新的威脅與新的應用結伴而來,全球只有不到四分之一的公司意識到了這一點,企業面臨的無線網絡安全問題不容小覷。
隨著企業員工要求對應用和數據進行無線訪問的呼聲日益增高,無線安全變得更為重要?!禝nformationWeek》研究部與埃森哲咨詢公司(Accenture)2006年合作進行的“全球安全調查”顯示:過去一年中,25%的美國公司已將其對無線網絡安全的重視提升到“戰術”安全層面,歐洲、印度和中國公司的相應比例分別是23%、19%和16%。同樣地隨著更多的企業部署基于IP的語音技術(VoIP),VoIP安全的重要性也日益凸顯。
無線網絡的便利正在吸引越來越多的公司。在互助保險公司Amerisure公司(下稱Amerisure),企業架構師杰克 威爾遜(Jack Wilson)只能將其工作時間的四分之一用于處理安全問題。盡管如此,這個數字已經比去年提高了10%,這是由于該公司要確保其大量采用移動辦公手段的員工能夠更容易地通過網絡訪問公司的系統。Amerisure的800名員工中有20%隨時都會遠程登錄系統。這樣做除了提高員工工作效率之外,還有一個好處:無需隨著公司的發展而添置更大型的設備。上海的一家小型廣告公司租下了一套新的寫字樓套間,由于是精裝修的房間,物業要求不能鑿墻或者在地板下布線,網絡布線成了大問題。如果按照傳統的方式布設網線,無疑整個辦公室將成為一個“蜘蛛網”。通過筆記本電腦加無線網絡的組合,該公司成功地解決了這一難題。
雖然無線網絡同傳統有線網絡相比具有不可比擬的便利性,但它帶來的信息安全問題確實令首席信息官(CIO)們不得不反復權衡。
“無線非常難控制,如果企業因為安全問題而不得不舍棄無線的話,那無線事實上意義也不大了。”上海恒榮國際貨運有限公司CIO高宏飛這樣形容安全對無線網絡應用的制約。中國科學院國家信息安全重點實驗室的連一峰說:“隨著VoIP等無線應用的興起,我們正在通過數據采集、數據分析對VoIP協議的漏洞進行分析,和VoIP有關的監控技術也正在研究中,可見針對無線網絡的信息安全技術還沒有成熟。”
但企業并不能坐等技術成熟,因為移動電話和手持移動設備(PDA)功能不斷加強,即使企業不部署VoIP,仍然面對著一個更加復雜的網絡環境。諾基亞(中國)投資有限公司企業解決方案事業部總經理劉強說:“移動電話和無線手持設備的發展勢頭異常迅猛,但是這些裝置的核心都是PC,當網絡周邊設備擴展至智能電話或PDA 時,用戶就需要考慮這些設備的安全性了。”美國內華達州的克拉克縣(Clark)過去將安全工作重點放在網絡訪問控制上,但這種模式在用戶通過多種設備無線連入網絡的環境下根本不起作用。于是該縣實施了思科系統公司(Cisco)的網絡訪問控制系統,憑借防病毒簽名和軟件補丁阻止那些不合標準的設備連入網絡??死丝h還從今年九月開始對其VoIP進行評估,以加大網絡整合的力度。但是,出乎意料,與VoIP相伴而來的還有新的安全威脅。“你不能讓拒絕服務(DoS)攻擊等問題危及語音通信基礎設施的安全。”該縣CIO羅德 梅西(Rod Massey)表示。至少,克拉克縣最初并未將“911”緊急求救電話服務列入其整合網絡計劃之中。
梅西表示,今后生產的安全產品必須更有效,而且還要更易于使用和管理。同時他又補充說,目前利用防病毒保護和軟件補丁的手段相對比較單一。在網絡安全方面,通用汽車公司(GM)首席信息安全官(CSO)埃里克 里特(Eric Litt)對那些運用啟發式方法的技術青睞有加,他表示,因為這可以在問題出現之前對網絡行為進行監測并將反常的通信情況記錄下來。里特說:“我們沒有時間做出反應,系統就得代替我們做出反應。”新的威脅與新的應用結伴而來,只有不到四分之一的企業意識到了這一點,企業面臨的“無線之憂”不容小覷。
