网络安全评估
根据资讯周刊(Information Week)的全球安全调查报告指出,去年全球各地企业由于安全入侵、病毒感染等原因产生的修复或营运停摆,已造成$1.6兆美元的利润损失,但是同一份调查指出,仅有38%的企业相信其安全性政策相当符合其营运目标的需求。也就是说,另外有将近2/3的企业正处于众多安全性入侵的威胁下。
许多组织的确执行防范安全性问题的方案,但却忽略下一步『重新检视』的重要性,因而可能将其最具价值之资讯或资产曝露于安全性威胁中;最明显的证明:2000电脑安全协会/FBI电脑犯罪及安全性调查的一份报告显示,90%的企业受访者表示在前年,他们曾遭受安全性入侵事件。面对这样的统计数字,IT部门主管及其它高阶主管应更审慎检视及评估其现行之安全性政策是否得宜。
有效安全性方案应结合企业经营目标
只有当管理阶级确实了解众多业务之轻重缓急,并持续地检视各别之安全性以促成经营目标之达成,其安全性系统才能真正地发挥效用。企业必须保护其网络系统,以避免受外来恶意性入侵,但也必须保留足够空间,使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒及骇客攻击,但却阻挠其服务客户及迈向电子商务脚步,那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。
从理论到政策:周详的计划
网络安全专家应明定一套可以评估整个网络系统内的资产及弱点、并且清楚的安全性计划,内容应包括政策及细部执行程序,此外,当企业网络或业务有所变动时,不管是企业将迎向电子商务(e-commerce)或行动商务(m-commerce),或是企业只是单纯地为业务、客服、行销部门加强网络设备,这份计划应能依各种变动内容,随时修正。IT部门主管及企业领导中心的高阶主管,都是评估安全性计划及程序品质的最佳人选,因为他们最能决定针对其经营目标,怎样的网络对他们是最有价值的资产,除此之外,他们也是定期检视其安全性政策及表现的不二人选。因此,一个最周详的、持续执行的安全性计划,应包含下列各项阶段:
1.评估网络结构及弱点
2.监督所有系统,以防遭受安全性入侵事件
3.测试安全性方案
评估:找出威胁,以确保资产安全
安全性方案最复杂之处,也许就在「评估」,在此阶段,你的专业知识就能判断出网络的优势及弱点在那里。首先,你必须先能厘清企业资产重要性的优先顺序为何,其次便衡量这些主要资产是否都受到现行的安全性方案保护。安全性方案最基本的便是要能保护机密性资料的私密性,并在这些资料由一方传送给另一方时,确保其完整性,更重要的是,确保此系统的使用者,的确是所登录的本人无误;虽然如此,但是仍没有所谓完全安全无虞的安全系统,电脑失误是无可避免的,因为网络架构相当复杂,而电脑作业环境又无时无刻在改变,网络上永远会出现新的威胁及漏洞,但重点是,企业安全上的漏洞及其所承受的风险,是否是可以藉由管理而减少呢。
评估包括下列几个步骤:
1.找出漏洞:评估架构,并审视网络使用政策及安全性方案,如单点防护的防火墙、加密系统或扫瞄系统的入侵侦测软体、电子邮件过滤软体、防毒软体。
2.分析漏洞:这方面的分析应包括漏洞所造成之风险的本利分析(cost-benefit analysis)。欲进行此项分析,你必须要非常了解企业的资讯资产。
3.降低风险:因为电脑网络日趋复杂,评估也必须是为了降低风险,藉由回答有关安全性方案及政策的问题,来重新检视企业安全。如:此网络是否针对某个漏洞,或数个小漏洞,提供一安全性解决方案?安全性政策是否鼓励所有使用者参与维护网络安全的任务?
监督系统及入侵
安全性监督应依据其侦测、记录、回应网络使用或滥用情形的状况,来检视其运作能力。
1.检查及管理系统:一个好的安全性系统应能持续地监督网路整体,反覆检查安全性流程,并评估安全性应用程式的功用。评估内容应包括安全性方案管理及保护企业资讯的能力如何,及它又如何分配企业在科技上的投资。
2.记录及使用所有资讯来侦测并判断入侵攻击:一个好的监督系统不应只包括防火墙及入侵侦测系统,同时应包括routers、伺服器、及印表机,这些都是用来记录系统被使用状况的完整流程,有效的安全性方案应监督所有设备的使用日志,以评断有被入侵的状况发生。这些记录应被用来侦测、并测量对攻击的回应时间:如,安全管理者在事件发生後多久被通知呢?以及在管理者被通知後,有多少时间采取行动呢?
3.迅速回应攻击事件:良好的监督系统应能立刻透过修复或更新政策,避免发现漏洞之处,受到更进一步的攻击,有必要时,采取反攻击行动。
4.升级监督系统,以对抗新的威胁:良好的安全性计划,应包括搜集资讯,并熟悉任何刚发现的新漏洞,才能立刻修复。透过安全性方案提供厂商,或公共资料库,如CERT、RISKS、SANS或MITRE,可以获得所须资讯。
做好万一遭安全性入侵的准备
评估安全性系统的一项重要元素就是紧急事件应变措施,企业应拟好一份紧急事件应变措施,以防在事件发生时,安全性系统却未发生效用的状况发生,同时必须确认所有员工充分了解这份紧急事件应变措施内容。紧急事件应变措施应说明当紧急事件发生时,应报告给谁知道?谁负责回应?谁做决策?而在准备计划时应包括情境模拟,此外,当网络环境或威胁有所改变时,也应立即检视计划,决定是否需要修正。
测试弱点
测试系统整体的频率,应是整个评估安全性方案的一部分,在监督的阶段中,安全性系统会定期扫瞄某些重要档案,这些扫瞄结果的记录也就可以用来比对侦测入侵结果,及判断是否受窜改。这过程可以用来深入分析网络优势与弱势各为何,根据其结果,或许必须修改政策或方案。
评估及再评估
即使企业评定其安全性基础建设是非常优良的,但也别高兴的太早,仍有许多因素让我们不得不信,在一段时间後仍然必须再做一次评监。网络上的威胁,如骇客和病毒,只会随着网际网络的逐渐发展成为贸易之一部分,而更加复杂。行动商务(m-commerce)及电子商务的逐渐兴起,已更增加病毒及骇客对网络的威胁。长期而言,有效的安全性方案必须要持续不断地评监企业从评估、监督、计划到测试网络安全能力如何。
|
