为了解客户的安全现状,并提高客户的安全意识,首创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明,这些客户所有的业务部门都或多或少存在着安全漏洞,其中高风险漏洞占42%,中风险漏洞占28%,低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞,视而不见还是立即行动
"此次扫描主要是针对黑客的攻击行为,"首创网络安全产品经理钟博介绍说,"我们选择这种远程的网络扫描的服务活动比较容易开展,类似于黑客攻击的第一个阶段,还未涉及到内部攻击。"在发现客户漏洞之后,首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析,以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的,比如采用Windows操作系统平台的企业漏洞特别多;也有可能是应用系统本身的问题,比如数据库、Web系统和ERP应用软件等等。在应用系统方面,数据库的漏洞比较多,其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞,大多可通过从网上下载补丁程序的方法加以解决,有些客户没有下载补丁程序,因而容易被攻击。也有客户把用户访问口令设成了空的,也容易被攻击。这些漏洞本都很容易避免,之所以出现,主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户,都是经常使用IT设备和网络应用的,其中,本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞,比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击,其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描,了解其被攻击的原因。通过扫描,发现主要原因在于这个传媒机构把操作系统装好之后,采取了默认配置,并没有做安全性增强方面的考虑和设置,其主机上的漏洞都是一些很常见也很容易弥补的。此外,制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互,对于这样的企业,如果不做好全面的安全规划并采取相应的安全手段,也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析,客户的反应五花八门:有的客户一接到扫描的结果,发现自己的网络安全存在这么多的问题,非常着急,立刻要求首创为其提供相应的解决方案;有的客户要求首创帮助把漏洞堵上;也有客户说,卖我们一个防火墙吧;还有客户没有反应,好像在忙着理顺自己的网络,无暇顾及安全问题。
安全防范,投入多少并采取哪些手段
有两个问题需要企业考虑清楚,一是企业要保护的信息到底值得投入多少;二是采取什么手段。网络时代,企业要连接到互联网上与外部沟通。任何企业无论大小,总是有些信息是不希望被外界知道的,每一个企业都有必要采取一定的手段保护自己的信息,防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全?
信息的价值其实不太好量化。钟博认为,那些有关产品生产的科研数据,如果被竞争对手掌握,很快抢占市场,可能造成经济利益的巨大损失,那么可以说这些信息非常有价值;还有企业的人事信息和财务信息,一般来说也是需要保密的;也有一些信息可能被别人看到也没有太大问题。信息的价值是可以分级别的,针对信息的价值企业考虑是否投入相应的人力、物力和财力来做相应的保护。一般来说,在一个企业的网络的建设中,在信息安全方面需要15%~20%的投入,对于不同的行业,比例会有所不同,有的企业可能会更高,这主要取决于企业需要保护的信息价值有多大。
在确定需要多少投入进行信息安全建设之外,还要考虑如何来保护和合理地分摊投入。主要有安全管理,安全技术和产品这两个方面。企业一方面要与提供安全产品或者解决方案的厂商共同制定一个合理的安全管理制度,另一方面,要很好地利用安全产品,让它在企业安全防范中发挥作用。
安全管理就是制定安全策略,安全管理制度。比如员工上机制度,机房管理制度等等,不同的企业具体情况不同,需要网络安全厂商或者解决方案提供商同客户共同协商制定。如果客户对此不太了解,就需要安全厂商先提出方案,然后由客户认可之后在企业内执行。而对于安全技术和产品来说,很多企业认为,购买了一个防火墙、防病毒的产品,把它们加入到信息系统里面,就认为万事大吉了。但实际上,很可能由于管理方面的不当,不能够起到很好的保护的作用。
安全事件的产生源,分为内部和外部的两种,如果是内部人员有意要破坏信息,可能要比来自外部的更轻车熟路。首先要准确地区分什么是内部和外部。一个公司内外隔离的点,一般是企业内部网络与互联网的接入点,在这个点上可以做防火墙等设置。在整个企业实体的内部,还要做一些具体的划分,核心的部分要作为内部的内部,即使是内部员工也不可以随便访问。在内部解决安全问题常见的手段就是入侵检测,防止入侵行为出现。有重要的数据存储的部分,需要数据完整性的保护,需要防病毒、身份认证和审计等等安全手段。找准隔离和保护的点在哪里,这样才知道相应的安全设备和手段应该用在什么地方。
安全意识淡薄、无序竞争的现状有待改进
2001年,安全产品的市场份额已经达到40亿,2002年将会继续增长,安全市场成为整个IT业的一个亮点。国内的安全厂商也很多,但是存在无序竞争和恶性降价的情况。在安全产品竞争中,有些地方存在地方保护主义。在产品与服务的意识上,中外企业也有差别。首创网络是一家网络安全解决方案提供商,在为客户服务的过程中,钟博觉得外资客户更看重安全服务,比如安全扫描,入侵检测数据的报告,以及出现某种问题的分析,甚至提出租用安全服务提供商的设备,而国内企业比较重视安全产品的拥有。
目前,整个安全市场的发育不是很平衡,大多数客户认识到的安全产品只有防火墙和防病毒产品。实际上,信息安全领域还有很多其它产品:比如身份认证、保密产品、VPN(虚拟私有网)、关键行业使用的防电磁泄露、信息隐藏(数字水印)、政府部门需求比较多的物理隔离等等。
在首创网络的这次安全评估报告总结中,我们可以看到,企业普遍缺乏安全意识,不知道自己其实面临很大的危险,专业知识不够,对安全产品的选择、使用和设置不当,没有合理的安全管理策略和机制。如何提高企业的安全意识呢?钟博认为必须要让企业有切身的面临危机的感受。通过首创网络的这次扫描活动,让客户意识到,他的网络中肯定是存在这样那样的漏洞,并且有具体的描述,这样多多少少都会引起客户注意。这其实也是首创网络在积极地提醒市场的一种行为。
企业在考虑信息安全问题的时候,如果信息系统正在建设的过程之中,这时需要把相关安全问题考虑进去。如果信息系统已经建好了,只是做安全增强的工作,这时可能就比较困难,可能需要对整个系统的参数配置做一些修改,客户有时会为了避免麻烦而放弃安全方面的考虑。对于信息系统已经建好的企业,最好是能够及时地意识自己的安全问题,尽量做一些相关的调整。
