不得不承認(rèn)人類正在改變著地球,，而這些改變的背后卻引發(fā)了良性質(zhì)變和危險隱患,。隨著時間的遷移，我們今天發(fā)現(xiàn)在醫(yī)學(xué)領(lǐng)域有了許多新的疾病和名詞,，“禽流感”,、“豬流感”、“非典”這些看似陌生卻又如此熟悉的病菌像一陣颶風(fēng)驟然降臨,，當(dāng)我們感嘆醫(yī)學(xué)領(lǐng)域缺乏有效的免疫體系時,，您是否想過假如信息安全同樣遭遇“流感”侵襲又會是何種境況?

　　正如民以食為天一樣，如今信息化時代,，網(wǎng)絡(luò)已成為日常生活工作中不可或缺的一部分,。然而隨著基于網(wǎng)絡(luò)的應(yīng)用不斷增加，網(wǎng)絡(luò)正在變得越發(fā)復(fù)雜,。我們已經(jīng)看到各種各樣的新式惡意軟件和攻擊行為正在通過各種途徑威脅著我們的網(wǎng)絡(luò),。

　　有意思的是網(wǎng)絡(luò)中威脅的產(chǎn)生，和現(xiàn)實(shí)生活中新病菌的產(chǎn)生存在幾分相似：首先,，它們都是以我們生活工作最為緊密的個體作為宿主;其次,，它們都是瞬間爆發(fā)，并迅速借助于其相關(guān)聯(lián)的個體擴(kuò)散到其他區(qū)域;再其次,，為了防止疫情的擴(kuò)散,，我們都需要從源頭去找尋病根,。

　　由此可見，當(dāng)安全“流感”來襲,，我們面對的挑戰(zhàn)是相當(dāng)巨大的,。

　　我們將面對哪些威脅

　　正如RSA大會2009中各國安全專家擔(dān)憂的一樣，隨著云計算以及SaaS服務(wù)模式的普及,，大量基于Web的應(yīng)用,，將給信息安全造成巨大的挑戰(zhàn)。而這些威脅對于今天的IT運(yùn)維人員而言很難以被發(fā)現(xiàn),。

　　IDC的高級安全顧問也指出,，內(nèi)容安全對于用戶而言，其實(shí)施的時間成本將遠(yuǎn)遠(yuǎn)大于基礎(chǔ)網(wǎng)絡(luò)安全設(shè)備的部署,。

　　這也從另一方面說明,，基礎(chǔ)網(wǎng)絡(luò)安全設(shè)備雖然相對完善與成型，但是面對由應(yīng)用和管理造成的安全威脅,，基礎(chǔ)網(wǎng)絡(luò)安全設(shè)施已經(jīng)顯得捉襟見肘,。正如“豬流感”暴發(fā)時，雖然已經(jīng)有一些疾病控制體系,，但是依然無法徹底阻擋其快速的傳播,。我們對信息安全的擔(dān)憂，同樣如此,，因?yàn)橹两裎覀儾]有看到行之有效的信息安全防御體系。

　　對于云計算的擔(dān)憂,，思科CEO錢伯斯在RSA大會的主題演講中語出驚人：“對于安全而言,，云計算是一場噩夢”。雖然業(yè)界包括思科在內(nèi)對云計算的趨勢一致認(rèn)同,，但由于云計算復(fù)雜的體系架構(gòu),，使得其潛在的安全問題難以預(yù)測。

　　綠盟科技的專家表示,，“云計算帶來的安全問題,，是我們無法回避且必須付出很大的努力來解決的。”

　　而對于SaaS來說,，其存在的安全隱患數(shù)量相對于云計算,，有過之而無不及。SaaS的安全問題存在于它的各個層次：基礎(chǔ)設(shè)施,、運(yùn)行平臺以及上層應(yīng)用,。例如對于基礎(chǔ)設(shè)施，數(shù)據(jù)中心建設(shè),、物理安全,、網(wǎng)絡(luò)安全,、傳輸安全、系統(tǒng)安全是主要的關(guān)注點(diǎn);而對于平臺,，數(shù)據(jù)安全,、數(shù)據(jù)與計算可用性、災(zāi)備與恢復(fù)問題則更受關(guān)注;到了應(yīng)用層面,，則對于數(shù)據(jù)與應(yīng)用的安全問題更為關(guān)注,。而且，當(dāng)SaaS架構(gòu)在云計算這個平臺上時,，最高層的這些安全問題很多是不可知,，不可控的。

　　當(dāng)然除了云計算和SaaS服務(wù)模式的挑戰(zhàn),，目前我們依然需要高度關(guān)注漏洞和管理帶來的威脅挑戰(zhàn),。

　　Qualys首席技術(shù)官Kandek表示，“當(dāng)前攻擊方式正變得越來越復(fù)雜,，而大多數(shù)關(guān)鍵漏洞的利用時間卻越來越短,，這使安全問題變得愈發(fā)嚴(yán)峻。企業(yè)只有掌握了漏洞趨勢,、潛在危害性和漏洞的優(yōu)先權(quán),，才能采取更有效和更直接的方式來保護(hù)網(wǎng)絡(luò)。”

　　因此,，只有提高人的安全觀念,，強(qiáng)化用戶防范威脅的意識，并主動出擊規(guī)避風(fēng)險,，才能確保網(wǎng)絡(luò)運(yùn)維安全的行之有效,。

　　那么是否解決了這些無法回避的問題，我們的網(wǎng)絡(luò)就真的安全了?

　　我們給出的答案是否定的,。對于云計算以及SaaS來說,，造成其安全問題不可控的原因在于，使用者再也無法自己實(shí)際掌握對安全便捷與數(shù)據(jù)的控制權(quán);另一方面,，服務(wù)模式的改變,，將使得更多的合作伙伴參與到企業(yè)的核心業(yè)務(wù)中去，對于服務(wù)外包及合作伙伴的管理已成為我們必須認(rèn)真考慮的安全問題,。

　　為此,，除了解決企業(yè)邊界安全保護(hù)以及必要的數(shù)據(jù)保護(hù)、身份接入控制外,，企業(yè)必須擁有一套行之有效的安全審計與合規(guī)管理機(jī)制,，來保護(hù)業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)營，規(guī)范員工與合作伙伴的行為,。

　　“流感”盛行 我們的信息安全如何保障

　　·健壯的法規(guī)遵從

　　今天,，企業(yè)面臨的最主要安全問題也許并不是網(wǎng)絡(luò)安全基礎(chǔ)設(shè)備的部署和使用狀況,。相反，國內(nèi)很少有企業(yè)或機(jī)構(gòu)擁有完善的信息安全規(guī)章制度,，缺少必要的安全合規(guī)意識,。這正如法治社會需要規(guī)范的法律來約束公民一樣，企業(yè)同樣需要信息安全法規(guī)遵從來約束使用終端或網(wǎng)絡(luò)的用戶,。

　　當(dāng)然,，我們看到了國家在這方面正在做著積極的努力，即將實(shí)施的《內(nèi)控》法,，以及公安部積極推進(jìn)的等級保護(hù)都讓我們看到了希望,。但是這些對于多變的信息安全而言，還是存在些許不足,，企業(yè)在這個過程中,，更需要從自身入手，定制更加詳盡的制度來規(guī)范員工和合作伙伴行為,，從內(nèi)部將可見的威脅斬斷,。

　　·必要的邊界網(wǎng)絡(luò)防護(hù)

　　雖然，當(dāng)前不少企業(yè)IT管理者已經(jīng)擁有并部署了防火墻等基本的安全設(shè)施,，但為何還會發(fā)生數(shù)據(jù)泄露,、黑客入侵等各種安全事故?這種狀況的發(fā)生，在很多程度上是由于邊界安全設(shè)備,，并沒有滿足企業(yè)的安全需求,。為此，企業(yè)在選購安全產(chǎn)品時,，需要首先規(guī)劃出企業(yè)信息安全的預(yù)期,，然后確定企業(yè)關(guān)鍵系統(tǒng)的安全防護(hù)等級，最后才是根據(jù)需求來選擇安全產(chǎn)品,。特別是企業(yè)在臨時決定強(qiáng)化某方面的安全需求時，更應(yīng)該全面考慮整個環(huán)境的安全實(shí)情,，再做定奪,。

　　另外用戶需要避免一些誤區(qū)，并不是說功能越多的安全網(wǎng)關(guān)就會給企業(yè)帶來最佳的安全防護(hù),，在選擇邊界安全設(shè)備時,，企業(yè)IT管理者需要認(rèn)清，企業(yè)具體保護(hù)的內(nèi)容,，以及企業(yè)可以承受的最大負(fù)載和業(yè)務(wù)延遲,。這也是當(dāng)前安全網(wǎng)關(guān)產(chǎn)品面臨的一大瓶頸——性能。

　　·規(guī)范的安全評估

　　防微杜漸是解決企業(yè)信息安全的基本法則之一,。正如我們之前提到的安全專家對云計算和SaaS的困擾一樣,，企業(yè)網(wǎng)絡(luò)中業(yè)務(wù)應(yīng)用的增加趨勢既成事實(shí),。應(yīng)用的增加使得潛在的安全威脅亦在增長，定制的網(wǎng)絡(luò)安全評估,，可以及時發(fā)現(xiàn)企業(yè)存在的安全威脅,。

　　·數(shù)據(jù)存儲災(zāi)備與歸檔

　　最后，我們要說的還是跟數(shù)據(jù)有關(guān),。任何企業(yè)的關(guān)鍵數(shù)據(jù)最終都要存儲在各種存儲設(shè)備中,。當(dāng)我們將過多精力集中在系統(tǒng)、業(yè)務(wù)以及攻擊者造成的威脅時,，我們很可能已忽略了基礎(chǔ)安全對企業(yè)造成的影響,。宕機(jī)、系統(tǒng)故障,，這些非人為的因素很可能會在一瞬間讓您的業(yè)務(wù)系統(tǒng)徹底癱瘓,，由此可見必要的災(zāi)備對于企業(yè)而言是至關(guān)重要的選擇。

　　另一方面,，對于上市公司以及敏感行業(yè)來說,，實(shí)施快速高效的歸檔將有助于企業(yè)減少不必要的法律糾紛。通常企業(yè)在實(shí)施災(zāi)備與歸檔的過程中,，可以參考薩班斯法案,、ISO27001等安全認(rèn)證，當(dāng)然我國即將實(shí)施的《內(nèi)控》法規(guī)也將幫助企業(yè)強(qiáng)化此方面的安全意識,。

　　綜上所述,，我們不難發(fā)現(xiàn)，在“流感”盛行的今天,，信息安全領(lǐng)域中的“流感”疫情隨時都可能給企業(yè)網(wǎng)絡(luò)造成無法預(yù)估的災(zāi)難,。面對愈發(fā)嚴(yán)峻的安全威脅，唯有主動出擊,，從企業(yè)自身實(shí)情出發(fā),，打造立體的威脅防御體系，才會有效抵御安全“流感”的侵襲,。因此,，我們呼吁企業(yè)應(yīng)提前做好準(zhǔn)備，將潛在的安全風(fēng)險降至最低,。