当今的中小企业与较大型的企业组织一样,都开始广泛的利用信息化手段提升自身的竞争力。信息设施可以有效提高中小企业的运营效率,使中小企业可以更快速的发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是其面临的安全威胁却并不比大型企业为少。我们下面就来看一看中小企业在信息安全方面的几点主要需求。 \x0d\x0a 防范恶意攻击 \x0d\x0a 对于利用互联网接入来开展业务或者辅助工作的企业来说,骇客的恶意攻击行为无疑是最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价,而这些被曝光的案例尚只是冰山一角。 \x0d\x0a 由于大多数企业担心公布这些信息会对自身形象造成负面影响,所以我们相信仍旧有大量的信息安全事件没有为大众所知晓。而另一方面,因为很多企业没有精力处理频繁发生的攻击事件,甚至大部分由于恶意攻击造成的损失都没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度,那就是现在企业对于骇客攻击所持的态度。 \x0d\x0a 仅仅是几年前这些事件对于我们来说还是那么的遥远与神秘,而现在当网络发生问题时恶意攻击已经成为一个主要的被怀疑对象了。在中小企业的信息环境里,攻击行为相对来说并不特别猛烈,或者说小型的信息设施相对较少受到有针对性的、强度很大的攻击。但是,目前的中小企业所选用的软件产品存在着大量的安全漏洞,而针对这些漏洞的自动化攻击工具已经相当的民间化了。 \x0d\x0a 对于没有受到过滤保护的网络节点来说,每时每刻都要承受大量网络攻击的考验。即使这些攻击是漫无目的的,但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲,这些不讲究策略的攻击者对中小企业的安全威胁要更大一些。 \x0d\x0a 计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和很多攻击程序一样,利用系统的安全漏洞进行传播,而且并没有特定的感染目标。对于一些蠕虫病毒来说,在一个小时的时间里就可以轻松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患,企业需要进行很多工作。 \x0d\x0a 单纯的应用安全防护产品是无法避免这类攻击行为的,企业还必须执行补丁管理等辅助的安全管理措施。在中小企业中,进行这些工作有很多先天性的“阻碍”。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应对的不仅仅是企业单方面的意识提高,更适合中小企业实际情况的安全防御产品目前也存在着很大的空白。虽然近两年涌现的很多整合式的信息安全设备在总体成本和易用性上提供了很多吸引中小企业的特性,但是还不足以解决目前中小企业在信息安全领域所遭受的困境。 \x0d\x0a 误用和滥用 \x0d\x0a 对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损失,只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行管理。 \x0d\x0a 在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。 \x0d\x0a 这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业务的重要性。这既可以看作是国内信息安全产业一种进步的表现,同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了供应商之外,用户也已经深刻的认识到同样的问题,相信经过广泛的培训和教育,这种现状可以被很好的改善。 \x0d\x0a 除了对信息设施的错误使用之外,滥用的问题在近一段时间表现的更为突出一些,并且由于滥用问题更加模糊和难以界定,使企业在处理类似问题的时候颇显捉襟见肘。虽然近年来被广泛关注的P2P传输问题并不是一个典型的信息安全问题,但由于这些传输流量常常严重干扰企业的正常通信流量而且也存在着一些泄漏企业信息的风险,所以这确实是信息设施滥用问题的一个较好的示例。 \x0d\x0a 从技术的角度处理P2P传输问题并没有太大的难度,但是面对员工权利和隐私等方面的争论,企业对P2P传输的管理问题已经上升到了道德问题的层次。在中小企业里,由于制度化管理方面的相对弱化,在处理信息设施滥用乃至误用问题的时候会加倍艰难。这也是在中小企业环境中实施信息安全所迫切需要解决的问题。 \x0d\x0a 总结 \x0d\x0a 综合上述的问题,中小企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。我们所热切希望的就是,在这种需求产生爆炸性膨胀的前夕,所有的厂商都准备好了足够的武器去赢得这场战争。
当今的中小企业与较大型的企业组织一样,都开始广泛的利用信息化手段提升自身的竞争力。信息设施可以有效提高中小企业的运营效率,使中小企业可以更快速的发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是其面临的安全威胁却并不比大型企业为少。我们下面就来看一看中小企业在信息安全方面的几点主要需求。
防范恶意攻击
对于利用互联网接入来开展业务或者辅助工作的企业来说,骇客的恶意攻击行为无疑是最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价,而这些被曝光的案例尚只是冰山一角。
由于大多数企业担心公布这些信息会对自身形象造成负面影响,所以我们相信仍旧有大量的信息安全事件没有为大众所知晓。而另一方面,因为很多企业没有精力处理频繁发生的攻击事件,甚至大部分由于恶意攻击造成的损失都没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度,那就是现在企业对于骇客攻击所持的态度。
仅仅是几年前这些事件对于我们来说还是那么的遥远与神秘,而现在当网络发生问题时恶意攻击已经成为一个主要的被怀疑对象了。在中小企业的信息环境里,攻击行为相对来说并不特别猛烈,或者说小型的信息设施相对较少受到有针对性的、强度很大的攻击。但是,目前的中小企业所选用的软件产品存在着大量的安全漏洞,而针对这些漏洞的自动化攻击工具已经相当的民间化了。
对于没有受到过滤保护的网络节点来说,每时每刻都要承受大量网络攻击的考验。即使这些攻击是漫无目的的,但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲,这些不讲究策略的攻击者对中小企业的安全威胁要更大一些。
计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和很多攻击程序一样,利用系统的安全漏洞进行传播,而且并没有特定的感染目标。对于一些蠕虫病毒来说,在一个小时的时间里就可以轻松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患,企业需要进行很多工作。
单纯的应用安全防护产品是无法避免这类攻击行为的,企业还必须执行补丁管理等辅助的安全管理措施。在中小企业中,进行这些工作有很多先天性的“阻碍”。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应对的不仅仅是企业单方面的意识提高,更适合中小企业实际情况的安全防御产品目前也存在着很大的空白。虽然近两年涌现的很多整合式的信息安全设备在总体成本和易用性上提供了很多吸引中小企业的特性,但是还不足以解决目前中小企业在信息安全领域所遭受的困境。
误用和滥用
对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损失,只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行管理。
在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。
这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业务的重要性。这既可以看作是国内信息安全产业一种进步的表现,同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了供应商之外,用户也已经深刻的认识到同样的问题,相信经过广泛的培训和教育,这种现状可以被很好的改善。
除了对信息设施的错误使用之外,滥用的问题在近一段时间表现的更为突出一些,并且由于滥用问题更加模糊和难以界定,使企业在处理类似问题的时候颇显捉襟见肘。虽然近年来被广泛关注的P2P传输问题并不是一个典型的信息安全问题,但由于这些传输流量常常严重干扰企业的正常通信流量而且也存在着一些泄漏企业信息的风险,所以这确实是信息设施滥用问题的一个较好的示例。
从技术的角度处理P2P传输问题并没有太大的难度,但是面对员工权利和隐私等方面的争论,企业对P2P传输的管理问题已经上升到了道德问题的层次。在中小企业里,由于制度化管理方面的相对弱化,在处理信息设施滥用乃至误用问题的时候会加倍艰难。这也是在中小企业环境中实施信息安全所迫切需要解决的问题。
总结
综合上述的问题,中小企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。我们所热切希望的就是,在这种需求产生爆炸性膨胀的前夕,所有的厂商都准备好了足够的武器去赢得这场战争。
在企业网络中,软件客户端、强大的多功能处理设备、IP启用的企业无线网络、SIP启用的手机和IP PBX变得越来越普遍了。网络管理员被要求部署这些新网络来提供最高品质的府服务,同时又不能破坏网络整体性。不过向本地网络引入任何新的IP设备,都会带来新的安全威胁,企业不仅需要了解这些威胁,而且需要为这些威胁做好准备。VoIP安全趋势2009年的安全威胁大部分都是已知的漏洞,不过还有一些新的威胁。这些漏洞大部分最早是在2002年被发现的,人们在部署VoIP研究如何节省服务(如长距离)传输的费用时发现的。现在,存在很多技术的和程序的解决方案可以缓解这些潜在的威胁。这些解决方案可以直接由大型企业部署,大约可以为上千个远程未知提供服务,或者作为管理性的VoIP/安全服务传送给较小型企业。以下是关于几个主要威胁的大概介绍以及解决方案,企业可以通过下面提供的解决方案部署一个强大的、可靠的安全网络。威胁1: DoS/DdoS攻击这是黑客社区一直喜欢使用的攻击方式,这些攻击可能来自不同的协议水平,如IP层、SIP层等,并且黑客经常使用这种攻击来消耗带宽和资源,特别是位于网络边缘的元素。这种类型的攻击统一可能影响试图打电话的客户。解决方案:要想确保大型企业网络免受这种类型的威胁,企业需要部署一个专门用来衡量管理网络边缘各种活动的企业级别解决方案。这种衡量是很重要的,因为它能够确保(当面临威胁时)安全的边缘元素本身没有被攻击,否则,它也会成为DoS代理。对于中小企业而言,可以部署本地产品或者将其作为托管服务的一部分,保护SIP端口汇聚以及IP PBX。威胁2:窃听风云只要使用窥探工具就可以窃听核心网络的语音童话,最常被窃听的地址是使用SIP端口汇聚从VoIP供应商MPLS向中小企业局域网发送的不受保护的网络连接。解决方案:要想减小本地网络内的这种风险以及维护电话保密性,虚拟局域网络(VLAN)可以用来分离流量或者/和加密媒体流到企业边缘。很多基于SIP的端点(如IAD整合接入设备或者IP PBX)都支持“内置”的签名加密(TLS—传输层安全或者IPSec)和媒介(Secure RTP)同样也可以解决这个问题。威胁3: 供应商缺乏强硬的VOIP组件在企业VOIP网络中(IP PBX、功能服务器、交互式语音回应IVR、语音系统、供应系统、SIP代理、智能电话等)很多组件使用商品操作系统,如Windows、Solaris和 Linux等,然而这些都很容易受到O/S攻击,如病毒和恶意软件等。解决方案:企业VOIP网络的所有组件都必须进行适当的加强,客户必须要求他们的供应商在购买前确认是否强化他们的产品。这是数据世界的最佳做法,当添加IP语音功能到混合整体时也是很适用的。这主要需要顾客自身去争取,但是从长远价值来看是很值得的。威胁4: 遵从系统操作的“最佳做法”最近的一次互联网调查发现,某IP PBX供应商直接连接到互联网,造成几个系统都被登陆且被泄漏,只是因为默认密码没有更改。这是IP网络发生的不必要的后果。解决方案:这只是一个简单的威胁,只要花点时间在安装新系统的时候更改出场默认设置密码就可以避免。并且,正如上文提到的,任何基于商品操作系统的VoIP组件都必须被强化,禁用不必要的服务和不使用的端口。另外,为了审计目的和可追踪性而执行安全相关的事件日志记录也是很重要的,以确保网络完整性。威胁5: 语音钓鱼和SPIT和不必要的电话就像不必要的电子邮件(垃圾邮件)一样,黑客可以很轻松的设置多个系统或者僵尸网络来阻拦VoIP电话,这种现象也被称为互联网电话垃圾邮件。另外,黑客统一可以利用语音钓鱼攻击来欺骗终端用户,以某个合法原因诱使他们来输入个人信息,如信用卡号码、银行帐号、社会安全号码等待。解决方案:当用户在填写表格以购买在线网络服务时就应该注意这个问题,并且在没有适当的身份证明之前,不要把自己的身份信息泄漏给他人。现在有很多先进的技术可以阻止不必要的电话来解决这个问题。设备和用户验证是使网络管理员确定电话是来自合法对象或者授权代理的方法,并以此来降低风险。威胁6: 免费电话通过网络拨打免费VoIP电话可以通过几种方式来实现,包括欺骗合法用户、拦截他们的电话或者在挂电话后进行拦截等。攻击者可以通过适当的电话安装(Rogue媒介)使用一个VoIP设备开始发送媒体到网络中。另外一种方法就是,在没有进行任何身份验证呼叫安装的情况下使用SIP端点简单地向目的未知发送媒体。这种电话拦截不仅仅造成呼叫方的资金损失,而且不能保证这些电话是不是为了躲避付款而进行的,这都会让企业处于尴尬的境地。解决方案:存储很多技术可以减少这些免费电话,例如在安全的边缘组件的Rogue RTP保护以及呼叫者身份验证(使用电子证书),这些都可以避免问题的发生。VoIP从内至外的保护除了以上提及到的解决方案外,还有很多托管解决方案可以帮助企业处理各种各样的基于IP电话的威胁。用于保护和强化网络服务器、数据库系统和电子邮件系统的传统技术确实也可以帮上忙,同时也存在一套载体级别的边缘控制解决方案,可以帮助企业管理网络的核心部分到接入点(上述很多威胁都发生在此处)免受安全威胁。当在评估边缘控制解决方案时,企业需要一个更新版本的技术来提供更好的可扩展性和强大的功能。企业可以采用载体级别的网络边缘解决方案,来提供企业级别的可靠性和扩展性以确保持续的可靠的安全性。部署这些下一代解决方案(很多在载体环境经常使用)还可以提供增值服务,如媒体管理以及边界会话控制器(SBC)找不到的telco级别的可靠性。部署这些解决方案后,企业和中小企业可以更加自信地迎接下一代网络,为员工提供统一通信服务。为了评估这些威胁和解决方案,企业还应该注意的是,标准社区(如SIPconnect和SIP论坛)的不断变化的规格和部署框架标准。这些标准明确规定了企业/供应商SIP端点汇集应该如何相互操作以及安全性,如使用TLS进行加密等。在2009年,VoIP供应商社区将会加入这些框架标准,使企业VoIP链接更加便于管理以及更加安全。企业需要查询一下他们的VoIP供应商是否支持关键框架(如SIPconnect等)。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024