网络安全问题的答案.docVIP

以前，只有it部门那些最懂技术的成员才明白it安全。在it部门的办公室之外，病毒、木马、蠕虫这些词都不会被提及，管理层也并不关心黑客和僵尸机，董事会根本不清楚什么是零日攻击，更不用说零日攻击能带来多大的危害了。然而，现在，计算机以及随之而来的各种威胁成为几乎每一个单位非常普及的一部分，it安全也慢慢地变成了一个被广泛关注的商业问题。人们所熟悉的传统的it安全解决方案通常只包括最基本的普通的防火墙，再加上杀毒软件、扫描系统、入侵监测和身份管理。但是，现在，安全产品的范围很广，涵盖了安全的各个方面，从最细节性的到最宽泛的、遍及网络的防护措施。此外，很多企业都选用标准的应用程序和软件，比如windows的软件，他们都会同时安装一个补丁管理程序。这就保证了能为他们的服务器或客户机及时打上必威体育精装版的补丁，从而可以解决软件内存在的任何一个漏洞。无疑，这些安全方案的存在是有作用的，通常情况下也足以保护主要的it设施，但同时，这些方案也很令企业、员工，尤其是it部门头疼。安装、执行、维护这纷繁复杂的解决方案通常是非常昂贵并且非常耗时的。it部门的员工花费时间去更新补丁、去配置防火墙，而不能做可以创作收益的事情。安全需求的优先级很难确定，常常导致浪费资源在次要问题上，特别是打补丁这件事，如果对问题的孰重孰轻没有很好的理解，那么很可能打了补丁的是无关紧要的漏洞。相反的情况就更加糟糕了，那就是，未给高危漏洞及时打上补丁，整个网络暴露在危险之中。除此之外，病毒预警、补丁更新及其它一些安全问题总是以很高的频率发生，企业及其it部门很难跟上这步伐也是不足为奇的，这就不免会留下灾难性的隐患。那么，对于想要以高效的经济的方式保护自己的网络和机器的企业来讲，什么才是真正的出路呢？答案就是自动化。上面提到的大多数方法都可以做到自动化：补丁自动打到机器上、杀毒软件自动扫描病毒和蠕虫。it管理者们所需要做的事情只是静静地坐在那里，享受这自动的一切。但是很不幸，问题远不像看起来那么直截了当。某些类型的安全问题需要频繁更新补丁，这必须手工操作；而有些更新和有些特定的系统不兼容，这就需要更加仔细的监控。通常，安全软件也不够智能，不能依靠它们处理异常或突发事件，它们做不到像人那么灵活。对某个站点的访问量猛增可能被误认为是零日攻击，或被误认为是恶意入侵。 为了避免上述情况的发生，就需要一个更加全面的解决方案，可以把安全和企业目标结合起来，能够更加高效地管理风险。安全风险管理（security risk management, srm）应运而生，它可以帮助解释复杂的安全问题，解释成易于消化并备份的风险术语。 ? 引领业界的分析师们把安全风险管理定义为这样一个完全的过程：该过程包括：理解威胁、给漏洞划分优先级、限制可能的攻击带来的危害、理解在目标系统上做改变或打补丁给系统带来的影响。srm解决方案把多种不同的信息资源和技术集成在一起并且对之实现自动化，从而实现更为高效的漏洞管理过程。srm还加入必要的分析，以做出更加智能的决策，在攻击发起之前对企业的重要资料进行有效的保护，同时还不断验证并提升对抗风险的能力。一个srm过程包括三个关键步骤： 1 风险评测（risk assessment） 风险评测是发现风险并对风险及其带给企业的影响进行评估。这个过程中，需要一个综合的安全方法：定义各种威胁的源头和姿态；搜集漏洞扫描数据并将其标准化；从防火墙和路由器搜集路由和访问信息；以企业术语定义资产分类。2 降低风险（risk mitigation） 这个过程包括对问题划分优先级、评估来自“风险评测”过程降低风险的策略，实施适合的方案。这里需要引入企业影响分析方法：在网络路由的环境中对漏洞建模；实施模拟攻击，来揭露对企业存在最大潜在危害的隐患；计算风险暴露标准、建立标杆（benchmark）；分析降低风险的方法。3 风险测量（risk measurement） 风险测量决定安全策略的有效性，并反复执行上述两个过程，以求将威胁和漏洞最小化。在这里需要一个规则的roi方法：执行风险分析；在行动之前，要评估损益；向交换管理系统（change management system）发布工作流票；向安全、it部门、cico、cio、企业高层、 审计师们分发报告；重复数据采集和分析过程并将之自动化，以保证能够跟上网络上不断发生的变化以及新引入威胁的情况。这个方法可以保证安全系统的持续更新，还可以向it部门提供清晰的记录，以便到位地监测并论证不同的安全过程。该方法使企业对漏洞有全面的了解，并可以准确评估他们所面临的风险，还可以确定问题的优先级，采取有效的补救措施。it部门不会再把时间浪费在不必要的事情上，而是可以把宝贵的时间花在其它能够提高效率的地方。也许，最重要的是，从隐患被识