论文部分内容阅读
全球经济一体化的进展不仅带来了市场的国际化,同时也导致了竞争的国际化,尤其在我国加入世界贸易组织之后,这种竞争更是日趋白热化,在黑客和病毒全面威胁Internet和企业网络时,如何向客户展示您的服务比其它竞争对手更加安全、可靠呢?树立和增强企业的信息安全形象是非常必要的。
虽然据不完全统计,仅2001年,国内信息安全厂商数量由年初的100多家增加到1300多家,进入2002年以后,这种势头仍有增无减,在网络安全领域的投资又掀起新一轮热潮,但对于中国广大企业群体来说,网络信息安全的重要性直到2001年“红色代码”爆发后才开始引起广泛的重视。
然而,最近有资料显示,全球维护网络与计算机安全的软硬件市场总体达70亿美元,而中国市场不足0.5亿美元。多数企事业单位的安全防范措施仅仅是在每台机器上装一两个单机版杀毒软件。但是随着信息化建设的逐步升级,越来越多的单位已经开始将自己的日常业务转移到电子平台上,企业不仅要对某些台式机进行防护,对整个网络环境的安全防护也应尽早作出安排。
信息安全产品市场由个人用户和企业级用户市场构成,在国外成熟的市场竞争环境下,包括信息安全产品在内的软件产品的营收遵循了“二八原则”,即20%来自个人用户市场,80%来自企业用户市场,但中国的现实情况是“倒二八现象”,即20%的企业级用户和80%的个人用户,这不仅与中国社会的信息化水平有关,安全市场总体上还处于概念的炒作阶段,市场还局限在金融、电信和证券几个以数据为关键业务的行业,企业市场基本上没有启动。但对企业来讲,信息安全已经是个不可回避的问题。
近日本刊记者专程采访了数家信息安全产品及服务提供商的专家,就企业目前在信息安全方面存在的问题和困惑进行了分析和探讨。大家的共识是企业应该有所顿悟,尽快行动起来,构筑自己企业信息安全的长城。
培训是安全投入的重点
速度、兼容性、信息共享毫无疑问都是企业信息化必须考虑的部分,但前提是安全。企业是无数个信息点的连接,串成一整套信息系统,其运转、维护和扩展必然会有安全方面的要求。所以,企业信息安全和企业基础设施具有同等重要的地位。
交大铭泰软件有限公司孙明说,提起安全,许多人立马会想到病毒、黑客什么的,其实这些都只是信息安全的一个层面,它还包括许多方面的内容。目前企业不单是网络建设方面存在安全漏洞,最主要的是人工使用计算机,也就是操作失误的问题。许多计算机安全问题都可以通过技术手段来解决,但许多隐患来自使用操作的坏习惯, 这是再完善、再强大的技术手段也无能为力的。有些坏习惯给系统带来的危害有时甚至是致命的。企业最应该加强的是安全意识。必须加强对员工的培训,向每个员工灌输企业信息安全的重要性,尤其是网络技术人员以及主管信息化建设的领导更应该注意这个问题。因此我们特意设计了一个安全手册,列举了100个规范操作问题。对照一下,你就会明白在日常应用中有多少漏洞。其次,企业在用一个操作系统时要进行一定程度的优化,提高安全级别,这样可能会限制一些操作,但是整个公司整体的安全级别提高了,利远远大于弊。设立长期的快速反应服务的机制是非常必要的,在企业内部应该形成这样的一种服务:一方面通过网关级的安全产品,对信息安全集中管理,并由专人来管理快速应急服务,另一方面还可以去找一些从事信息安全服务的公司,定期检查,报告隐患,针对薄弱环节及时调整。另外为了保证工作效率,备份机制、冗余热备份机制也不能缺少。同时在网络建设投入方面安全应有一定的比例,而且应多投入在培训方面,提高安全的意识。如果企业自己对信息安全建设不太了解,提供商给任何方案都是白费的。这种投入应该是心甘情愿的,从上到下统一认识,因为信息是企业一种有形和无形的资产,信息安全是企业财富保有和提升的有力保障。
孙明指出,病毒和黑客程序很可怕, “非对称作战”的恐怖主义式袭击给信息安全带来日益严重的威胁,“软件认证”正成为国际上信息安全业发展的主要方向。常用软件是有限的,而病毒是无限的。对经常使用软件进行认证,只允许一定数量的软件使用进入个人PC、企业和政府网络安全许可的范围。“重在防御”,这是反新病毒的新举措。对于企业来说,出入企业的信息流、软件程序是常见的、可知的,给他们验明正身颁发“许可证”、“出入牌”,其他一切可疑和未知的软件程序一概拒绝进入。可以认为,这是提高企业信息安全层级最为行之有效的办法
物理上的防护是安全的第一步
北京江民新科技术有限公司刘杰表示,我们已看出在反病毒市场,与单机版杀毒软件市场相比,企业级的网络版杀毒软件拥有一个更为广阔、更有前景的市场。于是2002年5月初推出江民杀毒王网络版,并长期投入巨额资金,建设与维护快速病情信息反馈工程和快速用户服务工程。刘杰说,国内企业越来越重视本身的信息安全,信息安全对企业是很重要的,虽然传统企业对信息安全的要求不像一些以数据为关键业务的行业那样突出和迫切,但随着计算机使用的普及,电脑中的数据量越来越大,已成为企业的重要财富和资产,也是企业需要安全保存的核心内容,是企业的命脉。目前个人用户本着实用的目的安全意识加强了,一些企业虽然用相对封闭的管理手段解决了一部分信息安全问题,但还是远远不够的。企业安全意识不强,计算机使用人员的操作水平和经验有限,已经出现安全问题还没有意识到,误以为是操作问题。版权意识淡漠,国内企业舍得花钱买设备,不舍得花钱买正版软件,已经成为企业信息安全的重大隐患。
刘杰建议:企业首先要加强安全意识,领导在采购计划中应考虑到安全产品的重要性,能够拿出相当的预算比例给信息安全,将来使企业内部信息和资料运营的稳定性加强,花更少的费用来维护整个网络,避免出现问题时亡羊补牢。具体点说,在硬件方面,应该保证一些连线不要轻易与外部连接,在物理上杜绝泄露信息,在软件上要装一些正版软件,保证软件使用的可靠和安全,另外还要装一些信息安全软件,比如防病毒软件,购买一些放火墙,还要在制度上将数据备份。
至于安全产品如何投入,刘杰的意见是根据企业的实际情况,看他对信息化资料重要性的安全需求和自身预算情况来综合决定。如果原来已有一套电脑网络或已经使用电脑了,可以在以后更新设备过程中逐步把信息安全产品补全,购买防火墙和加密等。另一种情况是目前计算机用量不是很大,已有需求上一批电脑,这就应该有一套安全的解决方案,在采购中一次建好,总体上解决安全问题。否则,出现问题时,首先会影响正常业务,另外,在硬件和布线等方面也很麻烦。
安全系统建设同样是“一把手”工程
随着企业信息化程度的提高,安全问题就会扩展,如通过供应链系统将上、下游厂商做系统链接,这时就要考虑信息安全问题,企业如果觉得信息化是一个重要的工作,那么在做整个信息化系统时,就要考虑安全。安全分不同的级别,安全起什么作用取决于企业对信息化认知程度有多深。只有安全才能保证系统正常工作,系统正常工作才能提高效益,安全是保证企业可持续发展的非常重要的工作。
趋势网络科技(上海)有限公司林锦忠认为,企业首先要明确安全的含义,才能知道所采取的措施是否能保证安全。另外还要明确安全级别性定义。目前国内企业的最大问题是没有认识到安全其实不是用软件能够做到的,不是买一个安全产品就可以解决安全问题的,而是需要从公司内部的管理阶层,做整个业务流程和操作方式的改变,否则就会导致软件买进来用得不好,或不会用,不知道用了以后对公司产生多大效益,这是一个整体性的工作。在整个安全建设中,有很多人想到是否采购一个软件,没有考虑到在公司内部遇到一些威胁该怎样做,公司内部应该有一个系统,在整个安全系统中公司内部互相配合,实施应对措施,要有一个人总的负责安全工作,把安全放在整个IT项目中的重要位置之一。
林锦忠特别指出,目前有许多企业在做ERP、CRM项目,在做这种大型项目同时,要考虑安全怎样做,否则系统也是空架子。上ERP、CRM系统会有一个阶性的计划,安全随着系统的进展也应逐步考虑。任何一个企业在做ERP、CRM系统前,其实已经在作一些基础工作了,主要是用实体的档案柜、Office软件等,在基础工作中也要考虑安全问题,保护原始数据。
在谈到企业做安全投入时,林锦忠说, 企业首先要认清企业内部系统到底有多少是跟信息有关系的,再做投入。在考虑成本时,不能只考虑购买成本,还要考虑二次开发和培训教育的费用、系统部署时的成本、系统管理的成本等整体拥有的成本。要总体规划,分阶段实施。根据公司的战略来制定安全目标,找真正懂得IT的人来总领这方面的工作。不总体规划就会看到什么做什么,只见树不见森林,而在同一个时间做很多工作也会有很大风险。首先进度很难掌握,这么多工作中彼此会不会产生冲突,也很难掌握,万一出了问题,到底是A系统、B系统还是A+B系统、C系统很难确定,建议分阶段实施。
另外,林锦忠特别强调,企业的安全系统工程同样是“一把手”工程,必须由领导阶层来主导,如果领导本身没有安全意识,不清楚安全对企业的成长有很大帮助的话,很难落实。并且领导要知道应该做和怎么做,规划是从上到下的,而不是安全部门觉得该做。应该是由领导授权IT部门来做,才会有效果。不能“地方分权”,应该是“中央集权”。
追求性价比最优安全解决方案
信息化在今天已经深入人心,企业原来原始的管理数据、信息逐渐E化了,信息对企业来说是最值钱的,是企业的财富,那么企业怎样看住自己的财富,安全是必须考虑的。北京彩虹天地信息技术有限公司姜莉萍打了一个很形象的比喻,就象早些时候,每家的门安一把普通的锁就行了,随着生活水平的提高,家里值钱的东西多了,就要安上防盗门,防盗门也还在不断升级。企业的安全也是一样。目前许多企业都在上SCM、ERP、CRM等管理系统,他们都是基于网络的,数据传输过程中存在安全问题,数据输入方的身份确认同样存在安全问题。一些以数据为关键业务的行业、政府已经越来越重视安全问题。目前企业考虑的主要是如何架构安全的信息化平台,比如防病毒、防火墙等,在运行过程中会遇到什么样的问题,主要是数据的安全,放在随后考虑。其实很多的隐患都来自内部,大概占到70%-80%,所以客户端的身份认证是非常重要的。企业选择什么样的投资更合适,什么样的解决方案更合理,要区别对待。姜莉萍告诉我们,从客户反映的问题感觉,方案的性价比应该是最合理的,投入和要解决的问题刚好吻合,产品的功能不一定要有那么多的冗余,因为技术发展特别快,性价比应该追求最优。另外,方案不仅要考虑本身的采购成本,在集成方案过程中日后维护的成本也要考虑。方案还要易用,才能充分体现产品的性能,减少培训等隐性成本。姜莉萍建议企业在构建信息系统时要同时考虑安全的方案,对企业来说是一劳永逸的,不要每天打补丁,或是在出现问题时再亡羊补牢。
让正确的人使用正确的资源
网络进入经济生活是近几年发生最大变化的一部分,过去关心网络安全的比较少,主要关心的是怎样建网络。应用安全的技术产品和整体解决方案供应商信安世纪信息安全技术有限公司总裁连钢认为,网络的基本建设还会继续,但网络建好以后,要发展网上的应用,而网络是非常脆弱的,很不安全的,所以网络安全会随着网上应用的发展受到用户的关注。真正影响网络使用的是应用,应用才能体现网络的作用,没有应用网络只不过是个空架子。网络的应用越多,网络的功能、效率给人们生活带来的变化就越能体现出来,而保证所有应用安全地使用是至关重要的。应用的安全对电子商务有非常大的作用。网络安全的层次很多,最上层的就是应用的安全。
目前企业信息化的薄弱环节就是在应用方面,以前网络的应用非常单调,但今天网络应用日益广泛,应用不断增加,使用网络的人的成份也开始增加,一个很大的挑战就是资源和人怎样结合起来,让正确的人使用正确的资源。应用的安全主要包括从人到资源、人与资源互动三个层面的问题。通过身份认证的管理系统能够解决人的问题,其次就是资源问题。第二步要解决访问控制问题,即谁可以做什么事情。在电子商务环境下,当应用交互时大量信息在传输,而且是明文传输,用电子证书可以对网上信息加密,核准用户同时解决访问权限的设置,对信息的完整性、可靠性作了技术保障,电子签名更是从技术上使信息的不可抵赖成为可能,保证了彼此之间的信任关系。
连钢很中肯地说,很多网上应用很快发展起来了,建议企业在建设自己的网络之前,首先要明确网络是要干什么的,才能选择具有战略意义的应用,在企业发展的不同阶段应有不同的应用,IT技术应用的好,能提高企业的竞争力。过去企业比较忽视安全,先应用再做安全,这样不可能有整体的考虑,像打补丁一样,局部加上去是解决不好安全问题的,应在建应用的同时考虑安全系统,整体上解决人员的管理、用户的管理、资源的管理和人与资源之间安全使用的问题。
安全要专人专管
东软资深安全咨询顾问兼网络软件事业部业务总监王虎介绍,从国外情况看,一般安全的资金投入在整个系统份额中到占10%—15%,在中国,这个数字要小得多,主要投入在基础设施建设上,在安全方面只有一些防病毒软件,绝大多数还是盗版的。安全在企业信息化中应该起一个大门的作用,非常重要。随着IT的发展,企业的许多数据都需要保护,尤其是加入WTO以后,与国外有更多的交流、竞争,信息数据非常重要。
王虎说,目前许多企业不重视在人才方面的积累和分配,很多企业信息中心(网络中心、科技处)只有一个网管,一个人兼几项业务,把安全管理作为所管理的若干事情中的一件来做,没有专人专职,更不用说分角色管理。国家新的防火墙标准要求分角色管理,即安全员、管理员和审计员,三种角色是相互制约的。一个人管理安全产品,就有可能存在潜在的危险。但是在国内,根本不可能一台防火墙有三个人或三个部门管理。另外安全管理人员的专业知识也比较欠缺,因为基本上是厂商给灌输的,所以不是特别连贯、系统。王虎强调,企业要尽快落实管理制度和相关的组织机构,提高人员素质。如果有专业的人员关注安全,企业会省很多的钱,有许多安全产品可能不需要。
王虎告诉记者,在应用中还有一种误会,产品本身很好,但用户不会用或用不好,就以为是产品的问题。安全产品如果应用不好的话,比没有安全产品造成的危害更大,因为规则多了,很多应用不宽松,规则少了又起不到保护的作用,因为有了安全产品,放松了警惕,把安全管理寄托给安全产品。所以有专业的人负责地关注安全是非常重要的。
王虎建议企业的信息安全建设要根据企业的具体情况由专人负责,总体规划,分步实施。安全包涵的东西很多,防病毒、防火墙、入侵检测、风险评估、身份识别、访问控制、灾难恢复,都有相应的产品和技术来支持,要根据实际能力、资金情况、业务需求分步实施,但至少防病毒和防火墙在第一期是应该实施的,企业要头脑清醒,不能好高骛远。
企业需要的是怎样才能安全
企业的信息化已经搞了很多年,因为竞争程度的不同,有的企业信息化早一些,有的晚一些,有的好一些,有的差一些。我们发现,在安全建设方面,有些企业防病毒、防火墙也上了,但对于网络架构、网络安全、数据安全等整体信息化的安全怎么完善, 80%—90%的企业并没有清晰、全面、准确的定位。安全在企业中的作用就如同是消防设施,有备无患。如果没有消防设施,多大的家业都有可能毁于一旦。安全的重要性是被企业认可的,但是目前企业不太清楚的是到底怎样才能安全,到底应该采取什么样的措施。安全隐患也有主次之分,安全需求在哪里,尤其是非IT企业,如果不搞清楚自己的安全隐患在哪里,下一步怎么能知道用什么样的办法解决安全隐患呢?
联想集团汪铖谈到,对于一个企业,更希望他们先要找到安全隐患有哪些,认清跟企业业务相关的安全隐患的主次层次。其次,企业都希望得到整体的解决方案,对解决方案来讲,不可能有一次就能解决所有问题的,只能是在一定阶段相对整体的。一定要根据企业的业务发展状况,解决目前最需要的安全问题,全面分析,分步实施。因为,安全更多的是在管理,一个企业管理水平的不同,安全产品的应用是有差异的。企业最需要的不仅是一个安全的产品,需要的是怎样才能安全。联想认为安全厂商要提供广义的安全产品,而不仅是防火墙、防病毒软件这种具体的产品。广义的安全产品包括咨询服务——帮企业搞清楚真正的安全需求及安全级别;方案设计——全面规划企业怎样去做;提供集成实施服务;培训服务——教会企业怎样使用这些技术,让他们安全起来;对安全产品出现故障时提供应急服务;对企业的安全进行综合评估,到底安全级别提高到什么层次了。帮助企业清晰地搞清楚安全需求,并且一步一步地把他们的安全建设起来。以产品作为服务的基础,以服务带动产品的销售。这些才是安全厂商要做的。
后记
“魔高一尺,道高一丈”,随着网络不安全因素的不断升级,就如同以前的木门已不能防盗,尚需装防盗门,有了防盗门,还要安监控系统。因此,行业用户需要一个全面的解决方案,而使自己“网”中无忧。要充分认识到信息安全的重要性,首先要从决策者自身的培训开始,要明白信息安全的具体含义,其次要确认技术人员在组织架构中的重要性,并给予相应的权利和资金支持,把信息系统的安全管理体系提高到企业战略管理的高度,保证企业信息得到有效的安全防护。
一如行业人士笑言,IT是个陷阱,你只有越陷越深,而这个陷阱却是深不可测,除了跟进,别无选择。企业在信息安全方面的投入也是如此,特别是一些量大的信息与数据应用企业。企业在信息化改造的过程中,往往可以花大笔钱买进ERP,采用高端的路由器,交换机,唯独不见有硬件安全设施,仅仅利用现有网络产品的安全防范,是不能担负整个网络的安全重任的。