng)絡(luò)架構(gòu)的變動(dòng)狀況。

管好家底

自演一把黑客,用黑客的方法檢視自己的網(wǎng)絡(luò)為企業(yè)提供了一個(gè)不一樣的角度,但企業(yè)要梳理清楚自己的全部IT資產(chǎn)并不是舉手之勞。由于企業(yè)的IT建設(shè)都是循序漸進(jìn)的,桌面電腦、服務(wù)器、存儲(chǔ)、路由器、交換機(jī)????硬件上林林總總,軟件方面,各種操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件,紛繁蕪雜。這些都成為病毒攻擊的目標(biāo)。

2006年1月,《信息周刊》研究部發(fā)布了《2005年中美信息安全調(diào)查白皮書(shū)》,研究結(jié)果表明:“操作系統(tǒng)和應(yīng)用軟件的漏洞,經(jīng)常成為安全攻擊的入口?!痹谠獾桨踩舻闹袊?guó)企業(yè)中,接近四分之三的企業(yè)都表示:攻擊來(lái)自于已知的操作系統(tǒng)漏洞;五分之二的企業(yè)表示:攻擊來(lái)自于未知的操作系統(tǒng)漏洞;接近三分之一的企業(yè)表示:攻擊來(lái)自于已知的應(yīng)用軟件漏洞;而五分之一的企業(yè)則表示:攻擊來(lái)自于未知的應(yīng)用軟件漏洞;還有四分之一的企業(yè)則承認(rèn):在過(guò)去的1年中,不適當(dāng)?shù)慕尤肟刂茖?dǎo)致了安全攻擊。

庫(kù)爾茨認(rèn)為:“第二步就是如何把企業(yè)所有的IT資產(chǎn)管理起來(lái)。不僅在企業(yè)里IT設(shè)施需要管理,員工攜帶的筆記本電腦同樣也需要管理?!?BR>良好有效的資產(chǎn)管理對(duì)于消除死角、減少漏洞意義重大。由世界500強(qiáng)企業(yè)英國(guó)標(biāo)準(zhǔn)人壽保險(xiǎn)公司和天津泰達(dá)投資控股有限公司共同創(chuàng)立的恒安標(biāo)準(zhǔn)人壽保險(xiǎn)有限公司(下稱“恒安標(biāo)準(zhǔn)人壽公司”)的資產(chǎn)管理就是一個(gè)典型案例。恒安標(biāo)準(zhǔn)人壽公司的內(nèi)部網(wǎng)絡(luò)連接了150多臺(tái)桌面電腦、筆記本電腦,20臺(tái)服務(wù)器和20多臺(tái)網(wǎng)絡(luò)設(shè)備,這些電腦和設(shè)備安裝的應(yīng)用軟件五花八門(mén),要把這些資產(chǎn)清查一遍不是件容易的事情,但不查往往就會(huì)漏洞百出。

恒安標(biāo)準(zhǔn)人壽公司信息技術(shù)總經(jīng)理林新觀說(shuō):“公司內(nèi)部的人員會(huì)調(diào)動(dòng),資產(chǎn)自然也會(huì)流動(dòng),如果完全靠人力來(lái)進(jìn)行資產(chǎn)管理比較困難,有時(shí)候甚至無(wú)法進(jìn)行下去,必須采用一個(gè)系統(tǒng)管理軟件,能夠完全自動(dòng)化地對(duì)資產(chǎn)進(jìn)行動(dòng)態(tài)管理?!蓖ㄟ^(guò)與國(guó)際商業(yè)機(jī)器公司(IBM)的合作,恒安標(biāo)準(zhǔn)人壽公司基于IBM公司的Tivoli軟件構(gòu)建了一套資產(chǎn)管理系統(tǒng)。

現(xiàn)在,在恒安標(biāo)準(zhǔn)人壽公司的Tivoli系統(tǒng)上,管理員可以通過(guò)圖形化的界面看到每個(gè)終端的軟件安裝情況。如果有不允許安裝的非法軟件,系統(tǒng)會(huì)發(fā)電子郵件提出警告,如果員工不按警告提示盡快刪除非法軟件,就會(huì)有專門(mén)的管理人員去跟他交涉。原來(lái)恒安標(biāo)準(zhǔn)人壽公司進(jìn)行資產(chǎn)更新檢查,需要花費(fèi)一個(gè)禮拜甚至半個(gè)月的時(shí)間,而且需要一個(gè)行政人員、一個(gè)財(cái)務(wù)人員和一個(gè)IT支持人員共同參與。部署Tivoli系統(tǒng)之后,每臺(tái)設(shè)備的具體配置都由Tivoli軟件自動(dòng)掃描管理,每當(dāng)設(shè)備配置更新,Tivoli軟件能夠自動(dòng)檢測(cè)、自動(dòng)更新。如要查看IT資產(chǎn)狀況,只需要由Tivoli管理系統(tǒng)按照需求生成一張報(bào)表即可,整個(gè)過(guò)程不到1小時(shí)。該公司通過(guò)有效的管理,做到對(duì)公司所有的IT資產(chǎn)的狀況一目了然,大大降低了人為原因造成漏洞和安全隱患的可能性。

快速補(bǔ)漏

查出漏洞后就要及時(shí)修補(bǔ)漏洞,目前常用的方法是打補(bǔ)丁。但庫(kù)爾茨也認(rèn)為“打補(bǔ)丁是比較被動(dòng)的方式”,而且對(duì)于企業(yè)來(lái)說(shuō),收集、測(cè)試、備份、分發(fā)等相關(guān)的打補(bǔ)丁流程仍然是一個(gè)頗為繁瑣的過(guò)程。美國(guó)Altiris公司大中華區(qū)銷售總監(jiān)馮國(guó)興說(shuō):“雖然企業(yè)越來(lái)越重視補(bǔ)丁管理,但面對(duì)日益增多的補(bǔ)丁,IT人員難以識(shí)別和確定應(yīng)當(dāng)使用哪些補(bǔ)丁,首先進(jìn)行哪些升級(jí)?!鄙踔裂a(bǔ)丁本身就有可能成為新的漏洞。顧能公司(Gartner)2005年的一項(xiàng)調(diào)查顯示:大部分安全威脅是由舊補(bǔ)丁、新補(bǔ)丁、新漏洞、錯(cuò)誤設(shè)定和缺乏統(tǒng)一標(biāo)準(zhǔn)造成的。解決補(bǔ)丁管理的混亂,企業(yè)首先需要建立一個(gè)覆蓋整個(gè)網(wǎng)絡(luò)的自動(dòng)化補(bǔ)丁知識(shí)庫(kù)。相關(guān)人員通過(guò)自動(dòng)掃描受管理的設(shè)備,對(duì)所有運(yùn)行中的補(bǔ)丁程序進(jìn)行集中查閱,然后分析各個(gè)補(bǔ)丁所針對(duì)的問(wèn)題的嚴(yán)重性。

其次是部署一個(gè)分發(fā)系統(tǒng)。在恒安標(biāo)準(zhǔn)人壽公司,管理員就是通過(guò)Tivoli系統(tǒng)分發(fā)補(bǔ)丁軟件和病毒庫(kù),提高運(yùn)作效率,消除補(bǔ)丁分發(fā)所需的人工成本。而且自動(dòng)化的補(bǔ)丁分發(fā)程序大大加快了補(bǔ)丁的部署速度,減少了漏洞暴露在互聯(lián)網(wǎng)上所帶來(lái)的威脅?,F(xiàn)在,某些補(bǔ)丁分發(fā)程序,如Altiris公司的客戶管理套件(Client Management Suite)還能夠?qū)⒊绦虬l(fā)送到遠(yuǎn)程和移動(dòng)用戶,并且采用動(dòng)態(tài)帶寬控制和斷點(diǎn)續(xù)傳功能,大大提高了補(bǔ)丁分發(fā)的效率。

由于補(bǔ)丁是針對(duì)緊急情況的被動(dòng)應(yīng)變措施,往往并不能百分百保證與系統(tǒng)完全“嚴(yán)絲合縫”,因此在分發(fā)安裝補(bǔ)丁程序,需要做好備份工作。美國(guó)Altiris公司大中華區(qū)銷售總監(jiān)馮國(guó)興說(shuō):“補(bǔ)丁管理程序需要集成備份與恢復(fù)程序,能夠快速、不留痕跡地恢復(fù)到原來(lái)的工作狀態(tài)?!边@樣才能有效地減少補(bǔ)丁可能帶來(lái)的新的困擾。

不僅是補(bǔ)丁管理程序,整個(gè)漏洞管理系統(tǒng)還需要與企業(yè)的防入侵系統(tǒng)、防病毒系統(tǒng)等其他安全系統(tǒng)集成,構(gòu)筑一條完整的風(fēng)險(xiǎn)管理防線。
McAfee公司對(duì)Foundstone公司的收購(gòu)就是集成化趨勢(shì)的一個(gè)體現(xiàn)。Foundstone公司CEO庫(kù)爾茨說(shuō):“McAfee公司收購(gòu)Foundstone公司后,我們會(huì)將漏洞管理與McAfee的入侵防護(hù)技術(shù)等產(chǎn)品線結(jié)合起來(lái)?!睋?jù)國(guó)際數(shù)據(jù)公司(IDC)的報(bào)告,漏洞評(píng)估和管理及入侵檢測(cè)市場(chǎng)將在未來(lái)幾年得到較大增長(zhǎng),整個(gè)市場(chǎng)的收入在2008年將達(dá)16億美元。庫(kù)爾茨說(shuō):“雖然很多中國(guó)企業(yè)才剛剛感覺(jué)到風(fēng)險(xiǎn)管理的必要,但緊迫性仍然不言而喻。”
小貼士

美國(guó)計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心(Computer Emergency Response Team Coordination Center, CERT/CC),成立于1988年,是一家美國(guó)聯(lián)邦政府支持的、從事互聯(lián)網(wǎng)安全研究的專門(mén)機(jī)構(gòu),位于卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)。(信息周刊)
 
  
    

發(fā)布:2007-04-22 10:00    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢