内部威胁远大于外部
有一点很明确,在2004年,与外部对网络的威胁相比,内部对网络的安全威胁已经上升为主要矛盾,值得CSO们高度重视。原因是:一是这些年几乎所有的安全投资都在“防外”的措施上,总得有点效果;二是传统上,总是假设“内部是安全的,外部是不安全的”这么多年下来,这种认识导致的误区积累的问题已经到了爆发的时候;三是从结构上来讲,内部有更多的机会威胁企业的核心资料,而外部的机会要少得多,而且,有时候具有很大的盲目性。
关键词:病毒、漏洞、管理
对2004年进行总结,可以发现下列趋势:病毒依然是主要威胁,病毒传播的主要途径是垃圾邮件,已经有人估计,邮件占病毒传播途径的九成以上。要解决垃圾邮件传播病毒问题,当然要阻止病毒通过电子邮件与附件入侵,防病毒网关当然需要,但仅有防病毒网关是不够的,还必须假设最坏的情况发生,即无法完全杜绝内部的主机不感染病毒的情况下,内部网络的病毒防治机制,这是典型的内部治理问题。对用户行为进行控制,并设立突发病毒的紧急处理机制十分必要。
除病毒外,木马、间谍软件和恶意代码也是目前内部网络混乱的重要原因。漏洞是不可避免的,从公布漏洞到利用漏洞的恶意代码出现所用的时间将会进一步缩短,从理论上趋向于零,而且,一定是短于修补漏洞所需要的时间。由于黑客转向对经济利益的追求,问题会变得越来越严重。从2004年的情况来看,企图消灭这些恶意代码是不可能的,现在的问题是,内部网络设计如何才能经得起这些木马、间谍软件和恶意代码的破坏。
内部网络没有管理也是一大问题。如果一个单位不知道汇总员工的姓名或联络方式等信息,肯定是一种不正常的状况,可是,现在的内部网络很多都不知道,用户的主机名称、IP地址、MAC地址、所在位置以及部门……关键问题在于内部网络没有管理。
内容安全大于网络安全
2004年的经验教训还有,网络安全不是信息安全的全部问题,内容安全是相当重要的部分,未来,内容安全的重要性要大于网络安全。内容安全地难点在于要区别真伪。如果不能区别真伪,信息安全就无法保障。现在,垃圾邮件引发出的“网络钓鱼”、“信用卡欺骗”等安全威胁,都是这类问题。但是,我们不能要求用户不上当、不受骗,因为,用户无法区别真伪。但是,这类问题的结果往往相当严重,甚至祸及全球。
严格意义上讲,垃圾邮件、病毒、木马、间谍软件和网络钓鱼等都属于内容安全的范畴。企图从网络上解决内容安全的问题,要么破坏了网络的可用性,要么无法保证网络内容的可控性。如果你不接受邮件,邮件垃圾也就没有了;如果你接受正常的邮件,由于无法准确判断,垃圾邮件和正常邮件,漏报和误报也是不可避免的。因此,内容安全无法通过网络安全的对抗性措施来解决。要解决内容安全问题,主要是区别真伪,你无法要求别人不要在网上设置陷阱,因此,要解决内容安全主要还是在内部网络来解决,加强内网的内容安全建设十分必要。
安全策略 攘外必先安内
既然外部的网络安全威胁已经不是主要矛盾,那么,信息安全的重点就应该转移到内部网络安全的建设上来,这是2005年的安全主线。信息安全矛盾的主要方面在于内容安全,而不再是网络安全,2005的信息安全建设重点应该是狠抓内网的用户管理、行为管理、内容控制和应用管理。