信息长安全,企业行更远
2011-09-10
为什么信息化系统总会出问题?为什么员工使用的PC会突然蓝屏?为什么操作系统常常无法正常工作?很多企业的IT部门为了解决这些问题,甚至把自己练就成技术专家,但是这些问题依旧周而复始。如今,企业在渴望信息化的同时,也在被复杂、脆弱的信息化系统所折磨。信息化应该伴随这样的代价吗?
据李铁军介绍以往杀毒软件鉴定目标文件,是将杀毒软件安装在本地计算机上,升级病毒特征库之后,将目标文件的特征和病毒特征相匹配,若匹配上某个病毒文件的特征,就判定这个文件是病毒。若未匹配上本地特征库里所有病毒的特征,就判定目标文件不是病毒。
这种传统的特征码鉴定有几个缺点:
1.本地必须有杀毒软件的特征库,判断的准确性取决于特征库是否全面,是否升级。
2.特征库需要频繁升级,过期的病毒库鉴定能力无法满足安全需求。
3.病毒种类增长很快,本地特征库也在迅速膨胀,使得杀毒软件的扫描效率下降,杀毒软件对系统资源的需求也在不断增大。
4.对新病毒没有鉴定能力。
为弥补传统特征码鉴定的不足,杀毒软件引入了行为判断的技术理念,希望分析出目标文件的行为特点,来避免特征库过于庞大,且无法鉴定未知新病毒的问题。
北京和信创天科技有限公司总经理何钦淋认为在传统的企业局域网中,终端问题曾经为企业信息化带来了很多困扰。首先,员工对电脑的使用较为随意,误操作和滥装软件常常导致系统运行缓慢或者崩溃,为了保证系统出现问题后可以快速修复,大多数企业信息管理员通过Ghost操作系统来解决问题,但是每次重新安装系统都需要重新更新补丁和安装软件,耗时很长,效率低下;其次,普通员工对信息安全缺乏相关的知识,在上网或者使用U盘过程中很容易感染病毒和木马。由于杀毒软件的病毒更新大多数都在病毒爆发后才能够进行查杀,特别是木马程序更是难以快速清除。而部署终端类管理软件不但对这类问题有心无力,同时由于该产品本身稳定性问题还带来了更多的维护工作量。这些问题都给员工电脑带来极大的风险。此外,大型企业经常根据实际情况需要安装不同的软件,局域网中的每台终端电脑都要安装,工作量非常大,由于所有软件都装在同一个终端上,一旦出现问题就不得不一一修复系统、重装软件,对企业信息化的管理人员而言,这无疑是非常痛苦的事情。
这是一个真实的案例:
广州广日物流股份有限公司是国有控股的中外合资企业,总资产近2亿元人民币,年运输量超过30万吨。公司在北京、上海、天津三大中心城市设立了分公司,物流业务辐射全国,获评为“AAAA级综合物流企业”。
目前,广日物流的信息化基础设施建设已经相当完善,营运中心、物流中心、管理部门网络已经渐成体系,就在广日物流利用信息化技术高速发展之时,内部发生了一起信息泄漏事件:本应该是公司机密的员工工资列表,被别有用心的人以匿名邮件的形式传送到整个公司内部。此举,不仅违反了员工签订的保密协议,更为严重的是,让广日物流面临着员工外流的危险。
一个全面的信息防泄漏解决方案,即要能全方位地保护企业,最大限度防止企业信息外泄。在信息安全领域中,信息安全的整体防护强度取决于“马奇诺防线”中最为薄弱的一环。
这来源于我们熟知的木桶理论:一个由许多块长短不同的木板箍成的木桶,其容水量并不取决于最长的那块木板或全部木板的平均长度,而是取决于最短的那块木板。要想提高木桶整体效应,就必须要下功夫补齐最短的那块木板的长度。
我国政府对新一代技术应用非常重视。新一代信息技术包括有物联网、云计算等新兴技术飞跃发展,一批相关企业迅速崛起,取得应用成果。随着信息产业越来越得到国家重视,并成为“十二五规划”重点,“4号文”中提出,政策性金融机构在批准的业务范围内,可对符合国家重大科技项目范围、条件的软件和集成电路项目给予重点支持;国家提出鼓励和支持软件企业加强产业资源整合政策。软件行业得到金融政策扶持,企业重组并购过程中可能遭遇的体制性障碍的解决得到突破。
其中,被炒的火热的云计算,业内专家认为,安全是云计算能否成功着陆的关键。在日前举行的云计算大会上,微软就重申,云计算安全是微软的重要主题,微软将投入大量时间和资源关注云计算的安全。英特尔也表示其在布局云计算战略时,将安全问题放在首位,将在系统后台为企业提供优化服务,解决公有云、私有云的安全问题。
当你想把云基础设施进行外包时,你将会希望找到一个在网络、操作系统以及最佳实践等方面都有丰富经验的服务提供商。加密和VPN服务也是必须要考虑的。卖方应提供相应的咨询服务,无论是自己提供还是通过合作伙伴,都应该提供安全风险评估、入侵测试、威胁管理服务和补救措施。
开发商和建筑师都说他们的网络是安全的,因为他们使用了加密技术。当优势试图偷听时加密保护了你应用程序的数据,但他并不能阻止不必要的请求。应用防火墙可以为你的应用程序创建一个“护城河”,可以阻止正在处理的无效或者是不适当的应用程序请求,从而节省了CUP资源和记忆周期,更重要的是防止了数据泄漏。
目前,国家正在不断健全与云计算相关的法律法规手段,鼓励科研机构、产业链各方通过加强技术研发,完善云计算自身以及数字安全隐私保护工作。
