SMB安全“四問四答”

在回答這個問題之前，IDC的一組數(shù)據(jù)則相當有趣，根據(jù)2007年第二季度對500個SMB樣本進行的調查，當前中小企業(yè)市場中對防火墻的需求在異軍突起，增幅超過了反病毒軟件的需求。

這一事實說明，中小企業(yè)的安全重點在發(fā)生改變。此前神州數(shù)碼網(wǎng)絡的安全專家王景輝在接受采訪時表示，2007年國內(nèi)中小企業(yè)的安全問題主要集中在兩個層面：第一，企業(yè)網(wǎng)外部；第二，企業(yè)網(wǎng)內(nèi)部。企業(yè)網(wǎng)外部包括：病毒、間諜軟件、垃圾郵件等網(wǎng)絡威脅；企業(yè)網(wǎng)內(nèi)部包括：公司員工泄密、公司信息管理不謹慎等問題。

除了以上所面臨的安全問題之外，中小企業(yè)還會在2007年頻繁遭遇到網(wǎng)絡阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失、拒絕服務攻擊、端口掃描攻擊、篡改網(wǎng)頁等問題。從某種意義上說，小型企業(yè)面臨著與大型企業(yè)一樣的挑戰(zhàn)和安全威脅。

目前來看，病毒、間諜軟件、垃圾郵件等網(wǎng)絡威脅會破壞中小型企業(yè)的業(yè)務運營，對員工生產(chǎn)力造成影響；隱藏在電子郵件或網(wǎng)頁中的威脅消耗著系統(tǒng)和網(wǎng)絡資源，并增加了支持成本；而一些間諜軟件則偷取財務或其他保密資料，對企業(yè)造成了很嚴重的威脅，影響了企業(yè)的經(jīng)濟效益，降低了企業(yè)在市場中的競爭力。

作為國內(nèi)中小企業(yè)的代表，北京貓王家具的IT負責人曾透露說，傳統(tǒng)的中小企業(yè)更關注的是企業(yè)的整體增長，而不太去關注安全問題，因而在解決安全問題中擁有的資源較少。但伴隨著以熊貓燒香、灰鴿子、ARP攻擊、釣魚攻擊、垃圾郵件等問題，2007年的中小企業(yè)在安全上的投入明顯增多。而這正好解釋了為什么越來越多的中小企業(yè)開始關注防火墻、UTM、反垃圾郵件等設備。

對此，不少長期扎根國內(nèi)SMB市場的安全廠商體會更深刻。大東網(wǎng)絡的市場總監(jiān)鄧雷、衛(wèi)視通的網(wǎng)絡安全產(chǎn)品經(jīng)理張卓、深信副的安全產(chǎn)品經(jīng)理鄔迪、俠諾科技的安全專家張建清，四個人在談及此問題時觀點頗為一致：當前通過互聯(lián)網(wǎng)的針對中小企業(yè)的網(wǎng)絡攻擊越來越多，這對于業(yè)務依賴性較高的SMB市場沖擊很大，因此在2007年越來越多的國內(nèi)中小企業(yè)在網(wǎng)關安全設備上進行了較高的投入，有些企業(yè)甚至將其定位為必選設備。

專家的看法是，作為串接在內(nèi)外網(wǎng)絡之間的一道重要屏障，各種網(wǎng)關安全設備本身是否安全、可靠和易用，直接關系到中小企業(yè)整個內(nèi)部網(wǎng)絡的安全。而中小企業(yè)作為一個全新的安全市場，必然對其有特有的要求。

事實上，此前天津武清報關行的IT負責人在接受采訪時就談到，中小企業(yè)并非對安全不重視。相反，現(xiàn)在有越來越多的企業(yè)把IT當成其競爭力之一，而在此基礎上的安全投入也比2006年同比增長了50%以上。

用戶問：除了防火墻和反病毒軟件，還需要什么？

專家答：從被動防御到主動預防

用戶的關注度高了，對市場而言自然是好事情?？蓛H僅依靠防火墻與反病毒軟件來處理SMB的問題，顯然有些捉襟見肘。王景輝提示說，防火墻和反病毒軟件，僅能完成的是來自外部的端口掃描、攻擊以及終端病毒防護。而今天，企業(yè)網(wǎng)絡面臨的威脅不僅是病毒和外部的入侵，還來自于內(nèi)部的ARP欺騙、關鍵信息的泄露、文件權限控制、以及網(wǎng)絡的安全管理。在這種情況下，即便說中小企業(yè)需要全網(wǎng)的安全管理也不過分。

此外，現(xiàn)在許多攻擊或惡意軟件，是以網(wǎng)頁合法的內(nèi)容被瀏覽器讀取，之后再自動執(zhí)行到外面下載軟件的工作，再在用戶計算機上組合成攻擊的應用程序。這種法作，躲避了防火墻和反病毒軟件，這兩者都需要特定特征來辨別惡意軟件的特性，因此阻擋的效力很小。

在此問題上，北京宅急送的IT工程師王文輝認為，中小企業(yè)依靠防火墻與反病毒軟件的組合僅能解決一部分問題，令他擔憂的是，現(xiàn)在越來越多的攻擊行為與安全隱患都是通過HTTP進行的，這在傳統(tǒng)的防火墻防護上是一個盲區(qū)，而很多企業(yè)缺乏有效且高性價比的方式來進行防御。

其實，他的觀點代表了很多中小企業(yè)的一種看法，如何在保證性價比的條件下促使企業(yè)安全從被動防御向主動防御過渡，已經(jīng)成為了2007年的焦點。對此，鄧雷表示說，傳統(tǒng)上對外網(wǎng)攻擊的防御確實屬于被動的方式，這樣的安全策略只能治標不能治本。他認為今后的安全產(chǎn)品是在企業(yè)要發(fā)生安全問題之前提前預防，幫助企業(yè)網(wǎng)絡管理人員合理分配網(wǎng)絡資源，設置網(wǎng)絡協(xié)議讓安全問題提前扼制。換句話說，隨著安全問題的不斷發(fā)生，網(wǎng)絡安全并不能全部解決，但是可以有效防范。

安全的防范包括很多方面，目前來看以UTM和網(wǎng)絡行為管理AC為代表的網(wǎng)關安全方案，都是比較適合中小企業(yè)的技術。

不過IDC的報告指出，目前全球連入Internet的計算機中約有三分之一是處于網(wǎng)關安全設備保護之下。在這種條件下，如果SMB用戶決定設定此類設備，那么首先需要由網(wǎng)絡決策人員及網(wǎng)絡專家共同決定本網(wǎng)絡的安全策略。對此，張卓提醒中小企業(yè)用戶注意，網(wǎng)絡的安全性通常是以網(wǎng)絡服務的開放性、便利性、靈活性為代價的。安全網(wǎng)關的隔斷作用一方面加強了內(nèi)部網(wǎng)絡的安全，另一方面卻使內(nèi)部網(wǎng)絡與外部網(wǎng)絡的信息系統(tǒng)交流受到阻礙，因此必須在設備上附加各種信息服務的代理軟件來代理內(nèi)部網(wǎng)絡與外部的信息交流，這樣不僅增大了網(wǎng)絡管理開銷，而且減慢了信息傳遞速率。因此設備本身的性能如何，是需要用戶需要關注的。

另外要強調的是，網(wǎng)絡安全是一個系統(tǒng)工程，既有層次上的劃分、結構上的劃分，也有防范目標上的差別。一個完整的安全體系應該是一個由具有分布性的多種安全技術或產(chǎn)品構成的復雜系統(tǒng)，既有技術的因素，也包含人的因素。

用戶問：針對安全產(chǎn)品管理的復雜度，企業(yè)如何平衡？

專家答：用集中管理平臺解決問題

安全重視了，設備部署了，隨之而來管理的問題就突出了。南車集團北方區(qū)信息安全專家劉洋在接受采訪時表示，對于中型企業(yè)而言，安全產(chǎn)品的管理復雜度一直都是揮之不去的問題，防火墻、VPN、上網(wǎng)行為管理、反病毒、反垃圾郵件，從網(wǎng)關到內(nèi)網(wǎng)，設備越來越多，但IT部門的人力總是不夠用。他表示，很多中型企業(yè)都渴望從復雜的設備管理中解脫出來。

事實上，這個問題在去年夏天就被提出過，當時為了應對各種混合攻擊的威脅，越來越多的安全設備都在從功能上進行整合，只不過今年這個趨勢更加明顯了。王景輝認為，當前很多企業(yè)對于網(wǎng)絡安全產(chǎn)品的集成化和管理性需求凸顯，在此基礎上UTM的出現(xiàn)在一定程度上解決了企業(yè)的部分問題。畢竟將多種安全特性集成在一個硬件設備里，自身就已經(jīng)構成了一個標準的統(tǒng)一管理平臺。這種集成是無縫的，可以滿足企業(yè)在最低人力下的安全管理。

UTM是一個很好的“捷徑”，但對于規(guī)模稍大的中型企業(yè)而言，UTM的性能問題仍然沒有完美的解決方案。在這種情況下，規(guī)模大些的企業(yè)需要對現(xiàn)有安全管理進行簡化。此前大東網(wǎng)絡曾給記者演示過其專門為中型用戶提供的安全集中管理平臺。新平臺簡化了傳統(tǒng)的設置程序，顯示界面也很簡單，產(chǎn)品自身也提供了從基本安裝向導設置到復雜的高級設置的功能，從而可以滿足不同層次的網(wǎng)絡安全管理的需要。

另外，除了利用第三方平臺，很多企業(yè)也應該從設備的選擇入手。張卓表示，企業(yè)在不斷部署安全產(chǎn)品的同時，應該關注各種設備的管理特性，要求其支持設備本身的集中管理和提供第三方安全管理平臺的管理接口。此外他也認為，單一安全產(chǎn)品的管理是無法面對目前復雜網(wǎng)絡的管理需求的，所以企業(yè)可根據(jù)需要選擇合適的統(tǒng)一安全管理平臺，實現(xiàn)安全策略的統(tǒng)一制定、分發(fā)、執(zhí)行和監(jiān)控。

用戶問：中小企業(yè)的安全挑戰(zhàn)與應對之道？

專家答：關注新技術，從管理角度考慮問題。

此前記者在天津武清報關行的采訪中發(fā)現(xiàn)，一家只有200人的企業(yè)，卻部署了大量的SSL VPN應用。更令人吃驚的是，該報關行的IT負責人表示，他們今后會進一步擴大應用規(guī)模，同時考慮加入業(yè)務連續(xù)性的技術。而對于由此帶來的項目風險他卻不以為然，“船小好掉頭，用新技術可以增加競爭力！”

一句普普通通的話道出了中小企業(yè)的特點，敢于應用新技術，而這對于中小企業(yè)應對安全挑戰(zhàn)至關重要。前面說過，相對于大型企業(yè)，中小企業(yè)所面臨的安全問題并不簡單。衛(wèi)士通近期發(fā)布的2007中國中小企業(yè)安全調查報告顯示，國內(nèi)中小企業(yè)面臨的安全挑戰(zhàn)可以歸為：惡意代碼、間諜軟件、郵件內(nèi)容安全、Web安全、內(nèi)部控制與安全審計。其中，惡意軟件對中小企業(yè)造成的危害最大。國內(nèi)超過67%的計算機都不同程度感染過間諜軟件，間諜軟件增加了中小企業(yè)有限的IT資源的負擔，降低系統(tǒng)性能與穩(wěn)定性，危及數(shù)據(jù)安全。

此外，中小企業(yè)需要面臨內(nèi)部控制與安全審計的挑戰(zhàn)，法律、法規(guī)以及行業(yè)規(guī)范要求進一步加強企業(yè)內(nèi)部控制，防止因流失或泄漏機密信息或員工不適當言論引起的法律責任。另外，中小企業(yè)還有來自Web的安全挑戰(zhàn)，這些挑戰(zhàn)將導致企業(yè)生產(chǎn)效率下降，無法確保業(yè)務的有效運行。

這么多的威脅，需要相關的技術來解決，對于很多新型安全技術，傳統(tǒng)的大型企業(yè)有顧慮，比如在是否采用SSL VPN、業(yè)務連續(xù)性方案、IPS、終端代理和Web過濾的技術上，不少大企業(yè)采取了觀望的態(tài)度。但對中小企業(yè)而言，如果希望面對威脅能夠做到從容應對，大膽采用新技術是一個捷徑。

當然，所有的新技術必須使對地方。就目前的情況看，頻繁出現(xiàn)的垃圾郵件，已成給不少中小企業(yè)IT人員敲響了警鐘，日后企業(yè)用戶勢必對網(wǎng)關安全防護過濾設備提出更高的管理要求。王景輝總結說，眼下國內(nèi)中小型企業(yè)的安全挑戰(zhàn)正在從網(wǎng)絡層向應用層轉移。而且目前許多中小企業(yè)的管理模式偏重于生產(chǎn)、人員、后勤的管理，而不重視企業(yè)內(nèi)安全信息的管理。中小企業(yè)需要加強內(nèi)部行為的控制和文件的審計、整網(wǎng)智能安全的安全準入等眾多方面。

另外，中小企業(yè)用戶需要注意的是，安全作為一個系統(tǒng)問題，有時候需要從管理的層次考慮。對此，鄧雷介紹說，企業(yè)管理層在解決安全問題時，主要是從企業(yè)的業(yè)務開展和網(wǎng)絡管理方面去考慮整體的安全策略，而網(wǎng)絡安全產(chǎn)品的應用是否會影響公司網(wǎng)絡的正常使用，產(chǎn)品的設置是否簡單是企業(yè)管理層比較關心的問題。

目前的情況是，在中小企業(yè)安全設備應用過程中，有效管理經(jīng)常面臨挑戰(zhàn)。員工對企業(yè)網(wǎng)絡的不規(guī)范使用，容易致企業(yè)資源浪費、效率降低等問題，這些問題會嚴重影響企業(yè)的正常發(fā)展。目前一些優(yōu)秀的中小企業(yè)用戶已經(jīng)開始通過內(nèi)部的用戶管理、行為管理、內(nèi)容控制來規(guī)范網(wǎng)絡的安全應用，而從技術到管理的關聯(lián)，包括利用管理平臺實現(xiàn)良好的管理機制，都是企業(yè)需要注意的內(nèi)容。

對中小企業(yè)的安全建議

關注企業(yè)網(wǎng)內(nèi)部管理、注重企業(yè)網(wǎng)外部管理、實現(xiàn)集中服務器管理，這將構成中小企業(yè)的三道防線。

中小企業(yè)也有差異，不同用戶的經(jīng)驗與需求不盡相同，各種安全配置需要安全定制。

SSL VPN可以稱為最具應用條件的網(wǎng)絡技術，它將幫助中小企業(yè)實現(xiàn)權限規(guī)定范圍內(nèi)的信息安全存取。

給操作系統(tǒng)打補丁、培訓員工防制欺騙的知識、將計算機遠程桌面功能關閉、利用加密機制，都是中小企業(yè)高性價比的安全措施。(ccw-cnw)