新的威胁与新的应用结伴而来,全球只有不到四分之一的公司意识到了这一点,企业面临的无线网络安全问题不容小觑。
随着企业员工要求对应用和数据进行无线访问的呼声日益增高,无线安全变得更为重要。《InformationWeek》研究部与埃森哲咨询公司(Accenture)2006年合作进行的“全球安全调查”显示:过去一年中,25%的美国公司已将其对无线网络安全的重视提升到“战术”安全层面,欧洲、印度和中国公司的相应比例分别是23%、19%和16%。同样地随着更多的企业部署基于IP的语音技术(VoIP),VoIP安全的重要性也日益凸显。
无线网络的便利正在吸引越来越多的公司。在互助保险公司Amerisure公司(下称Amerisure),企业架构师杰克 威尔逊(Jack Wilson)只能将其工作时间的四分之一用于处理安全问题。尽管如此,这个数字已经比去年提高了10%,这是由于该公司要确保其大量采用移动办公手段的员工能够更容易地通过网络访问公司的系统。Amerisure的800名员工中有20%随时都会远程登录系统。这样做除了提高员工工作效率之外,还有一个好处:无需随着公司的发展而添置更大型的设备。上海的一家小型广告公司租下了一套新的写字楼套间,由于是精装修的房间,物业要求不能凿墙或者在地板下布线,网络布线成了大问题。如果按照传统的方式布设网线,无疑整个办公室将成为一个“蜘蛛网”。通过笔记本电脑加无线网络的组合,该公司成功地解决了这一难题。
虽然无线网络同传统有线网络相比具有不可比拟的便利性,但它带来的信息安全问题确实令首席信息官(CIO)们不得不反复权衡。
“无线非常难控制,如果企业因为安全问题而不得不舍弃无线的话,那无线事实上意义也不大了。”上海恒荣国际货运有限公司CIO高宏飞这样形容安全对无线网络应用的制约。中国科学院国家信息安全重点实验室的连一峰说:“随着VoIP等无线应用的兴起,我们正在通过数据采集、数据分析对VoIP协议的漏洞进行分析,和VoIP有关的监控技术也正在研究中,可见针对无线网络的信息安全技术还没有成熟。”
但企业并不能坐等技术成熟,因为移动电话和手持移动设备(PDA)功能不断加强,即使企业不部署VoIP,仍然面对着一个更加复杂的网络环境。诺基亚(中国)投资有限公司企业解决方案事业部总经理刘强说:“移动电话和无线手持设备的发展势头异常迅猛,但是这些装置的核心都是PC,当网络周边设备扩展至智能电话或PDA 时,用户就需要考虑这些设备的安全性了。”美国内华达州的克拉克县(Clark)过去将安全工作重点放在网络访问控制上,但这种模式在用户通过多种设备无线连入网络的环境下根本不起作用。于是该县实施了思科系统公司(Cisco)的网络访问控制系统,凭借防病毒签名和软件补丁阻止那些不合标准的设备连入网络。克拉克县还从今年九月开始对其VoIP进行评估,以加大网络整合的力度。但是,出乎意料,与VoIP相伴而来的还有新的安全威胁。“你不能让拒绝服务(DoS)攻击等问题危及语音通信基础设施的安全。”该县CIO罗德 梅西(Rod Massey)表示。至少,克拉克县最初并未将“911”紧急求救电话服务列入其整合网络计划之中。
梅西表示,今后生产的安全产品必须更有效,而且还要更易于使用和管理。同时他又补充说,目前利用防病毒保护和软件补丁的手段相对比较单一。在网络安全方面,通用汽车公司(GM)首席信息安全官(CSO)埃里克 里特(Eric Litt)对那些运用启发式方法的技术青睐有加,他表示,因为这可以在问题出现之前对网络行为进行监测并将反常的通信情况记录下来。里特说:“我们没有时间做出反应,系统就得代替我们做出反应。”新的威胁与新的应用结伴而来,只有不到四分之一的企业意识到了这一点,企业面临的“无线之忧”不容小觑。