SMB安全“四問(wèn)四答”

在回答這個(gè)問(wèn)題之前，IDC的一組數(shù)據(jù)則相當(dāng)有趣，根據(jù)2007年第二季度對(duì)500個(gè)SMB樣本進(jìn)行的調(diào)查，當(dāng)前中小企業(yè)市場(chǎng)中對(duì)防火墻的需求在異軍突起，增幅超過(guò)了反病毒軟件的需求。

這一事實(shí)說(shuō)明，中小企業(yè)的安全重點(diǎn)在發(fā)生改變。此前神州數(shù)碼網(wǎng)絡(luò)的安全專家王景輝在接受采訪時(shí)表示，2007年國(guó)內(nèi)中小企業(yè)的安全問(wèn)題主要集中在兩個(gè)層面：第一，企業(yè)網(wǎng)外部；第二，企業(yè)網(wǎng)內(nèi)部。企業(yè)網(wǎng)外部包括：病毒、間諜軟件、垃圾郵件等網(wǎng)絡(luò)威脅；企業(yè)網(wǎng)內(nèi)部包括：公司員工泄密、公司信息管理不謹(jǐn)慎等問(wèn)題。

除了以上所面臨的安全問(wèn)題之外，中小企業(yè)還會(huì)在2007年頻繁遭遇到網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失、拒絕服務(wù)攻擊、端口掃描攻擊、篡改網(wǎng)頁(yè)等問(wèn)題。從某種意義上說(shuō)，小型企業(yè)面臨著與大型企業(yè)一樣的挑戰(zhàn)和安全威脅。

目前來(lái)看，病毒、間諜軟件、垃圾郵件等網(wǎng)絡(luò)威脅會(huì)破壞中小型企業(yè)的業(yè)務(wù)運(yùn)營(yíng)，對(duì)員工生產(chǎn)力造成影響；隱藏在電子郵件或網(wǎng)頁(yè)中的威脅消耗著系統(tǒng)和網(wǎng)絡(luò)資源，并增加了支持成本；而一些間諜軟件則偷取財(cái)務(wù)或其他保密資料，對(duì)企業(yè)造成了很嚴(yán)重的威脅，影響了企業(yè)的經(jīng)濟(jì)效益，降低了企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力。

作為國(guó)內(nèi)中小企業(yè)的代表，北京貓王家具的IT負(fù)責(zé)人曾透露說(shuō)，傳統(tǒng)的中小企業(yè)更關(guān)注的是企業(yè)的整體增長(zhǎng)，而不太去關(guān)注安全問(wèn)題，因而在解決安全問(wèn)題中擁有的資源較少。但伴隨著以熊貓燒香、灰鴿子、ARP攻擊、釣魚(yú)攻擊、垃圾郵件等問(wèn)題，2007年的中小企業(yè)在安全上的投入明顯增多。而這正好解釋了為什么越來(lái)越多的中小企業(yè)開(kāi)始關(guān)注防火墻、UTM、反垃圾郵件等設(shè)備。

對(duì)此，不少長(zhǎng)期扎根國(guó)內(nèi)SMB市場(chǎng)的安全廠商體會(huì)更深刻。大東網(wǎng)絡(luò)的市場(chǎng)總監(jiān)鄧?yán)住⑿l(wèi)視通的網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理張卓、深信副的安全產(chǎn)品經(jīng)理鄔迪、俠諾科技的安全專家張建清，四個(gè)人在談及此問(wèn)題時(shí)觀點(diǎn)頗為一致：當(dāng)前通過(guò)互聯(lián)網(wǎng)的針對(duì)中小企業(yè)的網(wǎng)絡(luò)攻擊越來(lái)越多，這對(duì)于業(yè)務(wù)依賴性較高的SMB市場(chǎng)沖擊很大，因此在2007年越來(lái)越多的國(guó)內(nèi)中小企業(yè)在網(wǎng)關(guān)安全設(shè)備上進(jìn)行了較高的投入，有些企業(yè)甚至將其定位為必選設(shè)備。

專家的看法是，作為串接在內(nèi)外網(wǎng)絡(luò)之間的一道重要屏障，各種網(wǎng)關(guān)安全設(shè)備本身是否安全、可靠和易用，直接關(guān)系到中小企業(yè)整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。而中小企業(yè)作為一個(gè)全新的安全市場(chǎng)，必然對(duì)其有特有的要求。

事實(shí)上，此前天津武清報(bào)關(guān)行的IT負(fù)責(zé)人在接受采訪時(shí)就談到，中小企業(yè)并非對(duì)安全不重視。相反，現(xiàn)在有越來(lái)越多的企業(yè)把IT當(dāng)成其競(jìng)爭(zhēng)力之一，而在此基礎(chǔ)上的安全投入也比2006年同比增長(zhǎng)了50%以上。

用戶問(wèn)：除了防火墻和反病毒軟件，還需要什么？

專家答：從被動(dòng)防御到主動(dòng)預(yù)防

用戶的關(guān)注度高了，對(duì)市場(chǎng)而言自然是好事情。可僅僅依靠防火墻與反病毒軟件來(lái)處理SMB的問(wèn)題，顯然有些捉襟見(jiàn)肘。王景輝提示說(shuō)，防火墻和反病毒軟件，僅能完成的是來(lái)自外部的端口掃描、攻擊以及終端病毒防護(hù)。而今天，企業(yè)網(wǎng)絡(luò)面臨的威脅不僅是病毒和外部的入侵，還來(lái)自于內(nèi)部的ARP欺騙、關(guān)鍵信息的泄露、文件權(quán)限控制、以及網(wǎng)絡(luò)的安全管理。在這種情況下，即便說(shuō)中小企業(yè)需要全網(wǎng)的安全管理也不過(guò)分。

此外，現(xiàn)在許多攻擊或惡意軟件，是以網(wǎng)頁(yè)合法的內(nèi)容被瀏覽器讀取，之后再自動(dòng)執(zhí)行到外面下載軟件的工作，再在用戶計(jì)算機(jī)上組合成攻擊的應(yīng)用程序。這種法作，躲避了防火墻和反病毒軟件，這兩者都需要特定特征來(lái)辨別惡意軟件的特性，因此阻擋的效力很小。

在此問(wèn)題上，北京宅急送的IT工程師王文輝認(rèn)為，中小企業(yè)依靠防火墻與反病毒軟件的組合僅能解決一部分問(wèn)題，令他擔(dān)憂的是，現(xiàn)在越來(lái)越多的攻擊行為與安全隱患都是通過(guò)HTTP進(jìn)行的，這在傳統(tǒng)的防火墻防護(hù)上是一個(gè)盲區(qū)，而很多企業(yè)缺乏有效且高性價(jià)比的方式來(lái)進(jìn)行防御。

其實(shí)，他的觀點(diǎn)代表了很多中小企業(yè)的一種看法，如何在保證性價(jià)比的條件下促使企業(yè)安全從被動(dòng)防御向主動(dòng)防御過(guò)渡，已經(jīng)成為了2007年的焦點(diǎn)。對(duì)此，鄧?yán)妆硎菊f(shuō)，傳統(tǒng)上對(duì)外網(wǎng)攻擊的防御確實(shí)屬于被動(dòng)的方式，這樣的安全策略只能治標(biāo)不能治本。他認(rèn)為今后的安全產(chǎn)品是在企業(yè)要發(fā)生安全問(wèn)題之前提前預(yù)防，幫助企業(yè)網(wǎng)絡(luò)管理人員合理分配網(wǎng)絡(luò)資源，設(shè)置網(wǎng)絡(luò)協(xié)議讓安全問(wèn)題提前扼制。換句話說(shuō)，隨著安全問(wèn)題的不斷發(fā)生，網(wǎng)絡(luò)安全并不能全部解決，但是可以有效防范。

安全的防范包括很多方面，目前來(lái)看以UTM和網(wǎng)絡(luò)行為管理AC為代表的網(wǎng)關(guān)安全方案，都是比較適合中小企業(yè)的技術(shù)。

不過(guò)IDC的報(bào)告指出，目前全球連入Internet的計(jì)算機(jī)中約有三分之一是處于網(wǎng)關(guān)安全設(shè)備保護(hù)之下。在這種條件下，如果SMB用戶決定設(shè)定此類設(shè)備，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略。對(duì)此，張卓提醒中小企業(yè)用戶注意，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性、便利性、靈活性為代價(jià)的。安全網(wǎng)關(guān)的隔斷作用一方面加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全，另一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙，因此必須在設(shè)備上附加各種信息服務(wù)的代理軟件來(lái)代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，這樣不僅增大了網(wǎng)絡(luò)管理開(kāi)銷，而且減慢了信息傳遞速率。因此設(shè)備本身的性能如何，是需要用戶需要關(guān)注的。

另外要強(qiáng)調(diào)的是，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標(biāo)上的差別。一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素。

用戶問(wèn)：針對(duì)安全產(chǎn)品管理的復(fù)雜度，企業(yè)如何平衡？

專家答：用集中管理平臺(tái)解決問(wèn)題

安全重視了，設(shè)備部署了，隨之而來(lái)管理的問(wèn)題就突出了。南車集團(tuán)北方區(qū)信息安全專家劉洋在接受采訪時(shí)表示，對(duì)于中型企業(yè)而言，安全產(chǎn)品的管理復(fù)雜度一直都是揮之不去的問(wèn)題，防火墻、VPN、上網(wǎng)行為管理、反病毒、反垃圾郵件，從網(wǎng)關(guān)到內(nèi)網(wǎng)，設(shè)備越來(lái)越多，但I(xiàn)T部門(mén)的人力總是不夠用。他表示，很多中型企業(yè)都渴望從復(fù)雜的設(shè)備管理中解脫出來(lái)。

事實(shí)上，這個(gè)問(wèn)題在去年夏天就被提出過(guò)，當(dāng)時(shí)為了應(yīng)對(duì)各種混合攻擊的威脅，越來(lái)越多的安全設(shè)備都在從功能上進(jìn)行整合，只不過(guò)今年這個(gè)趨勢(shì)更加明顯了。王景輝認(rèn)為，當(dāng)前很多企業(yè)對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的集成化和管理性需求凸顯，在此基礎(chǔ)上UTM的出現(xiàn)在一定程度上解決了企業(yè)的部分問(wèn)題。畢竟將多種安全特性集成在一個(gè)硬件設(shè)備里，自身就已經(jīng)構(gòu)成了一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。這種集成是無(wú)縫的，可以滿足企業(yè)在最低人力下的安全管理。

UTM是一個(gè)很好的“捷徑”，但對(duì)于規(guī)模稍大的中型企業(yè)而言，UTM的性能問(wèn)題仍然沒(méi)有完美的解決方案。在這種情況下，規(guī)模大些的企業(yè)需要對(duì)現(xiàn)有安全管理進(jìn)行簡(jiǎn)化。此前大東網(wǎng)絡(luò)曾給記者演示過(guò)其專門(mén)為中型用戶提供的安全集中管理平臺(tái)。新平臺(tái)簡(jiǎn)化了傳統(tǒng)的設(shè)置程序，顯示界面也很簡(jiǎn)單，產(chǎn)品自身也提供了從基本安裝向?qū)гO(shè)置到復(fù)雜的高級(jí)設(shè)置的功能，從而可以滿足不同層次的網(wǎng)絡(luò)安全管理的需要。

另外，除了利用第三方平臺(tái)，很多企業(yè)也應(yīng)該從設(shè)備的選擇入手。張卓表示，企業(yè)在不斷部署安全產(chǎn)品的同時(shí)，應(yīng)該關(guān)注各種設(shè)備的管理特性，要求其支持設(shè)備本身的集中管理和提供第三方安全管理平臺(tái)的管理接口。此外他也認(rèn)為，單一安全產(chǎn)品的管理是無(wú)法面對(duì)目前復(fù)雜網(wǎng)絡(luò)的管理需求的，所以企業(yè)可根據(jù)需要選擇合適的統(tǒng)一安全管理平臺(tái)，實(shí)現(xiàn)安全策略的統(tǒng)一制定、分發(fā)、執(zhí)行和監(jiān)控。

用戶問(wèn)：中小企業(yè)的安全挑戰(zhàn)與應(yīng)對(duì)之道？

專家答：關(guān)注新技術(shù)，從管理角度考慮問(wèn)題。

此前記者在天津武清報(bào)關(guān)行的采訪中發(fā)現(xiàn)，一家只有200人的企業(yè)，卻部署了大量的SSL VPN應(yīng)用。更令人吃驚的是，該報(bào)關(guān)行的IT負(fù)責(zé)人表示，他們今后會(huì)進(jìn)一步擴(kuò)大應(yīng)用規(guī)模，同時(shí)考慮加入業(yè)務(wù)連續(xù)性的技術(shù)。而對(duì)于由此帶來(lái)的項(xiàng)目風(fēng)險(xiǎn)他卻不以為然，“船小好掉頭，用新技術(shù)可以增加競(jìng)爭(zhēng)力！”

一句普普通通的話道出了中小企業(yè)的特點(diǎn)，敢于應(yīng)用新技術(shù)，而這對(duì)于中小企業(yè)應(yīng)對(duì)安全挑戰(zhàn)至關(guān)重要。前面說(shuō)過(guò)，相對(duì)于大型企業(yè)，中小企業(yè)所面臨的安全問(wèn)題并不簡(jiǎn)單。衛(wèi)士通近期發(fā)布的2007中國(guó)中小企業(yè)安全調(diào)查報(bào)告顯示，國(guó)內(nèi)中小企業(yè)面臨的安全挑戰(zhàn)可以歸為：惡意代碼、間諜軟件、郵件內(nèi)容安全、Web安全、內(nèi)部控制與安全審計(jì)。其中，惡意軟件對(duì)中小企業(yè)造成的危害最大。國(guó)內(nèi)超過(guò)67%的計(jì)算機(jī)都不同程度感染過(guò)間諜軟件，間諜軟件增加了中小企業(yè)有限的IT資源的負(fù)擔(dān)，降低系統(tǒng)性能與穩(wěn)定性，危及數(shù)據(jù)安全。

此外，中小企業(yè)需要面臨內(nèi)部控制與安全審計(jì)的挑戰(zhàn)，法律、法規(guī)以及行業(yè)規(guī)范要求進(jìn)一步加強(qiáng)企業(yè)內(nèi)部控制，防止因流失或泄漏機(jī)密信息或員工不適當(dāng)言論引起的法律責(zé)任。另外，中小企業(yè)還有來(lái)自Web的安全挑戰(zhàn)，這些挑戰(zhàn)將導(dǎo)致企業(yè)生產(chǎn)效率下降，無(wú)法確保業(yè)務(wù)的有效運(yùn)行。

這么多的威脅，需要相關(guān)的技術(shù)來(lái)解決，對(duì)于很多新型安全技術(shù)，傳統(tǒng)的大型企業(yè)有顧慮，比如在是否采用SSL VPN、業(yè)務(wù)連續(xù)性方案、IPS、終端代理和Web過(guò)濾的技術(shù)上，不少大企業(yè)采取了觀望的態(tài)度。但對(duì)中小企業(yè)而言，如果希望面對(duì)威脅能夠做到從容應(yīng)對(duì)，大膽采用新技術(shù)是一個(gè)捷徑。

當(dāng)然，所有的新技術(shù)必須使對(duì)地方。就目前的情況看，頻繁出現(xiàn)的垃圾郵件，已成給不少中小企業(yè)IT人員敲響了警鐘，日后企業(yè)用戶勢(shì)必對(duì)網(wǎng)關(guān)安全防護(hù)過(guò)濾設(shè)備提出更高的管理要求。王景輝總結(jié)說(shuō)，眼下國(guó)內(nèi)中小型企業(yè)的安全挑戰(zhàn)正在從網(wǎng)絡(luò)層向應(yīng)用層轉(zhuǎn)移。而且目前許多中小企業(yè)的管理模式偏重于生產(chǎn)、人員、后勤的管理，而不重視企業(yè)內(nèi)安全信息的管理。中小企業(yè)需要加強(qiáng)內(nèi)部行為的控制和文件的審計(jì)、整網(wǎng)智能安全的安全準(zhǔn)入等眾多方面。

另外，中小企業(yè)用戶需要注意的是，安全作為一個(gè)系統(tǒng)問(wèn)題，有時(shí)候需要從管理的層次考慮。對(duì)此，鄧?yán)捉榻B說(shuō)，企業(yè)管理層在解決安全問(wèn)題時(shí)，主要是從企業(yè)的業(yè)務(wù)開(kāi)展和網(wǎng)絡(luò)管理方面去考慮整體的安全策略，而網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用是否會(huì)影響公司網(wǎng)絡(luò)的正常使用，產(chǎn)品的設(shè)置是否簡(jiǎn)單是企業(yè)管理層比較關(guān)心的問(wèn)題。

目前的情況是，在中小企業(yè)安全設(shè)備應(yīng)用過(guò)程中，有效管理經(jīng)常面臨挑戰(zhàn)。員工對(duì)企業(yè)網(wǎng)絡(luò)的不規(guī)范使用，容易致企業(yè)資源浪費(fèi)、效率降低等問(wèn)題，這些問(wèn)題會(huì)嚴(yán)重影響企業(yè)的正常發(fā)展。目前一些優(yōu)秀的中小企業(yè)用戶已經(jīng)開(kāi)始通過(guò)內(nèi)部的用戶管理、行為管理、內(nèi)容控制來(lái)規(guī)范網(wǎng)絡(luò)的安全應(yīng)用，而從技術(shù)到管理的關(guān)聯(lián)，包括利用管理平臺(tái)實(shí)現(xiàn)良好的管理機(jī)制，都是企業(yè)需要注意的內(nèi)容。

對(duì)中小企業(yè)的安全建議

關(guān)注企業(yè)網(wǎng)內(nèi)部管理、注重企業(yè)網(wǎng)外部管理、實(shí)現(xiàn)集中服務(wù)器管理，這將構(gòu)成中小企業(yè)的三道防線。

中小企業(yè)也有差異，不同用戶的經(jīng)驗(yàn)與需求不盡相同，各種安全配置需要安全定制。

SSL VPN可以稱為最具應(yīng)用條件的網(wǎng)絡(luò)技術(shù)，它將幫助中小企業(yè)實(shí)現(xiàn)權(quán)限規(guī)定范圍內(nèi)的信息安全存取。

給操作系統(tǒng)打補(bǔ)丁、培訓(xùn)員工防制欺騙的知識(shí)、將計(jì)算機(jī)遠(yuǎn)程桌面功能關(guān)閉、利用加密機(jī)制，都是中小企業(yè)高性價(jià)比的安全措施。(ccw-cnw)