安全部署三步走
（中国计算机报）

目前，亚洲企业面临着日益猖獗的网络安全威胁问题。为了帮助企业识别安全问题，部署解决方案，以保护他们的网络，信息安全技术专家建议整个流程分三步走。

2002年，60%的亚洲公司报告了信息安全遭到破坏的事件。去年上半年，黑客攻击事件发生率猛增至77%。

黑客威胁更严重
亚洲企业当前面临着日益猖獗的来自多个方面的信息安全威胁。根据CMP提供的2002年度亚洲信息安全实践调查，亚洲39%的信息安全破坏源于病毒。病毒对业务的影响会造成巨大损失。

另外，30%的信息安全破坏源于黑客攻击，黑客群体的定义包括竞争对手、肆意破坏者、前雇员和恶作剧者。虽然黑客攻击受到媒体关注的程度通常低于病毒，但实际上他们给公司带来的威胁更加严重。

虽然病毒能够造成业务中断和数据损失，但病毒开发通常没有某种特定目的，只是恶作剧。而黑客入侵可能造成更加严重的后果，因为黑客往往具有特定目的，包括善意的（例如只是提醒管理员存在安全漏洞）和恶意的（例如使用错误信息替代重要数据库，对公司造成破坏）。由于这些攻击是有预谋的，因此其防御更加困难。

新技术产生新威胁
新信息技术（如IP通信）的推出有利于提高生产力。然而，每项新功能通常都会给攻击者造成新的攻击机会，黑客可利用其来渗透网络。例如，黑客可以使用IP spoofing（IP欺骗）技术，假冒用户IP地址，从而进入内部IP网络。

内部控制也亟待提高。VPN使授权用户可以通过一个商用ISP远程访问企业的内部网络。但是，如果在实施VPN时没有进行正确的访问控制，这意味着一名员工能在任何地点下载公司网络的所有信息。

与PABX（Private Automatic Branch Exchange）系统不同，IP语音服务容易遭受基于IP的攻击，如果要保持传统电话服务的可用性、服务质量和安全性，必须减少此类攻击。IP语音网络设计通常与传统语音系统设计平行，并经常保持开放状态，很少需要或者根本不需要访问授权。黑客可以利用IP语音系统访问语音信箱，向公司用户发送垃圾邮件，或者只是搞点恶作剧。

企业引进一些新应用和新技术，以加快业务流程，提高生产力时，应当牢记：安全意识也需不断增强。由于关键任务活动更多地依赖于数据和融合/IP通信网络，所以这一点尤为重要。

安全建设需要三步走
为了帮助企业识别安全问题，部署解决方案，以保护他们的网络，信息安全技术专家建议整个流程分三步走。

第一步是进行安全评估，了解网络缺陷。全面检查企业网络安全的运行（或称作当前状态的“快照”）。这个过程有助于判断网络存在什么安全缺陷、在哪些位置及如何修复。

安全评估通常包括外部和内部环境检查。测试外部环境时，安全专家使用黑客技术和特殊工具，试图从互联网渗透进入公司网络。这样可以判断网络周边（如防火墙、路由器、主机和其他设备的状态和配置）抵御外部攻击的保护能力。外部评估还包括审查物理环境，即未经授权用户是否可以进入IT设施。

评估内部环境时，需要进行评审，将企业安全策略和实践与业内最佳实践和规则进行对比。这些评审通常需要考查安全培训和安全意识水平。

安全评估项目通常外包。除非公司拥有合格的网络安全专家，支付高昂的工资（由于通过安全认证的专业人员紧缺，所以此项费用很高），否则，公司无法进行全面评估。一些融合技术（如IP支持的PBX应用、IP语音、VoIP、一体化通信和CRM应用）尤其需要更加集中的安全解决方案。

另外，外部评审人员具备更强的客观性，这是评估网络安全所必需的。

第二步是进行安全策略开发以管理风险，确保必要控制措施到位。在开发安全策略的过程中，企业应当定义一个网络安全策略，并在系统和网络体系结构中实施，以保护公司资产和知识产权。除提供一般的安全策略说明外，公司应确定用户和访问控制，并分析风险等级（确定安全投资的适当水平）。

安全策略开发是一个不间断的过程，包括监控网络和用户实践，必要时进行更改。它还将规定企业如何响应违反安全性的行为和业务连续性流程。

ISO 17799安全标准（包括安全的其他方面）使您能够清楚地了解组织的安全策略应当覆盖哪些领域。

第三步是进行安全体系架构与设计，以提供安全解决方案实施的蓝图。在安全体系架构和设计阶段，企业规划蓝图，以成功实施安全基础设施。在对网络安全要求（在安全评估阶段测定）与设定的目标和标准进行对照后，安全体系架构的设计应考虑到公司IT基础设施的特殊要求。

网络安全体系架构的设计包括服务器、互联网/网络设备、远程访问设备和共享工作站。组织的物理访问和安全控制机制也包括在计划内。