以前,只有IT部門(mén)那些最懂技術(shù)的成員才明白IT安全。在IT部門(mén)的辦公室之外,病毒、木馬、蠕蟲(chóng)這些詞都不會(huì)被提及,管理層也并不關(guān)心黑客和僵尸機(jī),董事會(huì)根本不清楚什么是零日攻擊,更不用說(shuō)零日攻擊能帶來(lái)多大的危害了。然而,現(xiàn)在,計(jì)算機(jī)以及隨之而來(lái)的各種威脅成為幾乎每一個(gè)單位非常普及的一部分,IT安全也慢慢地變成了一個(gè)被廣泛關(guān)注的商業(yè)問(wèn)題。
人們所熟悉的傳統(tǒng)的IT安全解決方案通常只包括最基本的普通的防火墻,再加上殺毒軟件、掃描系統(tǒng)、入侵監(jiān)測(cè)和身份管理。但是,現(xiàn)在,安全產(chǎn)品的范圍很廣,涵蓋了安全的各個(gè)方面,從最細(xì)節(jié)性的到最寬泛的、遍及網(wǎng)絡(luò)的防護(hù)措施。此外,很多企業(yè)都選用標(biāo)準(zhǔn)的應(yīng)用程序和軟件,比如Windows的軟件,他們都會(huì)同時(shí)安裝一個(gè)補(bǔ)丁管理程序。這就保證了能為他們的服務(wù)器或客戶機(jī)及時(shí)打上最新的補(bǔ)丁,從而可以解決軟件內(nèi)存在的任何一個(gè)漏洞。
無(wú)疑,這些安全方案的存在是有作用的,通常情況下也足以保護(hù)主要的IT設(shè)施,但同時(shí),這些方案也很令企業(yè)、員工,尤其是IT部門(mén)頭疼。安裝、執(zhí)行、維護(hù)這紛繁復(fù)雜的解決方案通常是非常昂貴并且非常耗時(shí)的。IT部門(mén)的員工花費(fèi)時(shí)間去更新補(bǔ)丁、去配置防火墻,而不能做可以創(chuàng)作收益的事情。安全需求的優(yōu)先級(jí)很難確定,常常導(dǎo)致浪費(fèi)資源在次要問(wèn)題上,特別是打補(bǔ)丁這件事,如果對(duì)問(wèn)題的孰重孰輕沒(méi)有很好的理解,那么很可能打了補(bǔ)丁的是無(wú)關(guān)緊要的漏洞。相反的情況就更加糟糕了,那就是,未給高危漏洞及時(shí)打上補(bǔ)丁,整個(gè)網(wǎng)絡(luò)暴露在危險(xiǎn)之中。除此之外,病毒預(yù)警、補(bǔ)丁更新及其它一些安全問(wèn)題總是以很高的頻率發(fā)生,企業(yè)及其IT部門(mén)很難跟上這步伐也是不足為奇的,這就不免會(huì)留下災(zāi)難性的隱患。
那么,對(duì)于想要以高效的經(jīng)濟(jì)的方式保護(hù)自己的網(wǎng)絡(luò)和機(jī)器的企業(yè)來(lái)講,什么才是真正的出路呢?答案就是自動(dòng)化。上面提到的大多數(shù)方法都可以做到自動(dòng)化:補(bǔ)丁自動(dòng)打到機(jī)器上、殺毒軟件自動(dòng)掃描病毒和蠕蟲(chóng)。IT管理者們所需要做的事情只是靜靜地坐在那里,享受這自動(dòng)的一切。但是很不幸,問(wèn)題遠(yuǎn)不像看起來(lái)那么直截了當(dāng)。某些類(lèi)型的安全問(wèn)題需要頻繁更新補(bǔ)丁,這必須手工操作;而有些更新和有些特定的系統(tǒng)不兼容,這就需要更加仔細(xì)的監(jiān)控。通常,安全軟件也不夠智能,不能依靠它們處理異常或突發(fā)事件,它們做不到像人那么靈活。對(duì)某個(gè)站點(diǎn)的訪問(wèn)量猛增可能被誤認(rèn)為是零日攻擊,或被誤認(rèn)為是惡意入侵。
為了避免上述情況的發(fā)生,就需要一個(gè)更加全面的解決方案,可以把安全和企業(yè)目標(biāo)結(jié)合起來(lái),能夠更加高效地管理風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)管理(Security Risk Management, SRM)應(yīng)運(yùn)而生,它可以幫助解釋復(fù)雜的安全問(wèn)題,解釋成易于消化并備份的風(fēng)險(xiǎn)術(shù)語(yǔ)。
引領(lǐng)業(yè)界的分析師們把安全風(fēng)險(xiǎn)管理定義為這樣一個(gè)完全的過(guò)程:該過(guò)程包括:理解威脅、給漏洞劃分優(yōu)先級(jí)、限制可能的攻擊帶來(lái)的危害、理解在目標(biāo)系統(tǒng)上做改變或打補(bǔ)丁給系統(tǒng)帶來(lái)的影響。SRM解決方案把多種不同的信息資源和技術(shù)集成在一起并且對(duì)之實(shí)現(xiàn)自動(dòng)化,從而實(shí)現(xiàn)更為高效的漏洞管理過(guò)程。SRM還加入必要的分析,以做出更加智能的決策,在攻擊發(fā)起之前對(duì)企業(yè)的重要資料進(jìn)行有效的保護(hù),同時(shí)還不斷驗(yàn)證并提升對(duì)抗風(fēng)險(xiǎn)的能力。
一個(gè)SRM過(guò)程包括三個(gè)關(guān)鍵步驟:
1 風(fēng)險(xiǎn)評(píng)測(cè)(Risk Assessment)
風(fēng)險(xiǎn)評(píng)測(cè)是發(fā)現(xiàn)風(fēng)險(xiǎn)并對(duì)風(fēng)險(xiǎn)及其帶給企業(yè)的影響進(jìn)行評(píng)估。這個(gè)過(guò)程中,需要一個(gè)綜合的安全方法:定義各種威脅的源頭和姿態(tài);搜集漏洞掃描數(shù)據(jù)并將其標(biāo)準(zhǔn)化;從防火墻和路由器搜集路由和訪問(wèn)信息;以企業(yè)術(shù)語(yǔ)定義資產(chǎn)分類(lèi)。
2 降低風(fēng)險(xiǎn)(Risk Mitigation)
這個(gè)過(guò)程包括對(duì)問(wèn)題劃分優(yōu)先級(jí)、評(píng)估來(lái)自風(fēng)險(xiǎn)評(píng)測(cè)過(guò)程降低風(fēng)險(xiǎn)的策略,實(shí)施適合的方案。這里需要引入企業(yè)影響分析方法:在網(wǎng)絡(luò)路由的環(huán)境中對(duì)漏洞建模;實(shí)施模擬攻擊,來(lái)揭露對(duì)企業(yè)存在最大潛在危害的隱患;計(jì)算風(fēng)險(xiǎn)暴露標(biāo)準(zhǔn)、建立標(biāo)桿(benchmark);分析降低風(fēng)險(xiǎn)的方法。
3 風(fēng)險(xiǎn)測(cè)量(Risk Measurement)
風(fēng)險(xiǎn)測(cè)量決定安全策略的有效性,并反復(fù)執(zhí)行上述兩個(gè)過(guò)程,以求將威脅和漏洞最小化。在這里需要一個(gè)規(guī)則的ROI方法:執(zhí)行風(fēng)險(xiǎn)分析;在行動(dòng)之前,要評(píng)估損益;向交換管理系統(tǒng)(change management system)發(fā)布工作流票;向安全、IT部門(mén)、CICO、CIO、企業(yè)高層、審計(jì)師們分發(fā)報(bào)告;重復(fù)數(shù)據(jù)采集和分析過(guò)程并將之自動(dòng)化,以保證能夠跟上網(wǎng)絡(luò)上不斷發(fā)生的變化以及新引入威脅的情況。
這個(gè)方法可以保證安全系統(tǒng)的持續(xù)更新,還可以向IT部門(mén)提供清晰的記錄,以便到位地監(jiān)測(cè)并論證不同的安全過(guò)程。該方法使企業(yè)對(duì)漏洞有全面的了解,并可以準(zhǔn)確評(píng)估他們所面臨的風(fēng)險(xiǎn),還可以確定問(wèn)題的優(yōu)先級(jí),采取有效的補(bǔ)救措施。IT部門(mén)不會(huì)再把時(shí)間浪費(fèi)在不必要的事情上,而是可以把寶貴的時(shí)間花在其它能夠提高效率的地方。也許,最重要的是,從隱患被識(shí)別出到徹底解決的時(shí)間段減小了,使得企業(yè)遭受破壞的可能性進(jìn)一步降低。
有了安全風(fēng)險(xiǎn)管理這個(gè)最優(yōu)的策略,風(fēng)險(xiǎn)可以大幅降低,對(duì)付風(fēng)險(xiǎn)所需的時(shí)間和精力也大大降低,信息的準(zhǔn)確性也得以提升。自動(dòng)化意味著安全團(tuán)隊(duì)和審計(jì)師在任何時(shí)候都可以獲得對(duì)安全狀況的持續(xù)準(zhǔn)確的跟蹤,可以快速看到并更正內(nèi)部控制中的失誤。IT部門(mén)、安全團(tuán)隊(duì)、商業(yè)團(tuán)隊(duì)以及高層執(zhí)行官可以用同樣的術(shù)語(yǔ)來(lái)談?wù)摪踩,并能協(xié)同合作,保證持續(xù)改進(jìn)。
SRM正在飛快地變成智能安全的代言,F(xiàn)在,威脅的發(fā)生頻率和嚴(yán)重性每一天都在發(fā)生,企業(yè)很快都會(huì)對(duì)SRM這個(gè)詞耳熟能詳。要保證在安全上具有競(jìng)爭(zhēng)性的優(yōu)勢(shì),僅靠一個(gè)防火墻已經(jīng)遠(yuǎn)遠(yuǎn)不夠了,現(xiàn)在我們需要一個(gè)智能的、高效的策略來(lái)管理風(fēng)險(xiǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:安全風(fēng)險(xiǎn)管理:網(wǎng)絡(luò)安全問(wèn)題的答案
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121824428.html