南京銘岱網路：企業網路安全成為當前CIO們最關心問題

天災，也叫"不可抗力"的災難，通常指水火無情的自然災害，而在今天企業可能要面臨另一種"天災人禍"，那就是網路安全。如今 你若問CIO最關心的問題是什麼時，他們中的絕大多數會不約而同地說："當然是網路安全了!"。企業網路安全問題，不僅牽繫著企業使用者業務能否正常執行， 而且還直接影響到企業效能和核心競爭力的發揮。

在過去的2007年，無論是年初蔓延網路的"熊貓燒香"病毒,還是11月的英國政府遭史上最 大資料外洩使2500萬人受到影響的事件，都說明網路安全面臨著病毒更毒，駭客更黑。諸如從間諜軟體、網遊木馬、流氓軟體、IM通訊病毒、病毒郵件的肆 虐，到性質極為嚴重的網路銀行釣魚和針對性很強的木馬、蠕蟲病毒的不斷出現。

俗話說："道高一尺，魔高一丈"，網路系統的安全性問題之所以 讓企業頭疼，是因為指望透過一勞永逸解決所有安全問題是不可能的。類似的例子不勝列舉，不論是病毒、資料丟失，還是垃圾郵件等等企業網路系統的安全性問 題，都給企業敲響了警鐘。因此，網路系統的安全性也成為CIO最為頭痛和最為棘手的問題之一。

什麼是網路安全威脅?

想要應付 網路安全威脅，就要先認識到什麼是"安全威脅"。據有關調查顯示，85%的被採訪者表示曾經遇到網路安全問題，其中遇到次數最多的是網路病毒。另外，還有 70%的被採訪者表示公司網路曾經被駭客訪問過。因此，企業網路安全性有兩個最大威脅，它們是病毒侵襲和駭客入侵。

1. 病毒侵襲。這 幾乎有計算機的地方，就有出現病毒的可能性。計算機病毒通常隱藏在檔案或程式程式碼內，伺機進行自我複製，並能夠透過網路、磁碟、光碟等諸多手段進行傳播。 計算機病毒傳播速度相當快、影響面大，必須對它的危害要引起關注。防毒軟體是對付病毒的最好方法之一，然而如果沒有"憂患意識"，很容易陷入"盲從防毒軟 件"的誤區。
   
2. 駭客入侵。一般來說，駭客常見的入侵動機和形式可以分為兩種。第一種是拒絕服務(DOS)攻擊。這類攻擊一般能 使單個計算機或整個網路癱瘓，駭客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網路使用者使用該服務或破壞正常的商務活動。另一種是非法入侵，非法入侵是 指駭客利用企業網路的安全漏洞訪問企業內部網路或資料資源，進行刪除、複製甚至毀壞資料的活動。這兩種駭客入侵行為都可能致使公司停工、增加清除成本或數 據被竊而造成無法挽回的損失。除此之外，非法入侵對於企業的品牌形象、客戶信賴度、市場佔有率甚至股價都有潛在性的影響。保障網路安全有兩個支柱，一個是 技術、一個是管理。而我們日常提及網路安全時，多是在技術相關的領域，例如IDS入侵檢測技術、Firewall防火牆技術、Anti-Virus防病毒 技術、加密技術、CA認證技術等等。但正如"木桶原理"所示，你的能力是由你最弱的那個環節決定的，我們在保護網路安全時，也應該從上述二個方面全面考 量，而不能只偏重其中的某一個部分。
3. 網路行為規範化管理。網路行為的根本立足點，不是對裝置的保護，也不是對資料的看守，而是規範企業 員工網路行為，這已經上升到了對人的管理的階段，透過技術裝置和規章制度的結合來指導、規範員工正確使用單位的網路資源。網路安全的根本政策，一定要包含 內部的安全管理規範。許多企業花大成本買最好的防火牆，駭客或是熟悉該企業網路環境的離職員工，還是有辦法繞過從牆外進來，這是因為沒有一套軟體可以在沒 有網路安全管理策略之下發揮作用。防火牆、防毒牆都是提供服務的工具之一，人，才是網路安全最大的關鍵。CIO必須為網路安全建立一套監督與使用的管理程 序，並且徹底實行。
4. 安全意識最重要。面對不斷襲來的安全威脅，除了購買安全產品以外，我們還應該做些什麼呢?這裡需要指出："安全意識 最重要!"。安全設施的建立只是企業資訊保安的第一步，如何在安全體系中有效徹底的貫徹安全制度，以及不斷深化全員安全意識才是關鍵所在。光依靠技術不能 完全解決安全問題，因為過了一段時間，一些先進的技術可能就過時了，所以CIO應該有安全意識，重視自己企業的安全措施。加強安全意識的培訓，首先要集團 的領導認識到網路安全問題，另外也要對技術人員加強培訓，統一認識。這些安全措施包括，培養員工的安全意識，養成良好的上網習慣，比如及時打好系統補丁、 不要瀏覽不良網站、不隨意下載安裝來歷不明的軟體等等; 對相關的技術管理人員進行技能培訓，對於重要資料一定要做好資料備份，否則會導致災難性的後果。

其 它確保網路安全的有效措施。現在網路安全可以說是關係到企業命運的大事，不管願意不願意CIO其中的一個職責就是要保證網路安全。如果公司的資訊系統脆弱 不堪，CIO必須對此負責。那麼，CIO應該制定什麼措施來履行這個職責呢？

1. 明確崗位職責，保障網路安全。CIO重要責任之一是 保障本公司網路的安全、完整與可用性。這項工作不能外包出去，也責無旁貸，因此要在崗位職能上明確規定。CIO要有特許權，只要檢測到網路安全違反行為， 就要收集、分析與調查事件。例如職責上明確規定負責安全協調，確保影響網路安全的職能是整合在業務流程過程中而不是獨立的任務。同時要進行評估網路安全受 到危及或有受到危及之嫌的每一個事件，並把網路安全的質量、健全性和可靠性通知和報告高層管理人員。此外，CIO還應該指導開發人員，確保網路安全成為 IT系統設計不可或缺的一部分。
2. 力爭在網路安全投入足夠預算。CIO要力爭並確保足夠資金投資於IT系統的安全專案。密切關注公司要為 網路安全劃撥一定金額的預算，以承擔安全成本，例如防病毒軟體、防火牆伺服器、加密軟體、入侵檢測系統、集中安全管理等成本。公司高層主管有時會認為 CIO對網路安全過於大驚小怪。但CIO要清醒認識到："至關重要的計算機設施出現安全問題造成嚴重損害的故障只是個時間問題。對於網路安全，生於憂患， 死於安樂的意識並不是傳說中的事情，擔憂有人對公司的網路構成危害的心態，並非總是基於想象中的恐懼。如果你想到有競爭對手希望你公司遭到危害，那麼謹小 慎微對生存而言也許絕對必要。
3. 定期進行網路安全檢討會議。在明確了網路安全目標之後，CIO應當就網路安全問題定期地舉行檢討會議。一 旦安全會議檢查到現有的業務運作存在網路安全問題，或評估以往安全措施的執行情況存在問題時，CIO就需要設立一個解決網路安全的時間框架。每月進行安全 討論聽上去好像很多，尤其當公司各安全團隊是散佈在不同的地區，但是CIO從中所獲得的回報是在當月接下來的日子中可以確保公司網路安全，以確保公司業務 能處理日常工作。

[@more@]