谈谈网络安全方案部署中的重点

2008-04-02 10:57:36来源：互联网阅读 ()

　大多数安全经理在制定年度计划时常犯的严重错误是，没有按企业的业务目标来部署安全方案。例如，如果您的企业计划在中央位置进行扩展，而且您企业的计划中有外包计划，或接纳战略合作伙伴，这样，您的安全解决方案就将发生很大变化。

　　确定主要的IT项目

　　在确定了高级业务目标后，下一步该着眼于贵公司首席信息官为这一年规划的主要项目，这将决定您如何在这一年中分配您公司的资产。查看为该年度安排的每个项目，并询问该项目将对您的安全产生哪些影响，例如吞吐量、规则、策略和人员配置要求。在对每个项目进行研究时，找出企业面临最大风险的区域。这些区域并不一定位于网络的边缘。在查看每个应用时，应该重点考察这些问题：在某个数据库中有哪些机密数据，企业网中的每台PC都需要访问某个服务器吗，如果这些数据被泄露到企业之外会发生什么危害等等。接下来的挑战将是，如何实现安全的业务，而不是“我该如何确保这些新服务器的安全”。

　　全部精力对抗三类安全威胁

　　以下是在2005年建立稳固的安全形势的三种可靠方法。由于当今企业逐渐将重要的功能部署在Web上，您应该将三分之一的力量放在“如何为企业实现安全的Web事务处理”上。保护Web事务处理最有效的技术是应用防火墙，或者能够提供深度协议检验的防火墙，例如Check Point的Firewall-1中的应用智能（Application Intelligence）技术。

　　由于当今部署在Web中的一切都拥有附属数据库，您应该将另外三分之一的力量投入到保护数据库上。为实现这一点，您应该考虑使用分层安全和内部防火墙。深度信息包检验能够为这一等级的保护提供更多安全。

　　最后，将您的三分之一力量放在保护企业台式机上。EarthLink最近公布的数据显示，每天有30000台台式机的安全受到间谍软件、木马和其他保密与安全风险的威胁。一旦这些台式机受到感染，它们就将被加入到黑客用以获得攻击您全部企业资产的内部媒介的“受控系统网络”中。最佳的保护形式就是采用出色的补丁管理系统。考虑到要使用自动化补丁管理系统，另一种保护台式机的有效策略就是部署更加安全的浏览器，例如使用Firefox取代IE。由于企业台式机所具有的高风险等级，您千万不能忽视这种新型的内部威胁。

　　购买新产品要三思

　　购买最新的产品可能会引发问题。如果您正在寻找新技术，请首先考虑来自可信任厂商的新技术，然后再决定建立新合作关系。考虑刚才提到的应用防火墙。虽然应用防火墙表现出巨大的潜力，但关于应用防火墙应该阻止哪些内容有十几种意见。

　　很多企业用户浪费了大量资源防止病毒发作，虽然我们确实需要为企业提供反病毒技术，但我们也应该了解如何隔离病毒发作来使网络更加迅速地恢复。在保护应用时应考虑使用新解决方案会增加多少开销。例如，添加要求防火墙随网站的所有更新而更新的专用应用防火墙，将很快导致大多数安全小组中的可用资源不堪重负。如果仅仅添加您小组已经熟悉的技术，将降低风险因素。例如，与仅为获得新性能等级或功能集就更换为新的防火墙厂商相比，为防火墙添加新功能或升级到同一制造商的更加智能的防火墙，对企业带来的工作量和造成的影响会更小。总之，企业在使用下一种新技术前，应当仔细考虑所有更改将造成的总影响。

　　进行一些研究，制造一些计划，并了解您的企业业务与技术目标，这将大大有助于确保企业的安全能够符合2005年的需要。