在大多数安全厂商呈现给用户的“信息安全菜单”上,如何有效满足中小企业的胃口一直是令人头痛的问题。
从整体来看,中小企业群体无疑是国家经济中最具成长性和活力的巨人,然而,信息安全却成为影响这个巨人进一步发展的“阿喀琉斯之踵”,随着信息化、网络化的深入普及,这一问题也变得日益严重,什么才是针对中小企业信息安全的最佳实践呢?
深陷泥沼
近年来,多个权威调研机构的信息安全调查报告都为我们显示了一条令人不安的曲线,那就是全球范围内针对中小企业的安全事件持续攀升,尽管在这方面的投入不断增多,但情况依然难以令人乐观。
从外部环境来看,威胁中小企业信息安全的因素正变得越来越复杂,在传统的概念中,病毒是导致安全问题的罪魁祸首,大多数中小企业决策者认为,只要防止病毒传播就可以完全保障业务运行的安全性。然而,实际情况是,中小企业的信息化环境正因业务扩张而变得复杂。而环境越复杂,风险就更具多样性。所以仅仅防止病毒传播的单一防护手段,已经远远不能保障中小企业运营环境的安全。
除了病毒和蠕虫之外,现代中小企业需要面对的安全威胁还包括:
间谍软件与木马
这些软件程序可以捕捉密码和其它个人信息,使未授权的远程用户能够访问安装了特洛伊木马的系统。企业员工可能在毫不知情的情况下载了恶意网站“操控”的间谍软件。另外,现在网站上经常出现的弹出式广告也并非仅仅令人生厌,某些弹出广告会自动在电脑上安装间谍软件和其它可能的恶意软件,其中一些软件会跟踪用户访问过的网站,在不经意间泄露企业的重要信息。
混合型威胁
蠕虫、病毒如果和其他安全威胁组合起来,其危害性将会加倍。与一般的蠕虫病毒相比,混合型威胁的传播更加容易和更加快速,因为这种病毒的传播并不需要计算机用户任何主动的操作。
拒绝服务攻击
如果企业的运营离不开对外的商业Web服务器,那么拒绝服务攻击将是严重的威胁,此类攻击会向服务器发出大量伪请求,造成服务器宕机。在很多情况下,攻击者需要大量的计算机和带宽实施这种攻击,于是他们开发了“僵尸”网络,利用蠕虫感染不同网络,让黑客能够利用其计算机和带宽发起攻击。这种攻击称为分布式拒绝服务(DDoS)。
电子邮件威胁和网页仿冒
互联网上大多数的安全威胁是通过电子邮件传播的,网页仿冒是一种新的但却发展迅速的现象,它试图通过电子邮件来盗取重要信息。用户会收到看起来很像来自于合法机构,如银行的电子邮件,鼓励他们点击网页,一旦人们点击进入这些非法站点,就会被欺骗回答一些问题,导致顾客泄漏账户的机密信息给欺诈者。
来自内部的威胁
公司员工也可能带来风险。危害公司或盗取公司信息的威胁可能来自外部,但更常见的是问题来自于疏忽,或者不应该参与信息管理的人却掌握了它。很多统计结果都显示,企业的内部安全问题给公司造成了巨大损失,而萨班斯法案等也在这方面做出了更严格的要求。
从上述的多种安全威胁我们可以看出,中小企业在信息安全问题上,正在陷入前所未有的困境挑战之中。
从“痛点”到“拐点”
中小企业的信息安全问题之所以棘手,来自一个显而易见的矛盾:一方面,中小企业在资源投入上相对匮乏,没有充裕的专项资金和专业的安全管理团队;另一方面,如上所述,中小企业和大型企业同样处于复杂多变、充满风险的环境中,安全威胁并不因企业的规模而放大或缩小。这种投入与需求上的矛盾,使得面向中小企业的安全解决方案必须有着很强的针对特性。
然而从现实情况来看,很多厂商的中小企业方案只是简单地将面向行业用户、大型企业用户或者个人用户的方案简单修改、更换包装,这显然不能为中小企业提供完善的防护。
赛门铁克认为,面向中小企业的方案,必须充分发掘中小企业的应用方式及习惯,设计出体现其规律和特点的真正适合中小企业的产品,才能从根本上满足中小企业信息安全需求。
对于中小企业来说,信息安全虽然日渐复杂难以应对,但厂商提供的方案并不该牵扯他们过多的精力,因为中小企业更需要把主要的精力都放在他们的主导业务上,和大公司相比他们也没有那么多的资金人力投到加强安全方面。
所以,赛门铁克的中小企业方案将抓住这些特性,开发易于管理而且安全级别比较高的产品。
另外,对于中小企业而言,运营的最大资本莫过于客户信息和用户记录,以及与战略计划和财务运营密切相关的数据。这些数据如果被破坏或丢失,不但会使中小企业的整体业务受到影响,阻止利润增长,也将导致客户和合作伙伴关系的流失。因此,针对中小企业的安全方案,必须从多个渠道、多个角度考虑到对于这些宝贵数据的防护,只有采取多种安全手段来保证业务数据和信息的安全,才能使公司运算网络远离恶意代码和入侵者。这就要求未来针对中小企业的产品趋势也是产品集成度不断增高,包括防火墙、入侵检测、防病毒过滤、VPN内容防垃圾邮件这些功能会整合在一个防护设备当中。
显然,低成本、高集成、易管理的防护理念如果完全实现,不但会治愈中小企业在信息安全问题上的“痛点”,更可以以此为契机,依赖网络快速发展主营业务,从而在受到同样困扰的竞争企业中脱颖而出。那么这套理想中的“安全铠甲”究竟应怎样获得呢?
完美铠甲
在为中小企业寻求贴身的“安全铠甲”之前,首先要细化其与运营环境相关的风险要素,主要包括下面几部分。
互联网接入:今天,大多数小型公司都连接到了互联网。小型公司只要在线,就会面临多种互联网威胁。如果没有准备好正确的安全措施,网络入侵者就会看到敏感的文件,并可能采取破坏这些文件的措施,在线且没有被保护的计算机都可能成为攻击的主要目标。
远程访问:如果能够在旅途中或家中访问与工作相关的重要文件,将可以提高一家小型公司的工作效率。安装防病毒软件和防火墙的远程计算机在建立这种与内部IT资源的远程连接时,必须使用虚拟专网(VPN)。
无线网络:对中小企业而言,无线网络因其灵活性和相对便宜的价格,而被视为高性价比的互联网选择。不过,无线网络带来的问题是,企图非法利用无线网络的人在增加,因为入侵者不需要以物理方式接触到企业的硬件,所以无线网络更易于被非法利用。再者,无线网络不需要在技术专家指导下就可以截获信号,所以,无线网络为中小企业运营带来便利的同时,也带来了风险。
在化解上述风险要素时,就必须采用多元化的防护措施,对以下每一部分防护的仔细甄选,才能为我们带来真正的“完美铠甲”:
防病毒 安装防病毒软件任何时候都非常重要。防病毒软件应该安装在所有的桌面和便携计算机上,包括那些在办公室之外用于建立网络远程连接的设备。一个好的防病毒解决方案,不仅能有效查杀各种病毒、蠕虫,还应该能够检测到间谍软件和广告软件。当然是只安装防病毒软件是不够的。因为我们必须检查新的病毒定义,并每周进行系统扫描,以防止病毒入侵;防火墙 通过阻止未经授权的访问企图,将入侵者挡在企业的网络之外。今天一些复杂的互联网威胁能够逃避市场上的基本防火墙产品。所以中小企业需要寻求能够提供入侵防护技术的高级防火墙,以主动阻止入侵威胁;内容过滤通过安装内容过滤软件 防止有害内容进入,并防止将保密信息发送到网络之外;入侵检测 对计算机或网络中发生的事件或流量进行监视,检测各种攻击和恶意行为,这样就可以在攻击发生之前将其阻止;VPN VPN 对建立安全的远程连接来说至关重要。通过用户授权以及对流出和流入企业内部IT 系统的数据进行加密,VPN 可作为进入企业网络的安全“隧道”,同时保护企业机密数据的安全性和完整性。
我们看到,赛门铁克针对中小型企业所推出的安全解决方案,很好地解决了上述的问题,例如Symantec Client Security 3.0 集成客户端安全软件,它可以保护企业免受病毒和黑客攻击,集成了自动杀除病毒、蠕虫和特洛伊木马、扫描 POP3 电子邮件和附件、提供集中的安装、配置和管理等多项功能。同时可以确保从远程 PC 进行的 VPN 连接符合公司安全策略。通过LiveUpdate可以自动下载新病毒定义。
由于中小企业用户关注的不应该仅仅是网络边界的安全。集成的、统一管理的安全控制平台将可以以更低成本、更高效率保护中小企业不受恶意威胁的侵害。赛门铁克的Symantec Gateway Security300提供了上述集成的安全功能,包括防火墙、入侵检测、入侵防护、内容过滤、VPN和无线局域网安全等6 项安全功能。这种中央集成和配置的方案,可以大大缩减中小企业的管理时间。通过使用预先打包的三种设置,在不牺牲安全保护的情况下占有最少的客户端资源。集成的解决方案还可以做到事前防治混合威胁,因为多种的安全功能集成使得系统在遭受恶意攻击时可以以单点信息包的形式提供快速全面的更新,这种更新方式更有效。也使得中小企业以最简化的方式,最大限度保障业务运营的安全性。
(t116)