俗话说:"道高一尺,魔高一丈",IT系统的安全性问题之所以让企业头疼,是因为指望通过一种方法或者一个安全软件,一劳永逸地解决所有安全问题是不可能的。安全性问题永远都存在,而且会不断出现新的问题,这需要企业始终保持警惕。
安全事件回放暴露严峻问题
2007年刚刚到来不久,很多企业就被一只憨态可掬,颔首敬香的"熊猫"侵袭,这只"熊猫"就是几个月来蔓延网络世界的"熊猫烧香"病毒。
2006年12月,几名窃贼从波音公司一名员工的办公桌上偷走了一台笔记本电脑,其中载有38.2万名现有和退休员工的个人信息(包括社会安全号码和家庭住址在内)。
2006年5月,一伙盗贼从一名美国退伍军人事务部工作人员的家中偷走了一台笔记本电脑和硬盘,其中装有2650万名退伍和现役军人的出生日期和社会安全号码。
类似的例子不胜枚举,不论是病毒、数据丢失,还是垃圾邮件等等企业IT系统的安全性问题,都给企业敲响了警钟。其实,IT系统的安全性一直是企业信息化过程中最为关注的问题,但也是他们认为最为棘手的问题之一。IBM在2005年和2006年对企业信息安全主管的两次调查都显示,信息安全始终在企业关心的问题中排名首位。
《Information Week》研究部和埃森哲咨询公司在2006年合作进行的第九年度"全球安全调查"中显示,在中国,有23%的公司表示其客户数据安全受到威胁,另有27%的公司遭受了身份窃取形式的攻击。受访的2193名安全专家和商业科技经理中有48%的人表示:对安全的复杂性进行管理已成为当务之急。
在《Information Week》和《Optimize》联合发布的《2007年展望》中,将反黑客列为2007年CIO的重点工作。超过半数的IT经理表示,升级安全业务流程及安全软件是今年的战略重点。保护数据安全也是他们2007年比较重视的一件问题,数据加密软件将一下子变得炙手可热,因为有38%的企业将之列入今年计划部署的软件项目清单。
不久前,Gartner发布了年度安全软件市场增长评估报告,报告称2006全年,安全软件的销售额为82亿美元,并预测2007年,销售额将增长10.7%。但该报告同时指出,除了传统的基于签名的防病毒技术之外,IPS(入侵防御系统)、网络行为监控工具和NAC(网络访问控制)等更为主动的防御应用将发挥更大作用。
网络安全的旧麻烦新问题
就"熊猫烧香"病毒肆虐网络事件来看,今年企业在信息安全问题上不能有丝毫松懈。Websense公司发布的2007年安全预测也显示:网络犯罪、Web 2.0带来的安全问题将是今年最大的安全威胁。从报告中我们总结出了2007年关于企业IT系统安全的5点最值得关注的问题:
一、垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的。据说,2004年,比尔·盖茨(Bill Gates)在瑞士参加 "世界经济论坛"的一场讨论会时,曾对与会人员许下承诺:"从现在起的两年时间里,垃圾邮件问题将得到解决。"但是2006年9月,赛门铁克公司(Symantec)发布的第10期《互联网安全威胁报告》显示,垃圾邮件仍然是困扰很多企业的一大难题。而Gartner最新的报告也预测,2007年销售的安全软件中将有53.8%,约为49亿美元的销售额属于反病毒软件厂商,比如赛门铁克、McAfee、Trend Micro、Sophos、卡巴斯基、Panda、微软和CA等。所以2007年,垃圾邮件和病毒仍然不可避免。
二、2006年,虽然"反流氓软件联盟"在与雅虎中国、中搜、千橡等的"流氓软件"官司中,均因证据不足败诉,但是它的成立,说明了流氓软件(广义上也可以说是恶意软件)的危害已经到了一定的程度。在一场防治流氓软件的研讨会上,国家计算机病毒应急处理中心主任张健将四处泛滥的流氓软件直斥为"危及全球软件用户的一大公害", 赛门铁克于2006年9月发布的《互联网安全威胁报告》中也指出,在报告的前10大安全风险中,有8个是广告软件程序。Gartner于近期公布的2007年和以后几年全球IT行业所作的十项预测中,有一项预测就是:"到2007年年底,全球75%的企业将受到恶意软件的感染"。由于流氓软件具有一定的实用价值,处在合法软件和电脑病毒之间的灰色地带,CIO们更应该严加防范。
三、CIO的反黑客之战似乎永无宁熄之日,而且黑客一般和病毒"狼狈为*",很不好对付。《Information Week》和《Optimize》联合发布的《2007年展望》中显示:"超过半数的I
T经理表示,升级安全业务流程及安全软件是今年的战略重点。"虽然这个数字无法和2年前的82%相提并论,但是黑客仍然是CIO们2007年的一大敌人。
四、信息是企业资产的一部分,现在的信息海量增长,数据安全是企业越来越重视的一个问题。而且,美国萨班斯法案的出台,让企业对信息的管理更加重视,在信息管理方面,《萨班斯法案》强调了三个核心内容:即信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问。中国企业的信息安全意识也在慢慢加强,保护企业数据安全是CIO们2007年的一大职责。
五、Web 2.0站点正在不断增长,这类站点的特色是内容不断变化,这种特点决定了Web2.0不仅监控非常困难,而且很难确保相应的安全。因此,Web 2.0站点在攻击面前显得特别脆弱。
徐榕生:安全意识最重要
那么,面对不断袭来的安全威胁,除了购买安全产品以外,我们还应该做些什么呢?中科院高能物理所计算机中心研究员许榕生就指出:"安全意识最重要!"
徐榕生谈到:"安全设施的建立只是企业信息安全的第一步,如何在构建完成的安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断深化企业的全员信息安全意识将处于更加重要的地位。光*技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,所以企业的管理者应该有安全意识,重视自己企业的安全措施。这些安全措施包括,培养员工的安全意识,让员工养成良好的上网习惯,比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行培训也很重要,比如公司的网络管理员,每天战斗在第一线,没有及时的技术知识更新是不能胜任这个工作的;另外,对于重要数据,一定要做好数据备份,一些重要数据一旦没了,会导致灾难性的后果。"
目前,很多公司都采用了设置操作系统权限的方式来管理员工电脑。用户没有安装任何软件和修改注册表的权力,也没有使用系统盘的权力,这是一种比较有效的手段。在这方面,左丹奴集团的CIO侯彤的经验之谈是:系统和软件都是统一安装的,这样可以大大减少非法侵害。(X229)
