當前位置:工程項目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
當風險遭遇現(xiàn)實 如何保證信息安全
讓我們先從一個案例說起。在某石油生產(chǎn)商的遠程站點隔離區(qū)(De-Militarize Zone,DMZ)中,系統(tǒng)服務器警報陡然響起。分析師們在研究后得出結論:漏洞掃描程序發(fā)現(xiàn)了重大的安全漏洞。IT部門經(jīng)過幾個回合的電子郵件和電話交流后,在幾分鐘內(nèi)掌握了需要的信息。
當時的情況是:出現(xiàn)漏洞問題的是報表轉(zhuǎn)發(fā)系統(tǒng),報表在轉(zhuǎn)發(fā)之前將會接受其他程序的復核。該系統(tǒng)沒有包含過分敏感的信息,而且相對孤立,并未與任何重要的流程捆綁,所以其漏洞不會影響到鄰近系統(tǒng)。由于該系統(tǒng)位于遠程站點,要為該系統(tǒng)打補丁得派一位IT人員乘飛機專程跑一趟。這家石油公司認為,派專人專程去打補丁不僅麻煩,從費用上說也不合算。因此IT部門的解決方案是:將此次漏洞警報記錄下來,在下次遠程站點進行日常維護時,再讓人順便解決這個問題。
從這件案例中,我們得到的結論是:為了實現(xiàn)有效的漏洞管理,IT部門必須在考慮商業(yè)價值的前提下,合理運用風險管理原則和邏輯。
如今的系統(tǒng)漏洞可謂是層出不窮,令人防不勝防,比如企業(yè)自行開發(fā)的應用程序所包含的漏洞,基礎設施中存在的缺陷(如安全保護措施不夠完備的無線網(wǎng)絡)等等?,F(xiàn)在的網(wǎng)絡犯罪手段已經(jīng)從嘮嘮叨叨、技術落后的網(wǎng)絡“蠕蟲”進化到了無影無形、技術先進、目標明確的惡意軟件。
IT部門必須與業(yè)務單位通力合作,將企業(yè)的安全漏洞控制在可接受的風險程度以內(nèi),創(chuàng)建將企業(yè)計算環(huán)境作為整體來處理的業(yè)務流程,并且選擇合適的技術平臺來支持這些流程。
有效的流程
有效的漏洞管理程序必須合理地對技術、商業(yè)智能和流程進行平衡。
必要的技術包括漏洞掃描軟件,如邁克菲公司(McAfee)的FoundScan、夸利斯公司(Qualys)的QualysScan或泰納寶網(wǎng)絡安全公司(Tenable Network Security)的Nessus;應用程序掃描軟件,如惠普公司(Hewlett-Packard)的WebInspect和國際商業(yè)機器公司(IBM)的AppScan;以及配置和補丁管理工具。然而,如果沒有幾個重要的漏洞管理流程領軍的話,這些工具只是游兵散勇,起不了太大作用。
維護網(wǎng)絡安全的一個重要流程是減少受攻擊面。受攻擊面這個術語指的是應用程序或系統(tǒng)整體在各種攻擊面前所暴露的風險程度。企業(yè)經(jīng)常綜合使用網(wǎng)絡設計演習(network design exercise)、訪問管理和配置管理等幾大手段來減少受攻擊面。例如,為了減少某系統(tǒng)的受攻擊面,可以只將那些必需的服務暴露在網(wǎng)絡上,禁用或刪除不必要的軟件,并限制經(jīng)授權可登錄系統(tǒng)的用戶數(shù)量。
有效的漏洞管理計劃還能幫助企業(yè)改善整體的安全狀況和風險承受能力。通過對漏洞和事故數(shù)據(jù)的匯總整理,IT部門可以提高系統(tǒng)的安全性。通過數(shù)據(jù)中顯示的趨勢和相關性,便可了解內(nèi)部活動和外部事件是如何影響企業(yè)風險狀況的。這種數(shù)據(jù)分析有助于評估實施的項目(如打補丁和系統(tǒng)維護)究竟起了多大作用,同時確定哪些領域還需要更多投入。
漏洞管理計劃的另一個好處,是能幫助企業(yè)達成合規(guī)任務。各種技術標準、業(yè)務框架、法規(guī)(如薩班斯·奧克斯利法案(Sarbanes-Oxley))及針對特定行業(yè)的框架(如健康保險流通與責任法案(HIPAA)和污染控制指數(shù)(PCI))等,都推動了企業(yè)加強控制并提交有關管理成果的報告。有效的漏洞管理計劃不僅可以幫助企業(yè)證明自己的控制措施滿足合規(guī)要求,還能在出現(xiàn)合規(guī)問題時為管理層敲響警鐘。在成熟的漏洞管理程序中,各種工具和數(shù)據(jù)相關性能夠提取多樣化的統(tǒng)計信息(如缺省密碼長度、過期時限及復雜度要求等),并將這些信息納入到合規(guī)報告中。
然而,我們觀察到,雖然一些企業(yè)在安全工具和掃描軟件的全面部署上砸下了很多錢,但似曾相識的糟糕結果還是月復一月、年復一年地不斷重現(xiàn)。
那么,我們要怎樣做才能打破徒勞無功的宿命呢?以下便是至關重要的幾個步驟。
第1步: 對收集的數(shù)據(jù)進行整合
漏洞管理程序的有效性很大程度上不僅取決于所使用的技術,還取決于各組件的整合程度。漏洞識別系統(tǒng)(如漏洞掃描軟件、系統(tǒng)策略及設備配置審計工具等)為數(shù)據(jù)收集提供了基礎工具,但將收集到的數(shù)據(jù)與變更管理軟件緊密地整合到一起也是必要的。
配置管理、補丁管理以及身份和訪問管理工具不僅可以將系統(tǒng)維護流程自動化,同時還能讓人們實時監(jiān)控系統(tǒng)和設備狀態(tài)。將這些產(chǎn)品和漏洞識別工具整合到一起,企業(yè)便可對整體環(huán)境的漏洞和風險有一個全面的了解。不過,說歸說,要將系統(tǒng)維護工具和漏洞識別系統(tǒng)整合起來談何容易。
整合工作的關鍵,是要確定哪些因素對漏洞管理計劃至關重要。我們建議采用自上而下的辦法。企業(yè)應該列出一個實際使用的系統(tǒng)和數(shù)據(jù)的清單。關鍵的利益相關者應當對系統(tǒng)狀態(tài)進行審查,并評估IT組織部署變更的業(yè)務能力,為實現(xiàn)更高的安全水準提出更高層次的問題。比如說,企業(yè)在某個特定區(qū)域部署了多少Windows系統(tǒng)?Apache系統(tǒng)的漏洞出在什么地方?當IT團隊回答諸如此類的問題時,他們應該收集到必要的相關信息。
只有這些問題得到解答后,才可考慮采用其他附加技術。
第2步:制定優(yōu)先級
在IT組織中,優(yōu)先級的重要性顯而易見,但往往只有真正出現(xiàn)問題了,它才會引起人們的重視。毫無疑問,在部署漏洞管理時,優(yōu)先級的排列必須一目了然。這通常意味著對資產(chǎn)進行分組,以提高數(shù)據(jù)收集效率,或是對責任人進行分組,以便使報告更具相關性和可操作性。各組通常是根據(jù)區(qū)域、職能或技術來歸類的。在確定安全狀況時,資產(chǎn)分組應該與業(yè)務功能保持一致。各組必須規(guī)模適當,易于管理,同時責任明確。
在減少受攻擊面的問題上,責任人應包括IT經(jīng)理、數(shù)據(jù)中心負責人以及其他負責維護系統(tǒng)安全和完整性的IT人員。在處理企業(yè)范圍內(nèi)的安全問題時,責任人通常包括安全組織的成員、內(nèi)部審計員以及業(yè)務單位。以合規(guī)為導向的責任人應當配合那些專門負責合規(guī)執(zhí)行和報告的人員。
第3步:不斷完善
要想持續(xù)地完善系統(tǒng),企業(yè)必須了解單個因素如何影響漏洞管理程序目標的實現(xiàn)。上表列出了7個與漏洞管理目標相關的因素。
在確定安全狀況或合規(guī)水平時,高質(zhì)量的數(shù)據(jù)至關重要。如果說有漏不報會造成虛假安全感的話,那么低質(zhì)量數(shù)據(jù)就可能會導致誤報,也就是說明明不存在漏洞卻發(fā)出警報。當減少受攻擊面成為當務之急時,IT部門應該經(jīng)常收集數(shù)據(jù),但在確定安全狀況時,就不必那么頻繁地收集數(shù)據(jù)了。
要了解安全狀況、漏洞削減項目的成效以及與合規(guī)相關的活動,就應當對趨勢有所掌握。趨勢信息可以顯示IT組織的風險狀況如何隨時間的推移而變化,外部事件(如漏洞和補丁發(fā)布)如何影響企業(yè)的安全狀況。(信息周刊)
- 1數(shù)據(jù)安全:下一代數(shù)據(jù)保護解讀
- 2哈爾濱泛普OA軟件的功能區(qū)域介紹(概念說明)
- 3IDC:云計算平臺只是提供云服務的第一步
- 4虛擬化:似乎醒了,實際還在睡
- 5解析云計算安全服務的利與弊
- 6服務器虛擬化技術遭可靠性的挑戰(zhàn)
- 7探討精細化無線網(wǎng)絡覆蓋的趨勢
- 8溫故知新 盤點改變IT安全歷程十大里程碑
- 92009年存儲行業(yè)的三大社會化趨勢
- 10新時代 新安全 看安全技術發(fā)展趨勢
- 11企業(yè)數(shù)據(jù)中心里的“綠色生活地圖”
- 1209年中間件:行業(yè)細分受寵 配置化引領潮流
- 13虛擬化項目實施前需考慮這十個問題
- 14“開源”概念相關理論與其應用的探討
- 1509年縱觀企業(yè)網(wǎng)絡管理發(fā)展新方向
- 16集成備份 最大限度發(fā)揮IT預算
- 17標準參考:常用的各項信息安全標準
- 18淺析語音識別技術及其發(fā)展
- 19企業(yè)實施數(shù)據(jù)虛擬化的十宗罪
- 20云計算促進健全現(xiàn)有的IT管理體制
- 21虛擬化部署成功的七大秘訣
- 22八種方法“綠化”企業(yè)現(xiàn)有數(shù)據(jù)中心
- 232009年中國災備行業(yè)12大趨勢
- 24OA結構是 “四個網(wǎng)絡、兩層平臺、一套應用、一個門戶”
- 25麥肯錫報告:云計算不適于大型企業(yè)
- 26Java中泛型的理解以及等價實現(xiàn)
- 27下一代數(shù)據(jù)保護具備三個關鍵特征
- 28網(wǎng)絡安全新舉措 對抗DDOS攻擊
- 29能源化工行業(yè)OA軟件基本方案概述
- 30虛擬化技術拯救數(shù)據(jù)中心的網(wǎng)絡環(huán)境
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓