跨國企業網絡:應對復雜求安全

安全威脅數量眾多，威脅種類多種多樣，各國政府和行業協會制定的法規、標準內容迥異，面對如此復雜的環境，跨國企業如何保證網絡安全?

企業網絡正面臨前所未有的高風險: 每個企業都必須遵從數量眾多且時常發生沖突的內部政策、政府法規、第三方條例，以及與安全相關的行業最佳做法，這種高度復雜的安全環境本身又滋生出一種新的“極端風險”——可能導致一個或多個設備出現配置錯誤，或來不及應用最新的規則或軟件補丁，進而使企業陷入危險境地?？鐕髽I在這方面面臨的問題尤甚。

如何在紛亂復雜的環境中成功降低跨國企業網絡的安全風險?

復雜即風險

每個企業的當務之急就是避免配置錯誤和違規行為，這不僅是為了規避法律風險、罰款及其他違規處罰，同時也是為了維護企業的誠信、聲譽和品牌。然而，降低企業風險現在已成為縱貫多個層面的課題，需要在多個層面上制定并實施相應策略——由此產生的復雜性已成為當今企業面臨的最大難題之一。

當今企業面臨著各種各樣的安全漏洞，防范它們所需要的工具各不相同。這些漏洞主要包括:

●使網絡易受其他形式攻擊的網絡漏洞;

●數據竊取，包括跨網絡數據劫持;

●導致服務器、個人電腦或虛擬應用行為失?；虺蔀槠渌纛愋驮搭^的惡意軟件;

●拒絕服務(DoS)攻擊，可造成數據不可用，或授權用戶無法訪問網絡。

企業不僅面臨上述威脅，還必須遵從數量眾多的行業及監管條例:

首先是外部監管。企業必須遵從各種因國家和地區而異的客戶隱私條例，除此之外，還有專門針對特定垂直市場的第三方條例。比如，在美國，由信用卡公司組成的支付卡行業(PCI)協會分別對零售商和接受信用卡付款的實體規定了消費者隱私標準，其中涵蓋IT及網絡域名。企業如果違規，就要接受該協會嚴厲的罰款和其他違規處罰。

其次是最佳做法標準。許多企業通過實施行業標準的IT安全管理最佳做法(國際標準化組織ISO 27000系列文件中有詳述)來增強其安全措施。這固然可使企業建立起適當的安全防護網，以保護其知識產權(IP)、機密數據及客戶信息，同時為業務持續性計劃提供支持，但遵循行業最佳做法卻會產生一個新的安全規則層。

此外，正在潛入企業內部的Web 2.0社交網絡、需要不斷更新的軟件及安全補丁……也都會增加企業的安全復雜性。

進入企業的新通道社交網絡

近年來，Web 2.0技術使網絡安全形勢再起波瀾。一年前，很多企業可能都沒聽說過Twitter、Facebook、YouTube之類的流行社交網絡，而如今，它們已借合法商業及營銷之名滲透到了企業網絡內部，雖然目前可能仍然只限于員工個人使用。

進入企業網絡內部的新通道正在形成。理想情況下，這些通道可用于增強企業的商業意識和改善運營; 但另一方面，它們也開辟了行使惡作劇或竊取企業數據的新途徑，為員工向企業外部泄露敏感信息提供了方便。比如，社交網站就經常被用來發動網絡釣魚詐騙。

移動和無線

傳統的網絡邊界及其相關的保護措施正隨著企業用戶轉向無線網絡(包括蜂窩移動網絡和/或 Wi-Fi無線網絡)而逐漸發生改變。企業必須為移動設備提供保護，加密存儲在移動設備上的機密數據和通過無線傳輸的資料，以及保護企業網絡、防范移動網絡入侵(如黑客或惡意軟件)，這已成為移動設備管理(MDM)的一個分支。

總的來說，信息和網絡技術的“消費化”開辟了(且還將繼續開辟)大量“進出”企業的新途徑，其中多數可在戰略上幫助企業獲益。隨著 Web 2.0 應用的演變和移動網絡的興起，安全成了一套動態、不斷變化的規則，必須予以密切關注。安全已不再是一種“設定后即可置之不理”的方針。

“緊跟變化”的難題

以上因素營造了一個復雜、多變的安全環境，而且該環境本身就是個巨大的風險。其復雜程度更高、安全層數更多、員工專業知識更趨多樣化，必須予以管理和簡化。來自軟件和網絡設備公司的新軟件補丁、漏洞修補程序和安全更新不斷增加，與時俱進的要求會迅速造成操作人員不堪重負，致使企業不得不在設備和軟件方面做出額外投資。此外，萬一負責基礎架構不同部分的 IT 員工，比如安全管理員與應用服務器管理員，未能協調好工作，導致一部分部件更新，而另一部分未得到更新，也可能造成安全漏洞。

CIO和其他負責IT安全工作的員工應考慮的一個基本問題是: 如何準確創建、實施、過濾和關聯所有這些策略、事件和潛在違規行為，以便時刻把握安全形勢?多管齊下地進行風險管理，目標就是確保公司始終遵守各項法規，并消除針對其知識產權及數據保密性、完整性和可用性的威脅。

此外，降低風險還需要一套自上而下的管理方法，這種方法根據來自上層的管理策略編寫規則。應確保公司各個層級都了解這套安全策略，并使之成為企業文化的一部分。安全應成為業務運作的一個組成部分。

四招

降低風險

要想在復雜環境中降低企業網絡風險，首先要縱觀全局，評估涉及隱私及機密信息的各項數據資產。其實質操作與業務持續性和災難恢復規劃相同，目標均為防止數據失竊、受損或無法訪問。因此，數據安全評估和業務持續性評估可同時執行。

掌控企業整體安全形勢并降低風險，還可從以下幾方面入手:

1. 風險/漏洞評估

執行風險/漏洞評估的第一步，是引入能夠發現企業網絡上運行的一切網絡設備、服務器、存儲設備及軟件的管理工具集。必須先了解都有哪些部件，然后才能確定是否所有部件都符合最新的策略規定，遵從適用的法規、條例，以及應用軟件補丁。

幸運的是，網絡發現及安全工具的準確性在過去幾年里得到了極大提高。它們現在能夠從網絡及全網服務器設備處收集海量的安全事件數據，然后將之歸納到超長的報告中，詳述網絡安全的各個方面。

現在，您可以捕獲所有此類信息了，然而您面臨的更大難題是，如何利用這些信息制定出有實際意義的舉措。這就需要您掌控這些信息，排定其優先順序，并加以組織——所有這些必須迅速完成。捕獲到的大部分事件信息是無關緊要或重復的，因此，過濾信息并在攻擊發動之前迅速找到實際潛在的風險至關重要。

過濾可通過編寫能夠分離大量冗余信息和異?；顒拥淖远x算法來完成。無論在企業內部還是在開放的互聯網上，數據分析均基于已知攻擊類型和流量歷史數據。許多公司對安全問題的認知不夠全面，也未將其作為分析的一部分對待，而事實上，安全問題已對全球范圍的網絡造成了巨大影響。此外，公司還缺乏可幫助其捕獲數據并排定優先順序的數據收集工具，比如分析軟件。

要不斷更新設備，企業還必須具有實現多種設備或設備類型相關聯，以及定期執行漏洞掃描的能力，這些功能需要不同的專業知識和人力資源。

2. 集中化=簡單+可靠

所有收集到的數據(來自面向公眾的設備以及內部設備)應集中進行分析，以反映企業全貌。其目標應為簡化信息，以幫助企業加快獲得基于業務需求的優先順序警報，并能夠根據檢測到的威脅或漏洞做出適當反應。

實現這一目標的最可靠方法之一，是通過網關與防火墻(位于不同網絡結點的設備，如LAN與 WAN之間或WAN與互聯網之間的設備)的統一視圖收集事件數據，然后將其聚合到一個中央位置。無論這項功能是內部處理還是外包處理，跨設備的網絡事件數據關聯與聚合形成的企業全貌，可幫助您預測事件即將發生的時間，讓您在其損害到企業之前主動化解這些事件，從而大幅降低風險。

強大的發現工具或第三方發現服務能夠篩選數以億計的警報，過濾掉不相關的數據，并將數據削減到100～200個需要網絡分析師介入的事件。之后，分析師應能夠解決約50個需要警惕的重要事件。

將事件削減到網絡分析師能夠處理的重要事件數量，是簡化復雜/整體網絡安全形勢的關鍵步驟。如果本地IT員工的工作與其他站點的工作脫節，就必定會形成安全漏洞。

無論如何，跨國公司都必須應對不同國家/地區的不同法規和條例。這可能會導致不同的網絡需要不同的防火墻策略設置。此外，防火墻補丁是定期發布的，而多數大型IT部門傾向于按某種優先順序來為設備打補丁和升級。這一過程通常會導致優先級較低的站點疏于管理。實際上，一個站點的防火墻如果幾年都未升過級，那就跟沒有防火墻一樣。

集中變更管理功能可外包給大型實體來予以簡化，這些實體應具有規模效益、最新工具以及能夠作為一個完整實體來評估和更新整個網絡的安全專家。如果要內部處理這些事務，則需要在各個國家/地區雇用專家，這些專家應了解哪類信息可以在哪些國家/地區之間傳遞，負責維護能夠獲取每個國家/地區策略全貌并創建適用于所有策略的集中式策略的核心團隊。

3. 策略設置與實施

今天的許多防火墻和防火墻服務都將數量眾多的安全功能合并到一個設備或服務之中。這些功能有多個“層級”，每個防火墻內集成的功能取決于介于各個站點之間(WAN 服務與專用網絡、專用網絡與公共互聯網、公共服務器與專用網絡等)的網絡。另外，它們還取決于與該網段相關的漏洞/風險。

入侵防護工具可能會集成這樣一類策略: 對流量執行代表異常的特征碼進行掃描。防火墻和安全軟件廠商會針對已知惡意軟件的特征碼迅速制作并發送補丁，將其自動從流量中過濾掉。這就是必須確保所有設備不斷更新的原因，新的威脅時時刻刻都在涌現。

安全程序還可以簡單地尋找任何“不尋?！钡幕顒印纾囟ǚ掌骰蚱渌嬎銠C上出現非常多的通信請求，會使其過于“忙碌”，而造成用戶無法訪問。

根據某個企業必須遵從的一系列內部最佳做法和監管要求，用戶訪問列表和驗證可能是基于角色的，且可能因國家/地區、行業而異。這對于加密數據是一樣的，無論這些數據是保存在個人電腦硬盤上，還是使用IP Sec或SSL VPN專用“隧道”通過網絡進行傳輸。

4. 與可信第三方合作

今時今日，要保持不斷更新自己遍布全球的分支機構網絡上日新月異的策略和安全設置(需要實施、評估和審核)，是大型跨國企業面臨的一道難題，甚至是一項不可能完成的任務。它們需要一個專注于該領域并經過授權的安全/網絡運營中心(S/NOC)為其提供全天候不間斷的政策和法規審查、風險評估、應對即將來臨的警報并主動規避風險。

有些跨國企業會依靠自己的力量，努力管理和維護這些中心。只要新的法規和安全威脅不斷出現，此類企業就必須不斷為升級設備、軟件和提高員工技能持續投資。

但是，也有很多跨國企業認為信息和網絡安全體系并不屬于公司的核心業務，不妨將持續監控、評估和審核這些工作交由專業、可信的合作伙伴來完成。

專業的第三方安全服務提供商提供的服務能夠覆蓋全球，并可隨行業變化不斷更新其工具和專業知識。他們具有超強的專業技能，每小時能夠處理全球數百萬件安全事件，并過濾出最重要和值得關注的事件。企業只需每月支付一些服務費，即可確保其第三方S/NOC合作伙伴具備最領先的工具和專業知識，來為企業的網絡和IT基礎架構提供全天候的保護。

此外，業務持續性所需的冗余也可在外包合作伙伴高度安全的S/NOC設施內自動建立起來，即自動設立設備冗余和網絡線路冗余，以避免停機導致數據丟失。