随着信息通信越来越多地替代传统的业务模式,企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下,很多人认为安全对业务是有负面影响的,而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施,是每个企业管理层和信息安全决策者最关心的问题。
一、企业面临的信息安全风险趋势
企业越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题。
安全威胁趋势
内部非授权访问和使用威胁仍然是企业面临的最大威胁,根据CSI/FBI的2005年计算机安全调查,内部威胁呈现不断增长的趋势,超过80%的数据损失来自于组织内部,主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入,但是计算机系统与数据的大部分损失并非源于恶意的外部攻击,而是一些很简单的人为操作错误,或者是系统内部分合法用户的未授权或无意活动。
在CSI/FBI2005年计算机安全调查中,安全攻击形式中病毒(含蠕虫和木马)与间谍软件分别占83.7%和79.5%,远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。
随着应用系统复杂性的提高,应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转向应用系统以及更有价值的数据。然而企业对安全的关注仍然集中在病毒蠕虫以及操作系统层面的漏洞上。
Gartner预测有75%的安全漏洞是出在应用层面,到2009年有80%的企业将遭受应用安全事件,由于业务安全造成的财物损失将增加5倍以上,企业将不得不增加应用安全开发和测试方面的投入。
欺骗攻击(Phishing and Phraming)是新涌现的新的攻击方式,通过骗取用户信任来诱使用户访问非法的站点。Phishing是指通过电子邮件或者即时通信发送欺骗性的站点连接,诱使用户访问。
而Pharming是通过攻击DNS欺骗,将合法站点解析到非法地址。而一旦用户访问并信任该站点,就有可能泄露个人敏感信息或者遭受恶意代码的攻击。随着这种攻击技术的发展,攻击目标已不仅限于银行攻击,而是已经开始向所有的在线业务扩展。
新技术的不断应用也大大扩展了企业安全需求的领域,无线局域网、蓝牙、RFID、VoIP、即时通讯、移动终端等技术扩大了企业的安全边界。未来通过无线通信技术系统和移动应用的结合,都需要首先考虑安全问题。没有安全机制,攻击者可以很容易地对数据信息以及IT基础设施进行控制。
从信息安全到业务安全
业务安全需求不断变化,相关技术不断进步。企业不断扩展业务,员工、客户以及合作伙伴越来越多地与企业网络连接,进行移动办公和开展在线业务,这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断,影响经济收入和客户形象。
中国企业的安全形势
InformationWeek杂志和Accenture公司在2005年10月的联合安全调查显示,中国企业正在遭受越来越多的安全威胁和攻击破坏。这次调查的主要结论有:
缺少信息安全战略,安全基础设施落后,存在较多的安全隐患。
间谍软件、病毒和蠕虫带来了严重危害和经济损失。
组织都试图探测安全事件是否发生以及何时发生,但很少有组织使用预防性的安全软件,超过半数的组织在事件发生后才了解事件过程。
未来安全投资关注在应用防火墙和监控软件,安装入侵检测工具,集成安全系统和应用安全。
企业趋向实施安全外包。
基本的用户口令、网络防火墙和防病毒是中国企业主要的安全措施。病毒、蠕虫和Web攻击仍然是最常见的攻击方式。已知的操作系统和应用程序的漏洞也是黑客攻击的主要目标。
很多企业期望提高安全防护能力,但是多数企业表示没有信息安全战略指导,IT基础设施落后,员工缺少安全意识,缺乏安全运作流程。
网友评论