分类: 网络与安全
2008-03-23 14:30:52
在多年协助客户开展安全建设工作的过程中,碰到了各式各样的问题,其中有很多非技术性的问题非常普遍,而且对安全建设影响很大;为此,我们做了一些分析和总结,把一些想法理顺,希望能够对广大客户开展相关工作有帮助。
1、互联网上的威胁 这些年来,随着互联网络的迅速发展,通讯的便利和资讯的发达,让人们通过网络紧密地结合
在一起,对网络的依赖程度日益增加,无论是工作还是生活,乃至娱乐;网络带给人们方便和快捷和竞争力,提供给人们新的娱乐和生活方式的同时,互联网络上的资讯爆炸性地增加,IT环境也变得越来越复杂和开放,大大增加了网络的管理难度和成本;而信息系统的迅速膨胀伴随着层出不穷的漏洞,恶意威胁和攻击日益增多,安全事件与日俱增,也让接触互联网络的每一个人都不同程度地受到了威胁; 互联网的开放性让所有人都处于一个平等的、无限联接的网络之中,你可以自由驰骋。然而,当你真正深入到网中央,却又发现来自互联网上的"安全隐患"是多么的棘手。 一般来说,人们会面临以下的主要几种威胁来源: ·内部人员(包括信息系统的管理者、使用者和决策者); ·准内部人员(包括信息系统的开发者、维护者等); ·特殊身份人员(具有特殊身份的人,比如,审计人员、稽查人员、记者等); ·外部黑客或小组; ·竞争对手; ·网络恐怖组织; ·军事组织或国家组织等。
2、安全,合适最重要! 不要把安全太当一回事,也不要把安全不当一回事;太看重安全的是傻瓜,安全从来只不过是辅助的位置,咱们不能主次颠倒;太忽视安全的是蠢材,因为安全虽然处于辅助的位置,但是却是非常必要的,自以为可以眼不见为净,可以省下一点钱,可也许自己已经不知不觉遭受了很大的损失也不知道。 有些类型的客户,他们的企业业务已经充分建立在信息化网络化的基础上,离开了网络,公司的业务就会受到严重影响;对这种客户,有了安全不见得对企业效益有什么很大的帮助,但是没有了安全,企业也许就会随时遭受重大的损失,而这个损失可能会远远超出所需要的安全体系建设投入。对这类客户,安全已经是无法忽视的了。 也有些客户,他们的网络算是比较大,但是应用不是非常深入,简单的应用比较多,对这种客户,如何深入地信息化,是首先考虑的问题,安全相对来说,并不紧迫,不过,由于有些安全问题会直接影响到网络和系统的稳定性,并且内部的安全隐患存在着很大的风险不确定性,这样也会影响到工作的开展;所以,对这类客户,适当的安全投入是应该的。 对有些业务类型的客户,他们的企业业务发展所面临的市场竞争格局已经面临压力,不通过加强信息化建设就会给淘汰,但是处于对安全的顾忌,一直不能放心地充分利用信息网络化来提高自身的竞争力,这类企业,安全体系的建设也许就是当前重中之重的事情,而不是可有可无的事情了。 安全只需要基本的防护,合适自己的情况就可以;对普通企业,你永远不可能奢望电信级别的安全,因为没有这个实力,也因为需要保护的信息资产没有贵重到如此的地步。既然还有更高等级的安全等级,说明就有更大的风险存在;因此,对任何企业来说,安全和风险都是相对的;我们只需要合适自己需要保护的信息资产的安全解决方案就可以,超过了这个解决方案能够管理和解决的风险问题,应该交给法律来规范;没有了法律,该安全的时候安全,该出事的时候还是会出事。 我们不需要用网络战争的高度来构建安全体系,合适最重要。 从长远来看,靠国家法律法规的完善,企业内部管理制度的完善,积极规范网络行为才是治本之道,网络中存在的安全问题,不是靠技术,靠产品能够完全解决的,这些只能起到辅助和监控的作用;就向现实中的社会一样,不能光靠武器和保镖来保障我们的安全。
3、安全,要从上到下的重视! 高层没有安全意识,就会漠视或者不重视网管技术部门的工作,或者认为出了问题靠技术部门的人就会解决,导致技术部门的安全建设工作周期长,成本就会增高,成本高了,高层往往更谨慎投入;恶性循环;根本之道,要让所有的企业高层意识到建设安全体系,维护自己在4维度网络世界利益的重要性。把项目成本降下来,改善流程,促进良性循环。
4、安全投资是企业节省成本,提高竞争力的有效手段! 安全投资是非常值得的投入,是一种节省企业运营成本的非常有用的手段;因为只需要少量的投入,建设好基本而贴身的安全体系,起到保障了企业业务运行的作用,让企业效益有了保证;依次同时,减低了一些风险和无形的浪费,一些风险的存在极大地提高了公司的成本,适当的安全建设可以保持企业躯体的健康。例如,也许企业内部花费了很大心血通过市场调查而来的结果,或者经过长时间研发出来的最新成果,轻易地流失出去,落到竞争对手那里;会使这些成果顿失价值,而且错失良机,再例如,由于缺乏适当的管理工具,企业内部非正常网络运用例如聊天,下载电影,玩游戏等,导致企业效率降低,此番种种,都直接导致了企业成本的增加,效率的降低。安全投入相对于这些损失来说,实在是微乎其微。 一般情况下,安全的投入可以保障企业在相当长一段时期内处于低风险阶段,平均分摊下来,安全投资甚至少到每天才几元钱。而这几元的作用却是非常关键,直接关联到企业的竞争力。
5、服务是真金子,要重视服务,不要为了省钱而做安全。 服务才是真金子;我们所说的服务贯穿始终,并非纯指技术性服务,从刚开始接触客户,到评估网络,出方案,进行测试,然后是采购商务流程,实施,售后支持等等,每一步都体现以客户为中心的理念,从头到尾,作为一家专业的安全服务公司,是需要投入大量的人力物力和精力的,而这些都会最终成为运作成本,也会成为项目成本;而这些只有真正走专业化的安全服务公司才能体会,非纯贸易型公司所能感受。 在实际的项目中,客户技术部门和相关安全公司会花费很多精力进行前期的工作,但是到了采购和商务流程,采购人员或者决策人员往往只重价格,忽略了其他必须注意的因素,忽视了前期和后期的服务成本,如此导致的结果,往往是客户花了很多钱建设安全,最终却为了节省那么一小部分钱而斤斤计较,而这些钱往往也就是安全服务公司为了把服务做好必要的利润空间;用最少的钱把事情做好,对任何企业来说,都是合情合理的,不过,可别变成了为了省钱而做网络安全的工作了,这样一来,客户花了钱没把事情做好,后患无穷,安全服务公司前期的各种投入也白白浪费,双输!这一点,决策层更应该意识到,选择相关安全产品来为自身企业提供保障还是有一定的特殊性的,尽量做更周详的考虑好一点。如果客户有更多疑问可致电我们,我们会为您作妥善解答和安排!