安全风险管理：网络安全问题的答案

    以前，只有IT部门那些最懂技术的成员才明白IT安全。在IT部门的办公室之外，病毒、木马、蠕虫这些词都不会被提及，管理层也并不关心黑客和僵尸机，董事会根本不清楚什么是零日攻击，更不用说零日攻击能带来多大的危害了。然而，现在，计算机以及随之而来的各种威胁成为几乎每一个单位非常普及的一部分，IT安全也慢慢地变成了一个被广泛关注的商业问题。
   
    人们所熟悉的传统的IT安全解决方案通常只包括最基本的普通的防火墙，再加上杀毒软件、扫描系统、入侵监测和身份管理。但是，现在，安全产品的范围很广，涵盖了安全的各个方面，从最细节性的到最宽泛的、遍及网络的防护措施。此外，很多企业都选用标准的应用程序和软件，比如Windows的软件，他们都会同时安装一个补丁管理程序。这就保证了能为他们的服务器或客户机及时打上最新的补丁，从而可以解决软件内存在的任何一个漏洞。
   
    无疑，这些安全方案的存在是有作用的，通常情况下也足以保护主要的IT设施，但同时，这些方案也很令企业、员工，尤其是IT部门头疼。安装、执行、维护这纷繁复杂的解决方案通常是非常昂贵并且非常耗时的。IT部门的员工花费时间去更新补丁、去配置防火墙，而不能做可以创作收益的事情。安全需求的优先级很难确定，常常导致浪费资源在次要问题上，特别是打补丁这件事，如果对问题的孰重孰轻没有很好的理解，那么很可能打了补丁的是无关紧要的漏洞。相反的情况就更加糟糕了，那就是，未给高危漏洞及时打上补丁，整个网络暴露在危险之中。除此之外，病毒预警、补丁更新及其它一些安全问题总是以很高的频率发生，企业及其IT部门很难跟上这步伐也是不足为奇的，这就不免会留下灾难性的隐患。
   
    那么，对于想要以高效的经济的方式保护自己的网络和机器的企业来讲，什么才是真正的出路呢？答案就是自动化。上面提到的大多数方法都可以做到自动化：补丁自动打到机器上、杀毒软件自动扫描病毒和蠕虫。IT管理者们所需要做的事情只是静静地坐在那里，享受这自动的一切。但是很不幸，问题远不像看起来那么直截了当。某些类型的安全问题需要频繁更新补丁，这必须手工操作；而有些更新和有些特定的系统不兼容，这就需要更加仔细的监控。通常，安全软件也不够智能，不能依靠它们处理异常或突发事件，它们做不到像人那么灵活。对某个站点的访问量猛增可能被误认为是零日攻击，或被误认为是恶意入侵。
   
    为了避免上述情况的发生，就需要一个更加全面的解决方案，可以把安全和企业目标结合起来，能够更加高效地管理风险。安全风险管理（Security Risk Management, SRM）应运而生，它可以帮助解释复杂的安全问题，解释成易于消化并备份的风险术语。
    
    引领业界的分析师们把安全风险管理定义为这样一个完全的过程：该过程包括：理解威胁、给漏洞划分优先级、限制可能的攻击带来的危害、理解在目标系统上做改变或打补丁给系统带来的影响。SRM解决方案把多种不同的信息资源和技术集成在一起并且对之实现自动化，从而实现更为高效的漏洞管理过程。SRM还加入必要的分析，以做出更加智能的决策，在攻击发起之前对企业的重要资料进行有效的保护，同时还不断验证并提升对抗风险的能力。
   
    一个SRM过程包括三个关键步骤：
   
    1 风险评测（Risk Assessment）
   
    风险评测是发现风险并对风险及其带给企业的影响进行评估。这个过程中，需要一个综合的安全方法：定义各种威胁的源头和姿态；搜集漏洞扫描数据并将其标准化；从防火墙和路由器搜集路由和访问信息；以企业术语定义资产分类。
   
    2 降低风险（Risk Mitigation）
   
    这个过程包括对问题划分优先级、评估来自风险评测过程降低风险的策略，实施适合的方案。这里需要引入企业影响分析方法：在网络路由的环境中对漏洞建模；实施模拟攻击，来揭露对企业存在最大潜在危害的隐患；计算风险暴露标准、建立标杆（benchmark）；分析降低风险的方法。
   
    3 风险测量（Risk Measurement）
   
    风险测量决定安全策略的有效性，并反复执行上述两个过程，以求将威胁和漏洞最小化。在这里需要一个规则的ROI方法：执行风险分析；在行动之前，要评估损益；向交换管理系统（change management system）发布工作流票；向安全、IT部门、CICO、CIO、企业高层、审计师们分发报告；重复数据采集和分析过程并将之自动化，以保证能够跟上网络上不断发生的变化以及新引入威胁的情况。
   
    这个方法可以保证安全系统的持续更新，还可以向IT部门提供清晰的记录，以便到位地监测并论证不同的安全过程。该方法使企业对漏洞有全面的了解，并可以准确评估他们所面临的风险，还可以确定问题的优先级，采取有效的补救措施。IT部门不会再把时间浪费在不必要的事情上，而是可以把宝贵的时间花在其它能够提高效率的地方。也许，最重要的是，从隐患被识别出到彻底解决的时间段减小了，使得企业遭受破坏的可能性进一步降低。
   
    有了安全风险管理这个最优的策略，风险可以大幅降低，对付风险所需的时间和精力也大大降低，信息的准确性也得以提升。自动化意味着安全团队和审计师在任何时候都可以获得对安全状况的持续准确的跟踪，可以快速看到并更正内部控制中的失误。IT部门、安全团队、商业团队以及高层执行官可以用同样的术语来谈论安全，并能协同合作，保证持续改进。
   
    SRM正在飞快地变成智能安全的代言。现在，威胁的发生频率和严重性每一天都在发生，企业很快都会对SRM这个词耳熟能详。要保证在安全上具有竞争性的优势，仅靠一个防火墙已经远远不够了，现在我们需要一个智能的、高效的策略来管理风险。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：安全风险管理：网络安全问题的答案

本文网址：http://www.toberp.com/html/support/11121824428.html