構(gòu)建——全面企業(yè)安全架構(gòu)

對于現(xiàn)在每一個生存，競爭在互聯(lián)世界里的企業(yè)來說，關(guān)注變化以及這些變化會給自己的企業(yè)帶來的影響，顯得更為重要，企業(yè)的網(wǎng)絡(luò)安全就象是家里的一道門，已經(jīng)變成企業(yè)經(jīng)營運轉(zhuǎn)的一個“標準配置”。建設(shè)企業(yè)的安全架構(gòu)，需要全面地、細致地考慮，包括企業(yè)的業(yè)務(wù)發(fā)展特點、IT應(yīng)用環(huán)境特點、企業(yè)網(wǎng)絡(luò)的基礎(chǔ)構(gòu)架特點等，進而據(jù)此進行精心地設(shè)計和架構(gòu)。

最新的賽門鐵克《第十四期互聯(lián)網(wǎng)安全威脅報告》顯示，2008年惡意代碼活動呈現(xiàn)出前所未有的增長勢頭，而且主要針對計算機用戶的機密信息。2008年，賽門鐵克為應(yīng)對新型惡意代碼，共創(chuàng)建了160萬個簽名，這比過往17年創(chuàng)建的總量還多，足以體現(xiàn)新型惡意代碼威脅數(shù)量增長并繁衍的迅猛勢頭。而且，更重要的變化是，攻擊者開始從大規(guī)模地傳播少數(shù)集中威脅轉(zhuǎn)為小范圍傳播各種不同威脅。網(wǎng)絡(luò)罪犯通過能夠竊取機密信息的定制化威脅獲取利益，尤其是銀行賬戶信息和信用卡數(shù)據(jù)。可以說，盡管現(xiàn)實生活中經(jīng)濟低迷，地下經(jīng)濟卻始終保持穩(wěn)定。

互聯(lián)網(wǎng)世界里安全威脅的變化不僅來自于外部環(huán)境，也來自于企業(yè)內(nèi)部。根據(jù)我們與信息管理調(diào)查機構(gòu)PonemonInstitute共同發(fā)布的一份以2008年美國離職員工為研究對象的調(diào)查報告顯示，有高達59％的離職員工承認曾在離職時私自帶走公司機密文件數(shù)據(jù)，如客戶聯(lián)絡(luò)數(shù)據(jù)等，調(diào)查報告同時指出，如果企業(yè)建立并執(zhí)行較完備的數(shù)據(jù)丟失防護策略與技術(shù)，便可大幅降低信息被盜事件的發(fā)生幾率。

基于IT系統(tǒng)進行的業(yè)務(wù)運轉(zhuǎn)必須有安全體系的保護。當然，對于不同規(guī)模的企業(yè)、不同行業(yè)的企業(yè)來說，構(gòu)建安全架構(gòu)的方法可以有所不同。業(yè)務(wù)運營越依賴IT系統(tǒng)的、業(yè)務(wù)運作越網(wǎng)絡(luò)化，防護級別則越高。但是安全防護始終“萬變不離其宗”，即安全架構(gòu)必須全面，能做到事前防范策略、事中查殺策略和事后恢復(fù)策略的多層安全防護。

我認為，從某種程度上說，企業(yè)的成功與否取決于基礎(chǔ)架構(gòu)的安全性。企業(yè)可以按照網(wǎng)絡(luò)使用者的不同，來架構(gòu)企業(yè)的整體安全體系；當然，企業(yè)也可以根據(jù)自身的業(yè)務(wù)需求和網(wǎng)絡(luò)特點來架構(gòu)整體安全體系。

目前，幾乎所有企業(yè)都已認識到保護出入網(wǎng)絡(luò)的門戶——網(wǎng)絡(luò)邊界的必要性。但是，由于移動技術(shù)的廣泛應(yīng)用以及員工分布的分散性，公司網(wǎng)絡(luò)邊界的確定也變得困難了起來，我們知道，遠程訪問為員工提供靈活性和自由，但也讓企業(yè)面臨著各種風險，其中包括漏洞和試圖攻擊這些缺口的惡意代碼。而由于合作伙伴、客戶和承包商需要連接到公司網(wǎng)絡(luò)，則使形勢變得更加嚴峻起來。

因此，為提供最全面的保護，企業(yè)需要在網(wǎng)絡(luò)中各個級別應(yīng)用各種不同的安全措施和手段，其中，包括外部邊界的防線(例如，防火墻和入侵檢測系統(tǒng))、網(wǎng)絡(luò)內(nèi)部的防線(例如，內(nèi)部防火墻、網(wǎng)絡(luò)準入控制)以及實際網(wǎng)絡(luò)資源中的防線(例如，防病毒軟件、反間諜軟件、數(shù)據(jù)加密和自動安全策略實施)。

此外，還有一點需要特別強調(diào)，就是對于端點數(shù)據(jù)的保護，這在整個安全體系中也非常重要。在企業(yè)中推出使用端點數(shù)據(jù)丟失防護通常應(yīng)該從高風險的業(yè)務(wù)部門開始，然后再逐步推廣到公司的其他部門。

我們知道，數(shù)據(jù)丟失防護技術(shù)的重心一直在于防止因員工誤操作及業(yè)務(wù)流程中斷而導(dǎo)致敏感數(shù)據(jù)泄露。然而，當員工處于移動辦公狀態(tài)而未與企業(yè)網(wǎng)絡(luò)連接時，更容易使機密信息受到惡意威脅。因此，企業(yè)需要部署相應(yīng)的解決方案和產(chǎn)品來解決這個問題，可以做到對員工在與公司網(wǎng)絡(luò)斷開的情況下使用筆記本電腦發(fā)送電子郵件、網(wǎng)絡(luò)郵件和即時信息時造成的數(shù)據(jù)泄露事件加以監(jiān)控。端點處的數(shù)據(jù)丟失防護解決方案不但可以防止對敏感信息的復(fù)制或粘貼，甚至可以阻止將這些信息以電子版方式打印或傳真。有了對端點數(shù)據(jù)丟失事件的全面覆蓋，企業(yè)就可以得到不間斷的、覆蓋端點、網(wǎng)絡(luò)和存儲等多個系統(tǒng)的數(shù)據(jù)丟失防護，而不論員工是否與企業(yè)網(wǎng)絡(luò)相連接。