安全不是買來的！六個高性價比管理措施

申請免費試用、咨詢電話：400-8352-114

相信每家公司都對安全性的重要地位心知肚明，其關鍵程度謂之左右企業(yè)全局也不為過。然而需要提醒大家的是，精準的應對措施把握同樣重要，我們?nèi)f萬不能奢望以一套方案搞定所有問題。“在安全事務方面，正確的態(tài)度才是決定性因素。我們要清醒一點：安全并非某種產(chǎn)品，而是一整套流程，”Network Box美國公司CTO Pierluigi Stella指出。“我就見過許多公司花費大量資金打造安全解決方案，到頭來卻沒有任何實際意義，這顯然與管理者的初衷不符。總而言之，安全不是花錢就能買來的。”

為了讓投資物有所值、切實保護公司安全，與其購置新方案不如從現(xiàn)有安全措施著手，尋求最低成本下的提升途徑。

◆從保護關鍵性數(shù)據(jù)起步

要想獲得準確的全局安全方案提升思路，僅僅從企業(yè)內(nèi)部角度分析業(yè)務數(shù)據(jù)是遠遠不夠的。事實上，如果大家能夠以局外人的身份審視現(xiàn)有資產(chǎn)，也許會對安全保護中的關鍵性對象擁有更為嚴謹?shù)母拍睢?/p>

“公司應當首先確定哪些資產(chǎn)最具商業(yè)價值，而價值的衡量標準不僅要考慮到企業(yè)自身的需求，更應該嘗試從惡意攻擊者的角度加以考量，”eSoft公司主管Mike Donnell表示。“確定了最可能遭受侵襲的業(yè)務領域之后，我們才能有的放矢地為其配備高效且穩(wěn)固的安保機制。”

Donnell指出，滿載支付信息的客戶數(shù)據(jù)庫、保存知識產(chǎn)權(quán)及其它機密數(shù)據(jù)的服務器往往具備極大的商業(yè)價值，但這還遠遠不是最終結(jié)果。關鍵在于認真對待任何一臺擁有網(wǎng)絡訪問接入點的設備，因為它們“會成為惡意攻擊的潛在載體，”Donnell告訴我們。而且無論大家以何種方式進行分析，這些具備訪問能力的設備最終都必須獲得適當?shù)陌踩Ｗo。

◆關注移動安全

大多數(shù)公司會把安全事務的重心放在服務器、網(wǎng)絡以及其它內(nèi)部物理基礎設施身上。但是在這里我要提醒各位，移動安全同樣需要傾注大量心力來加以保護。隨著智能手機與平板設備在辦公環(huán)境中的廣泛普及，小型、便攜式平臺已經(jīng)成為黑客們搶灘登陸的新目標。所謂成熟穩(wěn)健的移動安全政策，首先應該向員工們宣傳將敏感信息保存在移動設備中的危害性，并以不影響訪問企業(yè)網(wǎng)絡為前提向員工們提供一套更安全有效的移動辦公方案。

“移動設備只有在具備網(wǎng)關、防火墻或者其它全局威脅管理（簡稱UTM）系統(tǒng)的輔助下才允許接入企業(yè)網(wǎng)絡，這樣才能確保它們不會成為惡意人士繞開企業(yè)基礎保護機制的載體，”Donnell解釋道。“企業(yè)網(wǎng)關會不斷對流入流出的信息進行掃描，這樣無論是來自移動手機、平板設備還是筆記本電腦的訪問都將始終處于監(jiān)控之下，防范手段的成熟是辦公方式變革的必要條件。”

◆定期進行安全更新

別以為購置并安裝一套應用程序或安全產(chǎn)品套件，企業(yè)安全就萬無一失了。如果不堅持定期更新，新的保護功能與攻擊應對措施將無用武之地，而這些花了大價錢的東西最終可能只會維持短暫的安全環(huán)境。“升級與更新是企業(yè)在處理安全事務時最需要重視的工作之一，”Milton安全集團總裁兼CEO James McMurry表示。“升級包與更新補丁的作用是修正初始應用程序中的bug、漏洞以及錯誤，沒有它們的幫助，應用程序根本無法與瞬息萬變的惡意威脅相抗衡。”

在某些情況下，安全軟件中的bug及漏洞很可能被攻擊者輕松掌握并成為致命缺陷，因此定期進行免費更新的意義極為重大。不過從另一個角度來看，軟件升級也并不是永遠免費的，有時候企業(yè)需要為安全程序的新版本支付高昂的前期投入。一旦涉及額外支出，McMurry建議企業(yè)用戶對更新內(nèi)容進行認真評估，“結(jié)合自身情況考慮這些升級能否切實帶來安全性改善及保護功能擴展，以及這些提升是否真正適合公司需求。”在獲得了明確的答案后，大家就能在嚴謹?shù)呢攧湛刂浦卤Ｗo企業(yè)中的敏感數(shù)據(jù)。

◆盡量不要限制企業(yè)的安全預算

在經(jīng)濟環(huán)境趨于蕭條的時代背景下，大多數(shù)企業(yè)都在尋找削減運營成本的途徑，但Stella認為安全事務不該成為省錢的犧牲品。“每家公司都在限制預算，我聽得耳朵都快起繭子了。然而安全絕不能成為限制預算的目標之一，”Stella指出。恰恰相反，Stella認為企業(yè)應該以保障業(yè)務順利運轉(zhuǎn)為前提，為“必須要做的事”配備合理的預算規(guī)劃，只有這樣才能讓公司從數(shù)不勝數(shù)的潛在威脅中掙脫出來。

Stella同時表示，曾經(jīng)遭受大規(guī)模惡意攻擊的企業(yè)更應該總結(jié)經(jīng)驗，放棄通過削減安全預算來增加營收的愚蠢念頭。“如果一家公司打定語音要從安全預算里節(jié)約開支，那無疑于承認自己已經(jīng)不打算繼續(xù)發(fā)展了。這絕不是危言聳聽，根據(jù)2004年FBI公布的一項調(diào)查結(jié)果，在一年中遭受過數(shù)據(jù)失竊等安全侵襲的企業(yè)有90%都面臨倒閉，”他指出。別再抱有幻想，積極為安全事務準備更多的財政預算吧，因為企業(yè)發(fā)展與預算緊縮只能二選其一，該何去何從大家應該心里有數(shù)。

◆阻止入侵活動

eSoft公司主管Mike Donnell告訴我們，公司應該限制一切針對服務器及企業(yè)設備的公共訪問活動，并將此視為最重大的潛在安全威脅。如果大家最大程度減少企業(yè)網(wǎng)絡的流入、流出數(shù)據(jù)量，那么惡意人士攔截到敏感信息的機率也會大大降低。

“某些看似來自內(nèi)部網(wǎng)絡的關鍵性服務器及設備訪問往往是借助加密VPN實現(xiàn)的，這種隱性威脅比防火墻缺陷更加致命，”Donnell說道。“任何需要應對公共訪問的服務器，例如Web服務器，都必須時刻做好針對惡意攻擊及入侵行為的監(jiān)控與保護工作。”

◆制定安全意識培養(yǎng)規(guī)劃

既不用花一毛錢，卻也同樣能提升企業(yè)安全性的方案還是存在的，而其中最實用的無疑是為員工制定安全意識培養(yǎng)規(guī)劃。我們不妨將此視為一種教育資源，專門為員工提供各類最佳安全實踐措施及指導。這樣無論是身處內(nèi)部辦公環(huán)境還是外部業(yè)務區(qū)域，員工都會通過自身對安全問題的深刻理解幫助企業(yè)避開大麻煩。

“告訴員工攻擊行為的判斷方法以及如何在錯誤的地點瀏覽內(nèi)部網(wǎng)絡會給企業(yè)帶來怎樣的安全困擾，同時提醒大家清理信息殘留與不清理會造成哪些截然不同的結(jié)果，”Network Box美國公司CTO Pierluigi Stella指出。“這些工作不花一毛錢就能進行，而且會為小型企業(yè)的安全態(tài)勢帶來長遠而積極的良性影響。”

附加提示:

◆深入了解你的網(wǎng)絡設施

為了保護企業(yè)及內(nèi)部網(wǎng)絡，大家必須深入了解網(wǎng)絡的方方面面，Milton安全集團總裁兼CEO James McMurry提醒道。我們必須做好映射、文檔記錄等工作，并關注還有哪些薄弱環(huán)節(jié)能夠進一步改善。除此之外，大家還得熟悉企業(yè)內(nèi)部環(huán)境的日常運行狀態(tài)，這有助于判斷設施是否正常運轉(zhuǎn)、有沒有出現(xiàn)異常情況。

◆使用網(wǎng)絡訪問控制機制

McMurry還建議企業(yè)管理者采用適應性網(wǎng)絡訪問控制方案，這樣能夠有效幫助公司管理網(wǎng)絡訪問者的身份及訪問發(fā)起位置。此類產(chǎn)品同樣能夠監(jiān)控外部訪問，顯示這些訪問來自何處，并允許我們放行或禁止所有潛在的連接。最后，我們可以將企業(yè)網(wǎng)絡的所有活動記錄下來，進而以此為基礎創(chuàng)建適合自己的安全保護措施。

【本文轉(zhuǎn)載自安庫網(wǎng)http://www.csochinese.com。】

【推薦閱讀】

◆設備管理系統(tǒng)運維管理專區(qū)

◆企業(yè)內(nèi)網(wǎng)安全的隱患何在？

◆別讓打印機成為網(wǎng)絡安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡安全管理十大注意事項

◆設備管理軟件軟件專區(qū)