網(wǎng)絡(luò)安全亟需解決的六大問(wèn)題

　　一位來(lái)自PCI標(biāo)準(zhǔn)的高級(jí)專家說(shuō)，虛擬安全往往是事后諸葛亮。諸如怎么樣處理訪問(wèn)控制和審計(jì)?譬如一個(gè)人想把虛擬機(jī)器中的一個(gè)食物從通道A轉(zhuǎn)到通道B：這時(shí)候是否需要獲得進(jìn)入控制臺(tái)的許可證?虛擬機(jī)器的系統(tǒng)管理程序是否允許管理員A和B的分離，這樣A和B只能各司其職?怎么樣根據(jù)架構(gòu)的變化重新評(píng)估風(fēng)險(xiǎn)等級(jí)?

　　相關(guān)內(nèi)容：

　　與其它傳統(tǒng)的網(wǎng)絡(luò)類似，各種虛擬網(wǎng)絡(luò)環(huán)境，不管是基于虛擬軟件，XenSource，或是微軟技術(shù)，都需要滿足ISO27002標(biāo)準(zhǔn)對(duì)于安全系統(tǒng)的要求。專家注意到有一些虛擬機(jī)器根本就不滿足這一標(biāo)準(zhǔn)。

　　很多人對(duì)虛擬軟件的安全都不信賴。

　　“虛擬機(jī)器是移動(dòng)的，設(shè)計(jì)的初衷就是這樣，”一家專注于虛擬機(jī)器生命周期管理軟件公司的營(yíng)銷副總說(shuō)，“購(gòu)買一臺(tái)實(shí)體服務(wù)器，然后克隆一下。你失去了實(shí)體服務(wù)器的身份，但是現(xiàn)行的管理軟件依據(jù)的還是實(shí)體服務(wù)器。”

　　照現(xiàn)在的設(shè)計(jì)來(lái)看，虛擬機(jī)器軟件的虛擬中心管理并不能阻止虛擬機(jī)器的蔓延，因?yàn)樘摂M機(jī)器的身份可以隨時(shí)改變和重設(shè)。對(duì)于那些使用多臺(tái)虛擬中心的企業(yè)來(lái)說(shuō)，要保證唯一的虛擬機(jī)身份系統(tǒng)是不可能的。

　　一些安全廠商坦誠(chéng)，現(xiàn)在主要的虛擬機(jī)器軟件廠商過(guò)分的關(guān)注市場(chǎng)份額的增長(zhǎng)，卻忽略了安全問(wèn)題。專家說(shuō)，現(xiàn)在市面上還沒(méi)有任何一款虛擬化開(kāi)關(guān)可以幫助監(jiān)控網(wǎng)絡(luò)流量的異常情況。

　　所有這些會(huì)阻止當(dāng)前的虛擬化浪潮嗎?正如業(yè)內(nèi)人士所述，底線就是在選擇之前好好研究一下虛擬化決定是否值得.

　　防止數(shù)據(jù)泄漏是否會(huì)導(dǎo)致法律問(wèn)題?

　　數(shù)據(jù)流失保護(hù)(DLP)可以幫助監(jiān)視未經(jīng)許可的文件傳輸。但是使用這一技術(shù)的企業(yè)發(fā)現(xiàn)，由于對(duì)于企業(yè)網(wǎng)絡(luò)的過(guò)度透明，企業(yè)的IT管理人員和經(jīng)理發(fā)現(xiàn)他們處于法律和監(jiān)管的風(fēng)險(xiǎn)之下。

　　一家公司的安全主管形容，“最初我們是從忽略慢慢轉(zhuǎn)向了順從的危險(xiǎn)”。自從公司部署了賽門鐵克的DLP之后，公司在數(shù)據(jù)存儲(chǔ)的很多方面都得到了大大的提升。

　　這些都促使商業(yè)和IT管理的變革。一些安全管理人員發(fā)現(xiàn)一些挑剔的安全審計(jì)人員，一旦他們知道DLP工具在哪,就會(huì)要求企業(yè)改變那些可能會(huì)觸犯法律的安全措施。

　　相關(guān)內(nèi)容：

　　這只是眼見(jiàn)為實(shí)的一個(gè)方面——DLP昂貴的花費(fèi)之外——而著就足以打消潛在的客戶?但是這也意味著遠(yuǎn)離最具潛力的內(nèi)容監(jiān)測(cè)技術(shù)，這可能會(huì)幫助你的企業(yè)遠(yuǎn)離訴訟。

　　事先知道DLP可能是有缺陷的技術(shù)，安全人員可以事先準(zhǔn)備好應(yīng)急預(yù)案，應(yīng)對(duì)審計(jì)人員和司法部門的檢查。

　　一位有著豐富DLP經(jīng)驗(yàn)的工程師說(shuō)，我們應(yīng)該讓企業(yè)管理人員積極參與到DLP系統(tǒng)中，這樣可以有效的防止數(shù)據(jù)泄露。

　　模糊的(in-the-cloud)安全：虛幻還是危險(xiǎn)?

　　一位嘉德樂(lè)的安全專家說(shuō)，關(guān)于這些的基本事情——不管是電子郵件，DOS保護(hù)，漏洞掃描或是網(wǎng)絡(luò)過(guò)濾——這些實(shí)際上都是在購(gòu)買軟件或是設(shè)備時(shí)DIY策略的替代。

　　有兩種類型的安全訪服務(wù)值得思考，第一種是基于帶寬的，譬如基于載波或是ISP(因特網(wǎng)服務(wù)提供商)的DOS保護(hù)和回應(yīng)。

　　第二種就是稱之為“作為服務(wù)的安全”，這與基于帶寬的服務(wù)完全不同。使用反垃圾郵件服務(wù)就是把多重地址記錄返回給服務(wù)提供商并不是把特定的帶寬與謀個(gè)載波綁定。

　　這種類型的技術(shù)包括，垃圾郵件和殺毒軟件過(guò)濾;漏洞掃描和網(wǎng)絡(luò)過(guò)濾。大體上來(lái)說(shuō)，不包括DLP內(nèi)容監(jiān)測(cè)和過(guò)濾或是身份訪問(wèn)和管理，這些都是與企業(yè)內(nèi)部管理變化聯(lián)系的。

　　使用安全作為服務(wù)(security-as-a service)在保護(hù)筆記本或是對(duì)廣泛分布的辦公室的保護(hù)上是很有效的。對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)，這是很有吸引力的。

　　但是絕大多數(shù)的企業(yè)發(fā)現(xiàn)部署更適合自身企業(yè)的安全來(lái)應(yīng)對(duì)垃圾郵件，病毒和限制網(wǎng)絡(luò)連接更加簡(jiǎn)潔劃算。

　　使用過(guò)濾服務(wù)存在潛在的風(fēng)險(xiǎn)。你可能不想使用這種第三方的服務(wù)來(lái)傳輸敏感商業(yè)文件。這樣很容易導(dǎo)致泄密事件。

　　所有這些模糊安全服務(wù)任然很新穎，過(guò)去三年增長(zhǎng)了不少，譬如MessageLabs(信息實(shí)驗(yàn)室)，微軟，谷歌的Postini 和 Websense就已經(jīng)在市面上出現(xiàn)，根據(jù)高德納咨詢公司的估計(jì)，in-the-cloud電子郵件安全服務(wù)目前站的市場(chǎng)份額大概是20%，在未來(lái)的5年之內(nèi)將會(huì)以每年35%的速度增長(zhǎng)，2013年將占70%。

　　據(jù)IDC調(diào)查，去年電子郵件安全軟件的市場(chǎng)份額是13.8億美元，相關(guān)的應(yīng)用程序接近七億美元。In-the-cloud服務(wù)的價(jià)值約4.5億美元。軟件和應(yīng)用程序?qū)��?huì)持續(xù)增長(zhǎng)。

　　網(wǎng)頁(yè)過(guò)濾的發(fā)展實(shí)際上只是過(guò)去16個(gè)月的事情，還有許多類似的服務(wù)的發(fā)展也只是幾年的時(shí)間而已。由于企業(yè)網(wǎng)絡(luò)中正在消失的邊界正使得模糊安全服務(wù)為越來(lái)越多的企業(yè)所采用。

　　作者: 陳將, 　出處:IT專家網(wǎng),　責(zé)任編輯: 張帥,　 2008-07-24 00:00

　　網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)用戶十分關(guān)注的熱點(diǎn)，如何解決企業(yè)面臨的形形色色的安全威脅？業(yè)內(nèi)專家為我們總結(jié)了網(wǎng)絡(luò)安全亟待解決的六大要害問(wèn)題。

　　微軟可以在安全方面做的更好嗎?

　　在面對(duì)安全問(wèn)題的時(shí)候，微軟會(huì)贏得尊重嗎?

　　即使是蓋茨也難以回答這一問(wèn)題。人難免會(huì)犯錯(cuò)誤，微軟現(xiàn)在之所以在安全上成為其軟肋，就是因?yàn)槲④浽陂_(kāi)發(fā)軟件之初就天真的以為世界上都是好人，數(shù)據(jù)中心也經(jīng)常遭人攻擊。

　　十多年之前的包袱至今還是壓在微軟身上。即使是在今天，25年之前的設(shè)計(jì)還是陰魂不散，Vista不是一個(gè)新的操作系統(tǒng)，在vista 的名號(hào)掩蓋之下實(shí)際上有很多老式的設(shè)計(jì)，這些都是為了保護(hù)系統(tǒng)的兼容性。

　　微軟現(xiàn)在出于一個(gè)兩難的境地。如果微軟真的是想從頭開(kāi)始設(shè)計(jì)的話，很可能就要犧牲金錢上的收益，這是微軟不愿意做的。

　　幾年以前，微軟曾經(jīng)試著去與過(guò)去的設(shè)計(jì)做一個(gè)了斷，計(jì)劃叫做“下一代安全計(jì)算基礎(chǔ)”(NGSCB)計(jì)劃，但是最后還是不了了之。

　　有分析人士認(rèn)為，微軟實(shí)際上還是在走老路，這樣就能保證其在市場(chǎng)上的龍頭地位。有一位專家說(shuō)，如果他是蓋茨的話，就會(huì)與過(guò)去做一個(gè)了斷，開(kāi)發(fā)一個(gè)與過(guò)去完全不同的系統(tǒng)。

　　在其它方面，微軟微軟開(kāi)發(fā)了一套身份策略系統(tǒng)，但是這只是以Windows為中心的方法。他們從不嘗試其它的操作平臺(tái)。由于微軟始終不接受SAML標(biāo)準(zhǔn)，這是一個(gè)很大的錯(cuò)誤，不利于這一個(gè)行業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

　　Linux, Unix和Macintosh操作系統(tǒng)使用了比微軟操作系統(tǒng)更安全的設(shè)計(jì)。但是Vista和XP2在安全上還是有所提高。

　　實(shí)際上，微軟在安全問(wèn)題上已有一點(diǎn)臭名昭著，小的改變不足以改變其形象。微軟有很多天才身份認(rèn)證專家，但是他們的意見(jiàn)很少被微軟采納，很可能是被壓制了。一些與微軟系統(tǒng)相兼容的第三方安全軟件提供商也一直在努力。

　　在微軟的一些部門中，譬如管理CRM或辦公產(chǎn)品的部門，他們根本未與第三方安全軟件廠商合作，但是它們的核心操作系統(tǒng)卻更加開(kāi)放。但是與微軟合作最煩人的就是你可能需要獲得官方的認(rèn)證，但是微軟并沒(méi)有更新其技術(shù)文件。

　　有專家說(shuō)，微軟很多操作系統(tǒng)根本就沒(méi)有記錄，因?yàn)椴僮飨到y(tǒng)不斷發(fā)布新的版本的升級(jí)，沒(méi)有人能夠把這些都記錄下來(lái)。譬如微軟改變周二發(fā)布補(bǔ)丁的慣例，然后數(shù)據(jù)連接程序庫(kù)也被改變，但是這并不會(huì)改變文件記錄，但是程序卻不能運(yùn)行了。我們不得不研究這些變化。

　　在過(guò)去的幾年，并沒(méi)有大規(guī)模的蠕蟲攻擊，譬如Code Red, Blaster 和 Nimbda，微軟的漏洞造成全球性的恐慌。現(xiàn)在黑客把攻擊的重點(diǎn)轉(zhuǎn)向了第三方網(wǎng)絡(luò)插件。因?yàn)檫^(guò)去黑客找到微軟的漏洞很簡(jiǎn)單，但是隨著微軟產(chǎn)品的不斷改進(jìn)，微軟現(xiàn)在有專業(yè)人士在查找這些漏洞。

　　NAC(網(wǎng)絡(luò)訪問(wèn)控制)：防火墻還夠用嗎?

　　并不是每個(gè)人都需要NAC，但是對(duì)于控制個(gè)人的網(wǎng)絡(luò)訪問(wèn)還是很有效的工具。

　　NAC對(duì)于那些需要監(jiān)管的行業(yè)是很有效的。NAC對(duì)外界的訪問(wèn)終端進(jìn)行綜合的檢查，可以幫助管理人員在合法的終端上執(zhí)行企業(yè)的安全政策。

　　絕大多數(shù)的NAC平臺(tái)不僅僅起這點(diǎn)作用，還有記錄這些表現(xiàn)，這些記錄可能在支付卡行業(yè)(PCI)和：健康保險(xiǎn)攜帶和責(zé)任法案(HIPAA)中需要。

　　根據(jù)Gartner的調(diào)查，NAC在掃描用戶的問(wèn)題上表現(xiàn)優(yōu)異。絕大多數(shù)Gartner在部署客戶網(wǎng)絡(luò)的時(shí)候都將NAC作為優(yōu)先考慮。2007年，很多安全管理人員將NAC視為一種戰(zhàn)略性的安全過(guò)程，它可以為客戶網(wǎng)絡(luò)帶來(lái)很大的好處。

　　如果企業(yè)中的員工復(fù)雜，既有全職員工，合同工，還有經(jīng)常訪問(wèn)網(wǎng)絡(luò)的客戶，NAC可以保證他們使用的設(shè)備符合配置標(biāo)準(zhǔn)。對(duì)于不滿足條件的機(jī)器，NAC既可以修復(fù)他們，或是隔離，或是訪問(wèn)限定的資源就不至于造成很大的損害。

　　類似的，如果企業(yè)的各個(gè)部門的網(wǎng)絡(luò)需要隔離，就可以使用NAC中的不同層級(jí)的授權(quán)控制。

　　如果企業(yè)根據(jù)兼容要求，不同類型的工作人員，和全球戰(zhàn)略的不同使用NAC，　我們將會(huì)掀起一場(chǎng)新的變革。

　　不久，NAC將成為多層安全架構(gòu)中不可或缺的部分，對(duì)于防火墻的依賴將減小。而是根據(jù)安全層級(jí)的不同尋求解決威脅的辦法。NAC不一定是必須的，但是將會(huì)成為新的安全架構(gòu)的關(guān)鍵部件。

　　如果沒(méi)有NAC，很多網(wǎng)絡(luò)就像沒(méi)有設(shè)防一樣。這一技術(shù)將會(huì)降低受到威脅的機(jī)器訪問(wèn)網(wǎng)絡(luò)造成危害的可能性。但是并不能完全保證安全。NAC可以處理傳統(tǒng)的防火墻不能應(yīng)對(duì)的威脅，盡管NAC也有不能處理的問(wèn)題，但是可以做出應(yīng)有的貢獻(xiàn)。

　　捫心自問(wèn);防火墻真的夠了嗎?如果你的答案是肯定的，那么NAC絕對(duì)是多于的。它提供的只是額外的主機(jī)完整性檢查，但是對(duì)于目前的防火墻中的授權(quán)和認(rèn)證沒(méi)什么價(jià)值。

　　IT能夠解決補(bǔ)丁管理嗎?

　　補(bǔ)丁和漏洞管理工具更像是在一個(gè)靜態(tài)的，控制的環(huán)境中保護(hù)受威脅的計(jì)算機(jī)。在IT部門經(jīng)理人的眼中，這是他們優(yōu)先考慮的技術(shù)區(qū)域，他們把更多的精力放在漏洞掃描，補(bǔ)丁測(cè)試和軟件分布過(guò)程。

　　根據(jù)企業(yè)管理聯(lián)盟(EMA)對(duì)250名IT經(jīng)理的調(diào)查，超過(guò)四分之三(76%)的企業(yè)有自己的補(bǔ)丁管理產(chǎn)品，并且認(rèn)為補(bǔ)丁策略是保證企業(yè)安全的重要方法。相關(guān)行業(yè)報(bào)告表明，補(bǔ)丁產(chǎn)品近年下降了。觀察人士認(rèn)為這是反映了市場(chǎng)補(bǔ)丁產(chǎn)品和IT管理上的成熟。

　　相關(guān)廠商說(shuō)，在哪些需要補(bǔ)丁上沒(méi)有什么改變，但是那些遠(yuǎn)程用戶卻很難及時(shí)獲得補(bǔ)丁。有些廠商的對(duì)應(yīng)策略就是使用虛擬個(gè)網(wǎng)絡(luò)(VPN)來(lái)實(shí)現(xiàn)補(bǔ)丁，但是更新不定時(shí)。

　　有些企業(yè)的補(bǔ)丁策略很成熟，但是廠商往往在發(fā)布補(bǔ)丁的時(shí)候會(huì)進(jìn)行事前的測(cè)試，這會(huì)減弱企業(yè)的補(bǔ)丁策略。

　　企業(yè)抱怨說(shuō)，廠商應(yīng)該在補(bǔ)丁發(fā)布之前就應(yīng)該在內(nèi)部測(cè)試完畢。相比微軟等閉源企業(yè)來(lái)說(shuō)，這對(duì)于開(kāi)源技術(shù)更加簡(jiǎn)單。

　　盡管行業(yè)觀察人士指出了現(xiàn)行的補(bǔ)丁策略的很多問(wèn)題，補(bǔ)丁更多需要考慮的是用戶的使用環(huán)境。他們警告說(shuō)，盡管現(xiàn)在的補(bǔ)丁管理技術(shù)很成熟，因?yàn)榄h(huán)境升級(jí)為虛擬化和復(fù)雜的應(yīng)用程序結(jié)構(gòu)，補(bǔ)丁策略還需要繼續(xù)向前發(fā)展。開(kāi)發(fā)商還需要把虛擬化技術(shù)等加入工具中更好的幫助用戶下載補(bǔ)丁。

　　EMA的一位專家說(shuō)，這是一種相對(duì)成熟的技術(shù)，但是并不是說(shuō)我們完全了解了它。譬如說(shuō)，我們還不是很了解在虛擬環(huán)境中的補(bǔ)丁;服務(wù)器和臺(tái)式機(jī)的虛擬化正在拋棄過(guò)往的補(bǔ)丁規(guī)則。這位專家還說(shuō)，虛擬化不僅帶來(lái)了復(fù)雜，還有就是在同一時(shí)間對(duì)增加的指數(shù)級(jí)的電腦添加補(bǔ)丁。這可能會(huì)導(dǎo)致IT經(jīng)理加速補(bǔ)丁測(cè)試，這就可能導(dǎo)致配置上的沖突。測(cè)試是補(bǔ)丁的關(guān)鍵，但是隨著零天攻擊的增多和虛擬機(jī)器的大量出現(xiàn)，保護(hù)網(wǎng)絡(luò)環(huán)境顯得更加復(fù)雜了。

　　增加了獨(dú)立的補(bǔ)丁，補(bǔ)丁可能會(huì)演變成IT經(jīng)理新的挑戰(zhàn)。隨著網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜和廠商分布補(bǔ)丁數(shù)量的增多，測(cè)試的層級(jí)和補(bǔ)丁的發(fā)布將會(huì)與過(guò)往很不同，這對(duì)于IT經(jīng)理來(lái)說(shuō)是一個(gè)挑戰(zhàn)。

　　我們現(xiàn)在需要努力的就是從傳統(tǒng)的先后補(bǔ)丁順序轉(zhuǎn)向多個(gè)廠商，因?yàn)樗�有的結(jié)構(gòu)層級(jí)——硬件，操作系統(tǒng)是實(shí)體，虛擬化軟件和虛擬化機(jī)器——那么在選擇下載補(bǔ)丁時(shí)的順序是怎么樣才是最好呢?

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]