本文於2008-05-21 ,發佈在[url]http://netsecurity.51cto.com/art/200805/74227.htm[/url]
如今,企業的IT主管們都非常清楚網絡安全意味着什麼。可以說網絡安全對維持企業業務正常運轉起到了至關重要的作用。然而在20年前,企業對網絡安全方面的認識卻並非如此,在那個年代,企業的網絡安全建設到底是什麼樣子?是什麼促使了企業加大了在網絡安全方面的投資與建設?在歷經20餘年的發展後,IT主管們應該怎樣建設“安全的”的信息現代化企業?
帶着這些問題,51CTO.com記者採訪了北京首鋼自動化信息技術有限公司自動化研究所的郭雨春總工程師。郭雨春負責首鋼IT系統建設與規劃工作已經有20餘年了,作爲中國企業信息化建設20年發展的見證人,郭雨春對網絡安全方面的建設與發展有着更深刻的感受。他把真正意義上的企業網絡安全發展分爲兩個階段,即數據防護階段和可持續發展階段。
20年前,沒有真正的網絡安全
由於網絡技術發展的限制,從80年代中後期,直到90年代初期,企業還談不上真正意義的網絡安全。
郭雨春回憶說,在80年代中期,IT基礎設施還非常欠缺,有實力搭建網絡的企業少得可憐,大部分企業的微機數量屈指可數。直到90年代初期,雖然出現了簡單的網絡結構,也開始意識到病毒的概念,但安全措施也基本體現在對企業內部員工的制度管理層面上,幾乎沒有針對安全的具體設備和產品。
直到90年代中期之前,由於當時的網絡技術水平有限,使得安全威脅大部分來自企業內部,例如病毒、誤操作等等;相對而言,來自其他因素的主動***很少,最多隻是這些企業職員由於種種原因刻意破壞微機系統,使系統不能正常運行,從而導致安全問題的產生。這也是爲什麼“安全”重點放在對人的管理層面。企業所謂的安全措施,幾乎都是爲了保障單機系統的正常運行、不宕機而建立的。讓郭雨春印象深刻的是,當時爲了防止計算機系統不中病毒,企業採取了很多管理措施,諸如不允許使用軟驅、取下計算機硬盤等等。
網絡安全進入數據防護階段
在依託於網絡的各種IT基礎設施涌現的同時,企業逐漸發現,數據對企業來說纔是至關重要的。
郭雨春認爲,近10餘年來,隨着網絡技術的進步和互聯網的迅猛發展,纔有了中國企業真正意義的網絡安全建設。總體看來,10年來的發展,企業網絡安全建設的顯著特點就是,企業的安全投入逐步增加,數據安全成爲企業安全的關鍵和核心。
1、企業安全防護對象的發展
90年代中後期,網絡技術的發展促使企業開始全面開展信息化的建設。在依託於網絡的各種IT基礎設施涌現的同時,企業逐漸發現,數據對企業來說纔是至關重要的,而網絡安全威脅也逐漸成爲影響企業業務正常運轉的重要問題。
1998年通過互聯網絡傳播的CIH病毒首次大範圍爆發,全球超過六千萬臺電腦被不同程度破壞,損失超過十億美元。此次病毒威脅給很多企業,尤其是中國企業帶來了深遠的影響,直到現在,反病毒軟件依然是企業IT採購中必不可少的內容。更讓企業警醒的是美國大停電和“911”事件,企業終於認識到,一旦發生重大安全事故,數據纔是企業能否儘快恢復運轉的關鍵和核心!
如今,保護數據已經成爲包括殺毒軟件和其他各種網絡安全技術和產品的重中之重,特別是20世紀末21世紀初以來,***技術、***檢測與防禦技術、各種加密技術、身份識別、網絡訪問控制技術、員工行爲管理等技術層出不窮,呈現出多兵種協同作戰的局面。
不過,雖然這些技術和產品或直接或間接的保護企業數據不受威脅,但網絡安全防護大部分停留在“被動防禦”的局面。用郭雨春的話說,目前大多數企業的安全還是以防禦爲主的安全。這好比是擺好了架子,設置好關卡等着被***。企業應該逐漸變被動防禦爲主動防護,才能最大程度的降低風險。
主動防護的手段有很多,如建立完善的容災備份體系就是其中的一種,有條件的可以進行異地災備,沒條件的可以對關鍵數據進行必要的災備。在美國911恐怖襲擊中進行了異地災備的公司,在很短的時間內就恢復了正常運轉,而沒有進行任何災備的公司則很難在短時間內恢復運營,甚至可能面臨倒閉的危險。這足以說明,爲避免關鍵業務受影響,進行必要的主動防護是非常必要而且值得的。
我們不難看出,無論是各種安全防護技術的出現,還是災備系統的實施,都只有一個目的,那就是最大限度地保護企業數據中心,不受威脅或減少威脅。可以說,現在的網絡安全是以數據中心爲主要防護對象的各種安全技術與產品的應用。
2、企業安全投資的加大
在10年前,也許有人會說,把資金用於網絡安全建設不值,不投入這部分資金,也不會有什麼事情發生。之所以那時會有這種觀點,原因有兩方面,首先是安全威脅對企業造成的損失遠不如生產經營帶來的營收大,致使企業短期內看不到安全投資方面的收益。另外,網絡技術的不成熟,使得業務無法通過網絡來實現,來自網絡的威脅也就無從談起,這成爲另一方面原因。
進入新世紀後,隨着網絡***技術和手段的發展,企業信息數據丟失的情況屢見不鮮。國外研究機構Gartner 07年的一份相關調查顯示:在經歷了數據完全丟失而導致系統停運的企業中,有2/5再也沒能恢復運營,餘下的企業也有1/3在兩年內宣告破產。
也就是說,六成企業因數據完全丟失而倒閉。而部分數據丟失或被盜同樣會給企業造成損失,但很多企業仍未採取相應措施。但報告同樣顯示了一個令人振奮的結果:如果企業通過實施安全方面的建設,可以大幅降低這些風險。比如,在規模較大的企業中,如果當前的安全運營較爲落後,每3年便可能出現1次公開披露的數據丟失。相比之下,業績最佳的企業已將數據丟失的可能性降低到每42年出現1次。這表明,進行安全方面投資建設是企業走向更快發展的有效保障措施。
我國企業的IT主管也逐漸認識到這一點。無數次國內外的安全事故已經充分證明,在企業與IT系統緊密結合的今天,安全事故對企業造成的損失已經成爲企業無法承受之重——安全,不再是一個“玄虛”的話題,而是可預計的、可衡量的;而在安全方面進行一定的投資建設,卻能最大限度降低安全風險,所有企業在這方面的投入都是值得的。
郭雨春介紹說,以首鋼爲例,在二期信息化改造中,就投入了相當比例的資金用於網絡安全建設當中,而且未來還會持續加大這部分的投入。
企業安全發展展望:構建可持續發展的網絡安全體系
爲了保障業務的連續性和可靠性,未來企業網絡安全建設也必將是融合各種技術,構建可持續發展的安全體系。
如今,企業信息化建設已經進入一個嶄新的階段,隨着網絡技術架構的多元化發展,企業業務也呈現出融合的趨勢,網絡不再承載單一的數據業務,語音和視頻也逐漸成爲企業網絡上的主要信息元,網絡安全同樣成爲企業所關注的重點。
郭雨春認爲,爲了保障業務的連續性和可靠性,未來企業網絡安全建設也必將是融合各種技術,構建可持續發展的安全體系。雖然現在多數企業部署了保護數據爲目的的安全防護產品,但這些技術和產品的功能並沒有完全發揮出來,用到的只是一小部分,使安全方面的投資回報不成比例,而安全服務方面又沒有跟上,導致很多企業無法將各種安全技術有序有效的融合在一起,夠不成可持續發展的安全體系。但郭雨春非常肯定的是,未來的企業網絡安全一定是促進業務發展,以保護數據中心爲目的,可持續發展的安全體系。
企業在安全建設方面的建議
在結束採訪時,郭雨春根據自己二十多年的大型企業網絡管理經驗,對當前的企業IT管理同行提出了一些建議。他認爲,企業應該根據自身的情況和實力,選擇適合自身的安全建設目標——小企業可以參考中型企業的安全建設,中型企業可以參考大型企業的安全建設,從中一定能找到讓自己受益的好思路、好方法。
此外,郭雨春認爲,企業的網絡和安全管理,說到底要從企業自身出發,一味寄希望於設備提供商拿出適合的解決方案是不可取的。這方面,企業無論大小,在投資網絡安全建設時,都要儘量找第三方的安全諮詢服務商,這樣可以本着從實際出發,弱化企業與廠商之間的利益,從而徹底解決企業安全問題。