“地震灾难”带来的警示：如何对业务提供保障

首页 >> IT商务 >> 信息安全

责任编辑：张富凯

“地震灾难”带来的警示：如何对业务提供保障

发表时间：2008-06-02 10:20:59.0 作者：CBISMB编辑

一、用“看不见”的投入保障未来

2008年5月12日，“汶川大地震”就这样突然发生了，灾害如此巨大，举国齐哀。我们在哀悼的同时，总得思考些什么。倘若我们事先有一些觉察和预测，倘若建筑物更坚固些，岂不是可以挽救更多生命吗？不是么，在同样的灾难面前，那些依然屹立不倒的房屋，使多少人幸免于难！

对于企业的网络信息化建设来讲，何尝不是如此呢？可以想象一下：系统崩溃、数据损毁、信息遭窃、网络瘫痪，对企业同样是灾难。凡事豫则立、不豫则废，与其事后弥补，何如事前防范！

面对网络业务的飞速发展，面安全威胁的日渐增多，我们不仅仅需要防病毒、防间谍，还需要采取更多和更加深入的主动防御措施，用“看不见”的投入保障未来的安全。

二、为什么需要进行主动防御？

防病毒和防间谍软件是良好开端，但依然不够

对于防病毒、防蠕虫、防木马、防间谍软件，我们已经耳熟能详，传统的防病毒和防间谍软件也始终是企业最基础的安全措施。但是，仅有这些就够吗？

防病毒和防间谍软件基于特征码进行安全检测和处理，因此必须事先通过其它工具将它们识别为恶意代码并加入特征库，然后下发该特征码到终端计算机，这样才能及时检测和拦截威胁。因而，在特征库更新之前，“未知”新威胁便有了可乘之机，终端计算机随时都有可能遭受零日攻击（zero-day attack）和感染。

这就要求采用主机入侵防御系统（HIPS）进行更为积极的安全防预，通过行为分析技术来识别异常和潜在的恶意行为，以此来保护计算机避免遭受零日攻击（zero-day attack）和其它攻击。

业务实践表明：终端需要混合防护

企业网络为拓展业务发展，其网络“大门”直接对内和对外敞开。大量的资产信息、金融交易、知识数据、职员和客户数据需要安全保障。由于员工使用笔记本电脑、U盘等移动设备在办公室、家庭和差旅地点频繁更换工作场所，随时可能将威胁带入到企业网络环境。企业网络边界变得更为模糊，网关统一保护并不能解决企业的所有安全问题。

随着时间变迁，在过去的几年里，恶意软件的制作和散布从大众化的黑客爱好者向职业化的利益集团发展。恶意软件的目标已经从单纯炫耀技巧和破坏向获取利益方向发展，恶意软件变得更加狡猾，其组合技术更难防范。这些混合型威胁很难被单一的防御技术发现和阻止。“混合型”威胁要求“混合型”保护。
建立混合型的主机入侵防御系统

有效的主机入侵防御系统应包含两个部分：入侵检测、入侵防御。这意味着当监测到可疑的网络流量时可能存在网络攻击，当监测到可疑活动时便及时告警并采用行动。主机防火墙是一种管理主机与其它计算机和网络之间通讯的基本措施。入侵防御还应该包括一些操作系统安全措施以保护文件、系统配置安全，限制对设备（例如USB存储设备）的访问。

一个有效的主机入侵防御系统，应包含如下功能：

入侵检测（IDS）：通过检测入站和出站网络流量来发现可疑的网络攻击。

入侵防御（IPS）：为IDS增加安全策略，当检测到可疑活动时进行报警和响应处理。IPS是一种主动防御技术，用来保护系统免受潜在和未知的威胁。

防火墙：主机防火墙控制主机和其它计算机网络之间的通讯，仅允许那些已知的合法网络连接行为通过。

操作系统安全：操作系统安全包括预防针对文件目录和系统配置（如注册表）的恶意访问或误操作。它还可有效限制设备使用，防止危害通过USB等设备引入到终端计算机。
策略管理：策略用于限制用户名、计算机名、网络地址、时间等要素。对多数企业来讲，策略管理能力甚为重要，因为所有用户不需要同等水平的威胁防御能力。

三、主机入侵防御的带来的好处

主机入侵防御系统可用于保护客户端计算机远离网络安全威胁，主要包括：

组合的威胁防御技术：独立防火墙、IDS、IPS和操作系统安全防护技术，可保护计算机抵御广泛的攻击。通过这些组合技术，您可以减少技术支持和实施成本。

基于行为的实时威胁防御：您可以使用策略检测那些超出预料行为模式的活动。这项技术不需要特征码更新即可有效工作，用以保护数据免受令日攻击（“zero-day”）和其它以前未知的攻击。通过修改这些策略，您可以定制适合自身业务需要的工作环境。

关注企业威胁管理：您可以决定允许哪些网络通讯进出客户端计算机，并且决定允许哪些程序访问网络。您还可以选择允许或拒绝某些类型的程序行为和访问权限。集中管理功能提供高效和有效的相关事件日志，以帮助合规检查、报告和研究。

请您留言

热点新闻 | 头条回顾 | 热门案例 | 热门方案