正如沒有絕對富有或者絕對貧窮,網(wǎng)絡(luò)安全供應(yīng)商指出:沒有絕對的網(wǎng)絡(luò)安全。然而,某些網(wǎng)絡(luò)安全專家們可能會說,唯一絕對安全的計算機必須切斷電源,用“混凝土”來填充,并投放到海底。既然如此,企業(yè)的IT經(jīng)理們怎樣才能開發(fā)出一套行之有效的安全戰(zhàn)略,既能保持網(wǎng)絡(luò)安全性和系統(tǒng)性能,又不必耗費巨資呢?
前陣子,一個名為“MDropper”,專門利用PowerPoint的特洛伊木馬病毒,被發(fā)現(xiàn)“粉墨登場”,它已經(jīng)感染了一些電腦,但是該病毒并沒有波及所有領(lǐng)域,即通報中網(wǎng)絡(luò)安全問題通常所涉及的領(lǐng)域。而幾個星期之前,F(xiàn)ortinet公司已公開發(fā)表有關(guān)Microsoft Office重大漏洞的新發(fā)現(xiàn),其中該漏洞是由PNG過濾器導(dǎo)致的,微軟并對此作了相關(guān)修正。而Symantec發(fā)表了一個關(guān)于Window Vista的報告,該報告針對微軟發(fā)布的下一主要操作系統(tǒng)中重新編寫的“網(wǎng)絡(luò)協(xié)議棧(network protocol stack)”提出了批評意見,指出:“盡管微軟公司確實發(fā)現(xiàn)并修正了聯(lián)網(wǎng)代碼這些問題,但我們?nèi)韵M诮窈笕阅懿粩嗾页雎┒础MǔW鳛閺?fù)雜軟件體系的聯(lián)網(wǎng)棧要歷經(jīng)數(shù)年才能真正成熟”。
計算機和網(wǎng)絡(luò)威脅的演變史
從表面上看,病毒、特洛伊木馬、間諜程序以及其他形式的惡意代碼軟件將一直存在,網(wǎng)絡(luò)普遍受到的安全威脅無法在短時間內(nèi)有所好轉(zhuǎn)。目前面臨的挑戰(zhàn),并非僅僅讓企業(yè)主和高層管理人員堅信他們確實需要一個可行的網(wǎng)絡(luò)安全策略,而是需要找到一種解決方案,既能夠充分節(jié)約成本和利用有限的資源,又能有效地解決網(wǎng)絡(luò)安全問題。
就在幾年前,大部分公司所使用的安全策略,主要是由網(wǎng)關(guān)處設(shè)立的防火墻以及每個臺式電腦、手提電腦上安裝的防病毒程序組成。而今,網(wǎng)絡(luò)管理員還需兼任網(wǎng)絡(luò)安全指揮官,通過在防火墻上設(shè)置一系列有效規(guī)則來實施安全策略,以有效阻止大多數(shù)電腦黑客的入侵。然而從那時開始,計算機和網(wǎng)絡(luò)威脅的實質(zhì)開始迅速轉(zhuǎn)變。當(dāng)今的網(wǎng)絡(luò)威脅充分利用了常用服務(wù)(如電子郵件),作為惡意軟件的傳輸載體。網(wǎng)絡(luò)蠕蟲和病毒目前還有其他一些特性:如Melissa 蠕蟲病毒本身帶有一個郵件引擎,該引擎可以復(fù)制郵件本身并將其發(fā)送給感染此類病毒的計算機通訊錄中的所有用戶。諸如之前提到的MDropper最新病毒目標(biāo)更加明確,這表示黑客以及攻擊者開始集中于一系列目標(biāo),而不再毫無選擇的攻擊更多的機器。
隨著各種攻擊方式的涌現(xiàn),單純的防火墻已無法滿足防御需求。目前的企業(yè)通常會在郵件服務(wù)器上部署防垃圾郵件(anti-spam)軟件,進(jìn)行入侵探測,以及阻止非法用戶登錄網(wǎng)絡(luò)等。如今的防火墻已集成更多先進(jìn)技術(shù),如信息包深入檢測技術(shù)(deep packet inspection),可通過查看網(wǎng)絡(luò)流的內(nèi)容來糾出惡意軟件;現(xiàn)在臺式電腦和手提電腦上安裝的防間諜軟件以及私人防火墻主要是增大防病毒軟件的防護(hù)功能。安全軟件以及系統(tǒng)的多樣化和寬泛性帶來了一個新挑戰(zhàn),那就是“易管理性”。
對多樣化的有效管理
為了具體說明提升“易管理性”所面臨的挑戰(zhàn),我們可以假定某公司有10臺計算機,每臺機器都安裝了防病毒軟件以及單獨的防火清;如果目前只有一個網(wǎng)絡(luò)管理員,如果要為每臺機器都下載更新該月最新的病毒庫(盡管事實上不可能),則需要花費很長一段時間。設(shè)想一下,如果該公司有50臺計算機,甚至100臺計算機,那工作量將不可思議!如此工作很快就會變得行不通。而如果將下載更新病毒庫的任務(wù)轉(zhuǎn)交給其用戶,任何經(jīng)驗豐富的系統(tǒng)管理員都會告訴你,這更不現(xiàn)實,因為大多數(shù)非專業(yè)用戶會感覺很麻煩。
另一個問題便是技術(shù)方面的要求。目前,大多數(shù)網(wǎng)絡(luò)管理員對TCP/IP以及基本的防火墻或者信息包過濾技術(shù)至少有一個基本的了解。然而,我們必須保護(hù)企業(yè)免受來自郵件或者短消息客戶端、甚至內(nèi)部人士訪問非法網(wǎng)站所導(dǎo)致的病毒和惡意軟件攻擊;管理員需要懂得如何配置信息過濾,如何通過關(guān)閉不使用的或是易受攻擊的端口來保護(hù)服務(wù)器,安裝并配置防垃圾郵件軟件以及防范垃圾郵件引擎等。大型企業(yè)或許有資源、人力以及內(nèi)部技術(shù)來實現(xiàn)以上需求,但是中小型企業(yè)就可能無法實現(xiàn),而黑客侵入只需找到安全策略中某些被忽略的局部漏洞就夠了。
如此說來,中小型企業(yè)就無計可施,只能坐以待斃、等待黑客攻擊么?相反的,大型企業(yè)只要有巨額預(yù)算和充足人力就能輕松應(yīng)對黑客、高枕無憂么?
如果安全策略只是簡單的安裝更多的防火墻和防病毒軟件之類的問題,那么中小型企業(yè)勢必始終處于劣勢,而大型企業(yè)將無與匹敵。這顯然很荒謬,因為這是把安全看成了一門學(xué)問,而實際上它更是一門藝術(shù)。
無論網(wǎng)絡(luò)安全供應(yīng)商如何推崇其產(chǎn)品,絕對安全可靠的網(wǎng)絡(luò)并不存在 — 只是網(wǎng)絡(luò)容易受到攻擊或者很難受到攻擊。如果黑客技術(shù)足夠過硬,時間足夠充足,再好的防火墻、再優(yōu)秀的軟件都有可能發(fā)揮不到作用。另一方面,一個經(jīng)過周密考慮和部署的安全系統(tǒng),完全可以為大多數(shù)公司提供充足防護(hù),一旦發(fā)現(xiàn)非法侵入,即可做出適當(dāng)響應(yīng),從而可以長期有效地阻止黑客攻擊。
| 共2頁: 1 [2] 下一頁 | ||
|
