【IT168 专稿】国庆长假就在眼前,在策划假期休闲计划的同时,一个让人头痛的问题-假期企业网络安全,又摆在人们面前。假期是企业网络受到病毒和黑客攻击的集中时间之一,而且越来越多的黑客都想在假期在网络上大显身手,因此在假期前总结一下如何保障企业网络安全要点显得尤其必要。
最近引人注目的网络入侵和商业泄密事件表明,当今网络安全系统似乎比以往更加脆弱,并不是因为网络安全措施采用的技术不够先进,而是说网络入侵技术更加高明或者安全机制还不够健全。或许了解下面的五个保障网络安全的要点并根据网络状态采取适当的措施,就可以更好保障网络安全。
对于网络安全的最高秘密是什么呢?刚发生的万事达信用卡商业用户资料泄漏事件之后,每个人都会问到底是什么严重破坏了网络安全——当然这并不是每个人都知道的秘密。一位著名的国际网络安全专家曾经说:“这并没有什么秘密,只是有许多管理者和管理机构应该做的事情却没有做。因而这些网络安全事故和商业信息泄密事件的产生也是在常理之中了。”或许,这才是所有秘密中最重要的秘密。
即便是一些常识性的网络安全问题,也并不是所有的管理者和机构都能及时认识到。然而,其实大家认为不可思议的保障网络安全的最高秘密,就是下面一些看似非常简单的基本安全措施,而管理者和组织机构所要做的就是注意到它们,建立相应的管理机制,并且使得它们成为日常工作程序的一部分。
对网络安全和潜在风险进行评估
事实上有很多公司并不对网络安全的威胁和风险评估,他们还没有意识到网络安全对业务拓展和客户维系是多么的重要,也意识不到网络安全与公司收入和利润有着潜在的联系,而且也不知道自己网络安全体系非常脆弱。网络安全措施的作用就是用来预防可能存在的网络危险和弥补安全漏洞,但是制定并采取恰当的网络安全措施很难做到,除非能够知道网络安全正面临什么样的危险和需要弥补什么样的漏洞。一些公司和机构正在努力做得更好,试图对威胁和风险进行评估,但是大多数情况下他们根本不知道究竟有哪些设备和远程计算机登录到他们的网络,更不用说准确判断网络最脆弱的地方了。
这个问题包含两方面。其中一方面是说明公司网络扩展的方式并非有序扩展,有的公司为了满足快速增长的业务需求,网络设备迅速增加,网络规模迅速扩大,但是却很少考虑到了长远的安全问题。另一方面是与网络安全本身特性有关,只有遭受攻击最多的网络,安全措施才最完善。这就是网络安全的反作用,这个问题就像我们受到攻击的时候,我们会马上找到反击的对象并且在对手身上找到弱点,同样在网络安全方面,在网络危机发生之前,我们很难确切的知道网络正在面临什么样的危机之中。
制定非常好的的安全策略
对网络安全进行评估之后,就需要马上制定一个非常好的的安全策略,当然不能指望一次制定就很完善,这需要一个过程,并且安全策略永远没有最好,但是可以做到更好。在公司日常的工作中,关于公司管理程序和监管方面讨论的问题很多,但是关于网络安全策略方面的议题却很少,大家都不认为网络安全事故会发生在自己公司的网络必须指出的是,大多数公司都有一个网络使用方面的管理制度,比如要求员工不能在公司网络上使用即时通信软件、不能浏览非工作网站等等,但是这却不是一个真正的安全策略。
关键问题是,一旦经过风险评估后在你的安全系统里发现漏洞,你需要一个策略来弥补这些漏洞。只有管理者了解到可能存在的网络漏洞和可能发生的网络安全事故,才能告诉雇员应该注意什么,才能知道限制员工做什么,并制定相应的管理规范,甚至有必要求助于专业的网络安全技术公司去完善网络。
详细掌握网络使用状况
最好的安全措施是弄明白整个网络系统是如何工作的,究竟是谁有权限使用网络资源和获取信息。一旦可能的网络安全漏洞已经确定,要杜绝网络安全事故的发生,防止网络中的数据和信息不被窃取或删除,公司有必要对网络的整个状况和运行情况做一次彻底的检测。最大的安全秘密之一,它是一个秘密但并不直接与安全相关,就是你需要有一个工具,来是清楚的掌握并能持续地掌握公司网络的使用情况,例如使用者、信息权限和信息流向等等。
无论何时,一种新的网络应用都是最容易成为黑客利用的对象,比如VoIP或者即时消息都可能成为黑客们对网络发起攻击的媒介,但是不能因为VoIP或者即时消息还没有大规模应用或者在公司内部还没有大量的用户,就忽略安全的考虑。很多遭受网络安全攻击的公司,到最后发现整个网络的漏洞就是因为有个别员工使用了基于互联网的 VoIP或者即时消息服务,而之前网络管理者却根本没有意识到危害性。
要知道基于互联网的VoIP或者即时消息这些方便且费用低廉的通信方式,带来的不仅仅是语音或者文字信息,也可能带来各种木马程序和病毒。所以有必要了解每个员工都在使用什么通信方式来做什么,并告诉员工这些通信方式可能给公司网络安全带来的威胁。
意识到把工作带回家的危险
现在越来越多的公司需要和允许员工把工作笔记本电脑带回家或者让员工在家中完成工作,这时候需要通过互联网连接到公司的网络上完成任务。这种看似很自然的现象,实际上却意味着公司的网络安全问题已经延伸到了所有员工的家庭网络范围,保障网络安全的措施以及不能限于公司内部,员工在家庭之中借助互联网所作的任何事情也不能被忽视了。比如,公司可能禁止员工在办公室里禁止了即时消息,但是如果有员工在家庭电脑上使用这些即时通信软件,同时通过虚拟专业网登陆到企业网络上,这时候同样会对公司的网络安全产生威胁。
很明显,原有的各种网络安全制度和措施已经不能满足这种新的情况。几乎所有公司的网络安全部门都会说他们无法查看员工家中的台式电脑, 也无法强制要求员工在家中不使用即时通信软件。但是对安全要求极高的企业必须对此狠下决心,并采取措施。或许可以这样理解,只要对网络安全要求极高的企业要获得全面的安全保证,而且需要员工通过Citrix访问公司工作网站,那么企业不得不资助员工购买并且使用反病毒软件和防范spyware的软件,就像给员工支付移动电话费用补贴一样。
注意到移动设备已经更加智能
现在已经不能从以前的眼光去定义一部手机了,从PDA到功能强大的移动电话,它们都越来越PC化,也有越来越多的重要数据和信息从存储在里面。但是绝对敢打赌说,很多人在移动电话或者PDA上根本没有防病毒保护,而现在有很多病毒可以攻击移动电话和PDA,解决办法是马上安装相应的防病毒软件,如果不知道在那里找到合适的防病毒软件可以拨打移动电话或者PDA的售后服务电话咨询。
要不断的告诫员工不要再连接到公司网络上的移动设备中安装未经验证的软件,它是移动设备首要的病毒源。如果收到一封来自不熟悉的公司或者个人的电子邮件,不要打开它,相反要删除。
这些移动设备变得越来越智能化,同样对网络安全威胁也越来越大。比如Java电话,可能成为公司网络安全的又一个严重威胁,如果这些电话中的一个被感染,怎样防止网络中其它的设备不被感染呢?要承认移动设备仍然是很难处理的安全问题,它们比固定在公司内部的各种网络设备更难管理。尽管企业“黑莓”系统有个简单的电子邮件加密功能,但是大部分企业级的网络产品并没有完善的安全机制。
总之,千万不要再认为有了防火墙就可以使网络安全问题万无一失了,现在企业的网络并非象想象中那么安全。究其原因,是由于现有的企业网络安全基础设施存在缺陷,因为它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播,而是隐藏在复杂的应用层数据中,通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播,但企业现有的安全设施还不能对这些传播渠道进行控制。意识到了网络安全方面最重要的五大要点,其实是大家都已经知道的秘密,在假期前马上采取措施,就可以不断完善安全机制,并在与黑客们的竞争中处于不断优势的地位。