跨國(guó)企業(yè)網(wǎng)絡(luò):應(yīng)對(duì)復(fù)雜求安全

安全威脅數(shù)量眾多，威脅種類多種多樣，各國(guó)政府和行業(yè)協(xié)會(huì)制定的法規(guī)、標(biāo)準(zhǔn)內(nèi)容迥異，面對(duì)如此復(fù)雜的環(huán)境，跨國(guó)企業(yè)如何保證網(wǎng)絡(luò)安全?

企業(yè)網(wǎng)絡(luò)正面臨前所未有的高風(fēng)險(xiǎn): 每個(gè)企業(yè)都必須遵從數(shù)量眾多且時(shí)常發(fā)生沖突的內(nèi)部政策、政府法規(guī)、第三方條例，以及與安全相關(guān)的行業(yè)最佳做法，這種高度復(fù)雜的安全環(huán)境本身又滋生出一種新的“極端風(fēng)險(xiǎn)”——可能導(dǎo)致一個(gè)或多個(gè)設(shè)備出現(xiàn)配置錯(cuò)誤，或來(lái)不及應(yīng)用最新的規(guī)則或軟件補(bǔ)丁，進(jìn)而使企業(yè)陷入危險(xiǎn)境地。跨國(guó)企業(yè)在這方面面臨的問(wèn)題尤甚。

如何在紛亂復(fù)雜的環(huán)境中成功降低跨國(guó)企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)?

復(fù)雜即風(fēng)險(xiǎn)

每個(gè)企業(yè)的當(dāng)務(wù)之急就是避免配置錯(cuò)誤和違規(guī)行為，這不僅是為了規(guī)避法律風(fēng)險(xiǎn)、罰款及其他違規(guī)處罰，同時(shí)也是為了維護(hù)企業(yè)的誠(chéng)信、聲譽(yù)和品牌。然而，降低企業(yè)風(fēng)險(xiǎn)現(xiàn)在已成為縱貫多個(gè)層面的課題，需要在多個(gè)層面上制定并實(shí)施相應(yīng)策略——由此產(chǎn)生的復(fù)雜性已成為當(dāng)今企業(yè)面臨的最大難題之一。

當(dāng)今企業(yè)面臨著各種各樣的安全漏洞，防范它們所需要的工具各不相同。這些漏洞主要包括:

●使網(wǎng)絡(luò)易受其他形式攻擊的網(wǎng)絡(luò)漏洞;

●數(shù)據(jù)竊取，包括跨網(wǎng)絡(luò)數(shù)據(jù)劫持;

●導(dǎo)致服務(wù)器、個(gè)人電腦或虛擬應(yīng)用行為失常或成為其他攻擊類型源頭的惡意軟件;

●拒絕服務(wù)(DoS)攻擊，可造成數(shù)據(jù)不可用，或授權(quán)用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)。

企業(yè)不僅面臨上述威脅，還必須遵從數(shù)量眾多的行業(yè)及監(jiān)管條例:

首先是外部監(jiān)管。企業(yè)必須遵從各種因國(guó)家和地區(qū)而異的客戶隱私條例，除此之外，還有專門針對(duì)特定垂直市場(chǎng)的第三方條例。比如，在美國(guó)，由信用卡公司組成的支付卡行業(yè)(PCI)協(xié)會(huì)分別對(duì)零售商和接受信用卡付款的實(shí)體規(guī)定了消費(fèi)者隱私標(biāo)準(zhǔn)，其中涵蓋IT及網(wǎng)絡(luò)域名。企業(yè)如果違規(guī)，就要接受該協(xié)會(huì)嚴(yán)厲的罰款和其他違規(guī)處罰。

其次是最佳做法標(biāo)準(zhǔn)。許多企業(yè)通過(guò)實(shí)施行業(yè)標(biāo)準(zhǔn)的IT安全管理最佳做法(國(guó)際標(biāo)準(zhǔn)化組織ISO 27000系列文件中有詳述)來(lái)增強(qiáng)其安全措施。這固然可使企業(yè)建立起適當(dāng)?shù)陌踩雷o(hù)網(wǎng)，以保護(hù)其知識(shí)產(chǎn)權(quán)(IP)、機(jī)密數(shù)據(jù)及客戶信息，同時(shí)為業(yè)務(wù)持續(xù)性計(jì)劃提供支持，但遵循行業(yè)最佳做法卻會(huì)產(chǎn)生一個(gè)新的安全規(guī)則層。

此外，正在潛入企業(yè)內(nèi)部的Web 2.0社交網(wǎng)絡(luò)、需要不斷更新的軟件及安全補(bǔ)丁……也都會(huì)增加企業(yè)的安全復(fù)雜性。

進(jìn)入企業(yè)的新通道社交網(wǎng)絡(luò)

近年來(lái)，Web 2.0技術(shù)使網(wǎng)絡(luò)安全形勢(shì)再起波瀾。一年前，很多企業(yè)可能都沒(méi)聽說(shuō)過(guò)Twitter、Facebook、YouTube之類的流行社交網(wǎng)絡(luò)，而如今，它們已借合法商業(yè)及營(yíng)銷之名滲透到了企業(yè)網(wǎng)絡(luò)內(nèi)部，雖然目前可能仍然只限于員工個(gè)人使用。

進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部的新通道正在形成。理想情況下，這些通道可用于增強(qiáng)企業(yè)的商業(yè)意識(shí)和改善運(yùn)營(yíng); 但另一方面，它們也開辟了行使惡作劇或竊取企業(yè)數(shù)據(jù)的新途徑，為員工向企業(yè)外部泄露敏感信息提供了方便。比如，社交網(wǎng)站就經(jīng)常被用來(lái)發(fā)動(dòng)網(wǎng)絡(luò)釣魚詐騙。

移動(dòng)和無(wú)線

傳統(tǒng)的網(wǎng)絡(luò)邊界及其相關(guān)的保護(hù)措施正隨著企業(yè)用戶轉(zhuǎn)向無(wú)線網(wǎng)絡(luò)(包括蜂窩移動(dòng)網(wǎng)絡(luò)和/或 Wi-Fi無(wú)線網(wǎng)絡(luò))而逐漸發(fā)生改變。企業(yè)必須為移動(dòng)設(shè)備提供保護(hù)，加密存儲(chǔ)在移動(dòng)設(shè)備上的機(jī)密數(shù)據(jù)和通過(guò)無(wú)線傳輸?shù)馁Y料，以及保護(hù)企業(yè)網(wǎng)絡(luò)、防范移動(dòng)網(wǎng)絡(luò)入侵(如黑客或惡意軟件)，這已成為移動(dòng)設(shè)備管理(MDM)的一個(gè)分支。

總的來(lái)說(shuō)，信息和網(wǎng)絡(luò)技術(shù)的“消費(fèi)化”開辟了(且還將繼續(xù)開辟)大量“進(jìn)出”企業(yè)的新途徑，其中多數(shù)可在戰(zhàn)略上幫助企業(yè)獲益。隨著 Web 2.0 應(yīng)用的演變和移動(dòng)網(wǎng)絡(luò)的興起，安全成了一套動(dòng)態(tài)、不斷變化的規(guī)則，必須予以密切關(guān)注。安全已不再是一種“設(shè)定后即可置之不理”的方針。

“緊跟變化”的難題

以上因素營(yíng)造了一個(gè)復(fù)雜、多變的安全環(huán)境，而且該環(huán)境本身就是個(gè)巨大的風(fēng)險(xiǎn)。其復(fù)雜程度更高、安全層數(shù)更多、員工專業(yè)知識(shí)更趨多樣化，必須予以管理和簡(jiǎn)化。來(lái)自軟件和網(wǎng)絡(luò)設(shè)備公司的新軟件補(bǔ)丁、漏洞修補(bǔ)程序和安全更新不斷增加，與時(shí)俱進(jìn)的要求會(huì)迅速造成操作人員不堪重負(fù)，致使企業(yè)不得不在設(shè)備和軟件方面做出額外投資。此外，萬(wàn)一負(fù)責(zé)基礎(chǔ)架構(gòu)不同部分的 IT 員工，比如安全管理員與應(yīng)用服務(wù)器管理員，未能協(xié)調(diào)好工作，導(dǎo)致一部分部件更新，而另一部分未得到更新，也可能造成安全漏洞。

CIO和其他負(fù)責(zé)IT安全工作的員工應(yīng)考慮的一個(gè)基本問(wèn)題是: 如何準(zhǔn)確創(chuàng)建、實(shí)施、過(guò)濾和關(guān)聯(lián)所有這些策略、事件和潛在違規(guī)行為，以便時(shí)刻把握安全形勢(shì)?多管齊下地進(jìn)行風(fēng)險(xiǎn)管理，目標(biāo)就是確保公司始終遵守各項(xiàng)法規(guī)，并消除針對(duì)其知識(shí)產(chǎn)權(quán)及數(shù)據(jù)保密性、完整性和可用性的威脅。

此外，降低風(fēng)險(xiǎn)還需要一套自上而下的管理方法，這種方法根據(jù)來(lái)自上層的管理策略編寫規(guī)則。應(yīng)確保公司各個(gè)層級(jí)都了解這套安全策略，并使之成為企業(yè)文化的一部分。安全應(yīng)成為業(yè)務(wù)運(yùn)作的一個(gè)組成部分。

四招

降低風(fēng)險(xiǎn)

要想在復(fù)雜環(huán)境中降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)，首先要縱觀全局，評(píng)估涉及隱私及機(jī)密信息的各項(xiàng)數(shù)據(jù)資產(chǎn)。其實(shí)質(zhì)操作與業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃相同，目標(biāo)均為防止數(shù)據(jù)失竊、受損或無(wú)法訪問(wèn)。因此，數(shù)據(jù)安全評(píng)估和業(yè)務(wù)持續(xù)性評(píng)估可同時(shí)執(zhí)行。

掌控企業(yè)整體安全形勢(shì)并降低風(fēng)險(xiǎn)，還可從以下幾方面入手:

1. 風(fēng)險(xiǎn)/漏洞評(píng)估

執(zhí)行風(fēng)險(xiǎn)/漏洞評(píng)估的第一步，是引入能夠發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上運(yùn)行的一切網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備及軟件的管理工具集。必須先了解都有哪些部件，然后才能確定是否所有部件都符合最新的策略規(guī)定，遵從適用的法規(guī)、條例，以及應(yīng)用軟件補(bǔ)丁。

幸運(yùn)的是，網(wǎng)絡(luò)發(fā)現(xiàn)及安全工具的準(zhǔn)確性在過(guò)去幾年里得到了極大提高。它們現(xiàn)在能夠從網(wǎng)絡(luò)及全網(wǎng)服務(wù)器設(shè)備處收集海量的安全事件數(shù)據(jù)，然后將之歸納到超長(zhǎng)的報(bào)告中，詳述網(wǎng)絡(luò)安全的各個(gè)方面。

現(xiàn)在，您可以捕獲所有此類信息了，然而您面臨的更大難題是，如何利用這些信息制定出有實(shí)際意義的舉措。這就需要您掌控這些信息，排定其優(yōu)先順序，并加以組織——所有這些必須迅速完成。捕獲到的大部分事件信息是無(wú)關(guān)緊要或重復(fù)的，因此，過(guò)濾信息并在攻擊發(fā)動(dòng)之前迅速找到實(shí)際潛在的風(fēng)險(xiǎn)至關(guān)重要。

過(guò)濾可通過(guò)編寫能夠分離大量冗余信息和異常活動(dòng)的自定義算法來(lái)完成。無(wú)論在企業(yè)內(nèi)部還是在開放的互聯(lián)網(wǎng)上，數(shù)據(jù)分析均基于已知攻擊類型和流量歷史數(shù)據(jù)。許多公司對(duì)安全問(wèn)題的認(rèn)知不夠全面，也未將其作為分析的一部分對(duì)待，而事實(shí)上，安全問(wèn)題已對(duì)全球范圍的網(wǎng)絡(luò)造成了巨大影響。此外，公司還缺乏可幫助其捕獲數(shù)據(jù)并排定優(yōu)先順序的數(shù)據(jù)收集工具，比如分析軟件。

要不斷更新設(shè)備，企業(yè)還必須具有實(shí)現(xiàn)多種設(shè)備或設(shè)備類型相關(guān)聯(lián)，以及定期執(zhí)行漏洞掃描的能力，這些功能需要不同的專業(yè)知識(shí)和人力資源。

2. 集中化=簡(jiǎn)單+可靠

所有收集到的數(shù)據(jù)(來(lái)自面向公眾的設(shè)備以及內(nèi)部設(shè)備)應(yīng)集中進(jìn)行分析，以反映企業(yè)全貌。其目標(biāo)應(yīng)為簡(jiǎn)化信息，以幫助企業(yè)加快獲得基于業(yè)務(wù)需求的優(yōu)先順序警報(bào)，并能夠根據(jù)檢測(cè)到的威脅或漏洞做出適當(dāng)反應(yīng)。

實(shí)現(xiàn)這一目標(biāo)的最可靠方法之一，是通過(guò)網(wǎng)關(guān)與防火墻(位于不同網(wǎng)絡(luò)結(jié)點(diǎn)的設(shè)備，如LAN與 WAN之間或WAN與互聯(lián)網(wǎng)之間的設(shè)備)的統(tǒng)一視圖收集事件數(shù)據(jù)，然后將其聚合到一個(gè)中央位置。無(wú)論這項(xiàng)功能是內(nèi)部處理還是外包處理，跨設(shè)備的網(wǎng)絡(luò)事件數(shù)據(jù)關(guān)聯(lián)與聚合形成的企業(yè)全貌，可幫助您預(yù)測(cè)事件即將發(fā)生的時(shí)間，讓您在其損害到企業(yè)之前主動(dòng)化解這些事件，從而大幅降低風(fēng)險(xiǎn)。

強(qiáng)大的發(fā)現(xiàn)工具或第三方發(fā)現(xiàn)服務(wù)能夠篩選數(shù)以億計(jì)的警報(bào)，過(guò)濾掉不相關(guān)的數(shù)據(jù)，并將數(shù)據(jù)削減到100～200個(gè)需要網(wǎng)絡(luò)分析師介入的事件。之后，分析師應(yīng)能夠解決約50個(gè)需要警惕的重要事件。

將事件削減到網(wǎng)絡(luò)分析師能夠處理的重要事件數(shù)量，是簡(jiǎn)化復(fù)雜/整體網(wǎng)絡(luò)安全形勢(shì)的關(guān)鍵步驟。如果本地IT員工的工作與其他站點(diǎn)的工作脫節(jié)，就必定會(huì)形成安全漏洞。

無(wú)論如何，跨國(guó)公司都必須應(yīng)對(duì)不同國(guó)家/地區(qū)的不同法規(guī)和條例。這可能會(huì)導(dǎo)致不同的網(wǎng)絡(luò)需要不同的防火墻策略設(shè)置。此外，防火墻補(bǔ)丁是定期發(fā)布的，而多數(shù)大型IT部門傾向于按某種優(yōu)先順序來(lái)為設(shè)備打補(bǔ)丁和升級(jí)。這一過(guò)程通常會(huì)導(dǎo)致優(yōu)先級(jí)較低的站點(diǎn)疏于管理。實(shí)際上，一個(gè)站點(diǎn)的防火墻如果幾年都未升過(guò)級(jí)，那就跟沒(méi)有防火墻一樣。

集中變更管理功能可外包給大型實(shí)體來(lái)予以簡(jiǎn)化，這些實(shí)體應(yīng)具有規(guī)模效益、最新工具以及能夠作為一個(gè)完整實(shí)體來(lái)評(píng)估和更新整個(gè)網(wǎng)絡(luò)的安全專家。如果要內(nèi)部處理這些事務(wù)，則需要在各個(gè)國(guó)家/地區(qū)雇用專家，這些專家應(yīng)了解哪類信息可以在哪些國(guó)家/地區(qū)之間傳遞，負(fù)責(zé)維護(hù)能夠獲取每個(gè)國(guó)家/地區(qū)策略全貌并創(chuàng)建適用于所有策略的集中式策略的核心團(tuán)隊(duì)。

3. 策略設(shè)置與實(shí)施

今天的許多防火墻和防火墻服務(wù)都將數(shù)量眾多的安全功能合并到一個(gè)設(shè)備或服務(wù)之中。這些功能有多個(gè)“層級(jí)”，每個(gè)防火墻內(nèi)集成的功能取決于介于各個(gè)站點(diǎn)之間(WAN 服務(wù)與專用網(wǎng)絡(luò)、專用網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)、公共服務(wù)器與專用網(wǎng)絡(luò)等)的網(wǎng)絡(luò)。另外，它們還取決于與該網(wǎng)段相關(guān)的漏洞/風(fēng)險(xiǎn)。

入侵防護(hù)工具可能會(huì)集成這樣一類策略: 對(duì)流量執(zhí)行代表異常的特征碼進(jìn)行掃描。防火墻和安全軟件廠商會(huì)針對(duì)已知惡意軟件的特征碼迅速制作并發(fā)送補(bǔ)丁，將其自動(dòng)從流量中過(guò)濾掉。這就是必須確保所有設(shè)備不斷更新的原因，新的威脅時(shí)時(shí)刻刻都在涌現(xiàn)。

安全程序還可以簡(jiǎn)單地尋找任何“不尋常”的活動(dòng)——例如，特定服務(wù)器或其他計(jì)算機(jī)上出現(xiàn)非常多的通信請(qǐng)求，會(huì)使其過(guò)于“忙碌”，而造成用戶無(wú)法訪問(wèn)。

根據(jù)某個(gè)企業(yè)必須遵從的一系列內(nèi)部最佳做法和監(jiān)管要求，用戶訪問(wèn)列表和驗(yàn)證可能是基于角色的，且可能因國(guó)家/地區(qū)、行業(yè)而異。這對(duì)于加密數(shù)據(jù)是一樣的，無(wú)論這些數(shù)據(jù)是保存在個(gè)人電腦硬盤上，還是使用IP Sec或SSL VPN專用“隧道”通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸。

4. 與可信第三方合作

今時(shí)今日，要保持不斷更新自己遍布全球的分支機(jī)構(gòu)網(wǎng)絡(luò)上日新月異的策略和安全設(shè)置(需要實(shí)施、評(píng)估和審核)，是大型跨國(guó)企業(yè)面臨的一道難題，甚至是一項(xiàng)不可能完成的任務(wù)。它們需要一個(gè)專注于該領(lǐng)域并經(jīng)過(guò)授權(quán)的安全/網(wǎng)絡(luò)運(yùn)營(yíng)中心(S/NOC)為其提供全天候不間斷的政策和法規(guī)審查、風(fēng)險(xiǎn)評(píng)估、應(yīng)對(duì)即將來(lái)臨的警報(bào)并主動(dòng)規(guī)避風(fēng)險(xiǎn)。

有些跨國(guó)企業(yè)會(huì)依靠自己的力量，努力管理和維護(hù)這些中心。只要新的法規(guī)和安全威脅不斷出現(xiàn)，此類企業(yè)就必須不斷為升級(jí)設(shè)備、軟件和提高員工技能持續(xù)投資。

但是，也有很多跨國(guó)企業(yè)認(rèn)為信息和網(wǎng)絡(luò)安全體系并不屬于公司的核心業(yè)務(wù)，不妨將持續(xù)監(jiān)控、評(píng)估和審核這些工作交由專業(yè)、可信的合作伙伴來(lái)完成。

專業(yè)的第三方安全服務(wù)提供商提供的服務(wù)能夠覆蓋全球，并可隨行業(yè)變化不斷更新其工具和專業(yè)知識(shí)。他們具有超強(qiáng)的專業(yè)技能，每小時(shí)能夠處理全球數(shù)百萬(wàn)件安全事件，并過(guò)濾出最重要和值得關(guān)注的事件。企業(yè)只需每月支付一些服務(wù)費(fèi)，即可確保其第三方S/NOC合作伙伴具備最領(lǐng)先的工具和專業(yè)知識(shí)，來(lái)為企業(yè)的網(wǎng)絡(luò)和IT基礎(chǔ)架構(gòu)提供全天候的保護(hù)。

此外，業(yè)務(wù)持續(xù)性所需的冗余也可在外包合作伙伴高度安全的S/NOC設(shè)施內(nèi)自動(dòng)建立起來(lái)，即自動(dòng)設(shè)立設(shè)備冗余和網(wǎng)絡(luò)線路冗余，以避免停機(jī)導(dǎo)致數(shù)據(jù)丟失。