访问控制隐患
安全漏洞导致的最常见结果便是网络和应用的瘫痪。而这对企业造成的经济损失难以估量。在那些曾出现安全漏洞的企业中,分别有四分之一的美国和欧洲公司以及将近半数的中国公司无法量化其财务损失。但很明显,损失极为惨重。
瑞士银行潘恩韦伯公司(UBS PaineWebber)的一位前系统管理员,即因在该公司的系统中部署了一颗逻辑炸弹而正在受审,其造成的损失非常高昂:全美约2,000台服务器出现宕机,8,000多名经纪人的工作被中断。该公司用于对系统进行备份并使其恢复运行的成本估计约为310万美元,其中包括用于支付加班以及其他应急措施的费用。此外,该公司也无法量化此次攻击对其营业额所造成的影响。超过半数的业务技术专家表示,当企业现有和以前的雇员企图危及系统安全时,安全技术、政策和培训在阻止其制造安全漏洞方面几乎起不到什么作用。与其他国家相比,内部威胁对美国公司来说更成问题。去年,将近四分之一的美国公司表示,授权用户和雇员是引起攻击的原因之一,印度公司、中国公司和欧洲公司的相应比例为22%、15%和11%。
许多IT安全经理表示,迅速膨胀的外部威胁占据了其太多时间,以致无暇顾及来自内部的攻击。西门子威迪欧汽车集团(VDO Automotive)信息安全管理员乔•戴厄尔(Joe Dial)表示:“那些人真是疯狂,很难阻止他们。”他又补充说,如果对内部安全威胁做出过激反应,还会阻止企业雇员使用其工作所需的信息。“我不能让安全问题阻碍生产力的发展,但这确实是个两难选择。”狄特摩尔表示,最大的内部威胁往往来自那些未经批准就滥用数据访问权限的系统管理员或档案管理员;但他同时也承认,采取措施防止他们这样做也并非什么上策。更艰巨的工作在于公司须对数据进行控制以及对外部威胁进行管理。
为了避免百密一疏,对数据访问的控制在某些特殊的行业已经引起高度重视。如从事软件外包的群硕软件开发(上海)有限公司(下称群硕)对数据的保护十分严格。群硕主要从事面向欧美的软件外包业务,为微软公司(Microsoft)、英特尔公司(Intel)等欧美大客户从事最新技术的开发,保密性要求极高。在群硕,不同的项目组分割在不同办公区,依靠门禁系统凭卡进入,谢绝外来人员入内,开发人员的电脑不能使用可移动存储设备,办公室里不设打印机和传真机。群硕董事长兼总裁刘英武笑称:“除了记在大脑里外,任何数据都没有办法带出办公室。”
在公司,内部控制访问正在变得越来越普遍。互助保险公司Amerisure公司(下称Amerisure)采用RSA安全公司的双重认证来保护其IT系统。同时,该公司也已开始采用思杰(Citrix)瘦客户机访问慧智(Wyse)终端,远程工作的员工不必再通过拨号上网了。这些终端既没有硬盘也没有软驱,这样用户就难以携带数据。“如果你盗走的是台瘦客户机,那就等于什么也没偷。”公司的企业架构师杰克•威尔逊(Jack Wilson)表示。Amerisure目前约有80台笔记本电脑投入使用,多数为经理级人员所用,威尔逊计划在明年初将这些笔记本电脑转换为Citrix瘦客户机。
在保护客户数据方面,美国公司要领先于其他国家的企业,其具体做法包括:提醒雇员遵守隐私标准(64%)、保护网上交易(52%)以及通信加密(42%)。几近半数的美国公司对雇员的内部电子邮件和网站使用情况进行监测,有多于四分之一的企业对即时通讯和外部电子邮件的内容进行监测。只有28%的美国安全政策规定:必须对客户数据加密;那些丢失数据的企业正因为缺少此类规定而损失惨重。而中国公司和印度公司的安全政策则更倾向于强调:必须对所有的客户数据加密。
在保护数据方面,身份管理系统等面向雇员的技术扮演着越来越重要的角色,有时它起着最根本的作用。医疗联盟最近将其雇员口令由原来的六位延长至八位,同时它也在考虑采用单用户同时登录多系统的做法。更先进的安全手段包括感应卡和生物测定工具,用于控制对由多个保健专家共用的工作站的访问。在医疗联盟这样的医疗保健环境中应用生物测定手段,有一个特别的问题,即有时用户会拒绝触摸传感器,以免沾染上细菌。狄特摩尔说,雇员不愿意脱掉橡胶手套来留下指纹。受访的美国公司中只有9%采用生物测定工具作为其访问权限控制系统的组成部分。
换个角度看安全
许多企业都在不断扩大安全开支,但并非每家公司都是如此。预计今年将有57%的印度公司、近一半的美国公司、42%的中国企业以及25%的欧洲公司会增加其用于信息安全的开支。据恒荣国际的高宏飞介绍,他所在公司今年在信息安全上的投入有所增加,占到整个IT预算的10%左右。这与全球信息安全调查显示相吻合:平均而言,目前企业中多于10%的IT预算被用于信息安全。
不过也不是所有行业都是如此,由于中国证券行业的不景气,中国的券商在信息安全方面的投入就显得捉襟见肘。中信建投证券有限公司副总裁周志钢介绍说:“由于证券行业普遍低迷,所以在信息安全上的投入减少。有些证券公司由于安全投入的不足,遭到病毒攻击,或者由于设备的可靠性问题,导致交易系统崩溃。”
埃森哲的麦克威尔森警告说:将安全开支作为管理经费或者业务成本处理,以获取更多资金投入的做法是错误的。相反,“关键在于要让大家明白安全的IT环境如何有助于业务的发展。”他说,“在线银行是信息安全起作用的最好例子,如果没有安全系统作为保证,没人敢将自己的账户信息放到网站上。”周志钢也认为,如果经营状况正常,券商一定会关注网上交易的安全问题。同样地,当企业寻求与合作伙伴建立安全的合作关系时,信息安全对供应链整合也是至关重要的。
镇北银行(Town North Bank)的IT开支日益增加。但其CIO加里•法勒(Gary Farrar)表示,很难确定其中到底有多少用在了信息安全方面。“我无法弄清楚哪些钱是用于信息安全的,”他说,“每次实施一个新项目,安全都在我们的考虑范围之内。”而在医疗联盟,安全预算在IT总开支中所占的比例甚至不足1%。狄特摩尔不得不为获得更多的预算而与公司所有其他部门,包括其他IT部门而争个面红耳赤。佛罗里达电力公司(Florida Power & Lights)将其IT预算的4%用于信息安全,但由于其正在部署用于身份和访问管理的用户配置管理系统,这一比例今年有望增加。
而且,企业几乎无法确定信息安全的投资回报率。客户数据系统出现一个漏洞,一下子就会花去企业上百万美元;而如果根本没出现漏洞,那么对完美工作的回报又是什么呢?用于评估安全投资回报率的主要方法包括:花在网络安全上的劳动时间、网络宕机时间的缩短、以及漏洞数量的减少。对此,群柏数码科技有限公司市场总监王慧呼吁企业换个思维前进,他说:“随着越来越多的企业和单位开始进行电子商务、电子政务、企业资源计划(ERP)、办公自动化(OA)等系统的部署,企业需要的是行之有效的安全架构来避免问题,或者说终结问题。企业应该系统地设计完善的安全架构,然后在关键节点投点小钱就好,这好过不断地去添置防火墙。毕竟保护整个国家的是整个社会的稳定,不是士兵手中的那几杆枪。”
好在有些企业已经开始告别“头痛医头、脚痛医脚”的被动局面。银河证券有限责任公司(下称银河证券)部署的企业安全计划(Enterprise Security Planning,ESP)就是一个有益的尝试。银河证券信息管理中心主任王恒说:“银河证券的ESP属于热门的安全运营中心范畴,该方案是一个企业整体的安全管理流程,如果该流程运用合理,是有效地解决企业的网络信息安全、管理安全等问题的最佳途径。”
其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤,但可能只是外强中干的“马其诺防线”。信息产业部电信研究院信息管理中心主任武骏说:“企业应该有信息安全的规划,按年度逐步实施。安全更多的是管理层面的问题,不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破,因此与花费昂贵的硬件产品相比,对内部员工进行良好的安全教育和风险管理事半功倍。美讯智网络安全有限公司中国区销售总监谢旭东说:“安全教育的手段非常多样,没有一个定式,不同的企业可以根据不同的情况发挥创新思维。”比如,在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训;编写员工安全指南和安全期刊等。谢旭东说:“事实上,最大的安全元素还是人,企业要激励员工参与到整体安全策略当中。”打开: http://www.qqread.com/erp/12/y245818.html 
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
