构建一个全面的企业安全架构

       面对当今这个信息时代，有时候不得不感叹，变化来得太快。信息技术的日新月异、信息/数据的爆炸式增长、互联终端设备的多样化、网络接入方式的多元化……都加速了变化的到来。于是，对于现在每一个生存、竞争在互联世界里的企业来说，保持密切关注这些变化以及这些变化会给自己的企业带来的影响，则显得更为重要了。今天在这里，我想谈的是关于企业网络安全的话题。因为，互联网安全、企业的网络安全，就象是家里的一道门一样，它已经变成了企业经营运转的一个“标准配置”。建设企业的安全架构，需要全面地、细致地考虑，包括企业的业务发展特点、IT应用环境特点、企业网络的基础构架特点等，进而据此进行精心地设计和架构。

　　首先，来看看当前的互联网的安全形势变化如何。根据最新的赛门铁克《第十四期互联网安全威胁报告》，我们看到，2008年恶意代码活动呈现出前所未有的增长势头，而且主要针对计算机用户的机密信息。2008年，赛门铁克为应对新型恶意代码，共创建了160万个签名，这比过往17年创建的总量还多，足以体现新型恶意代码威胁数量增长并繁衍的迅猛势头。而且，更重要的变化是，攻击者开始从大规模地传播少数集中威胁转为小范围传播各种不同威胁。网络罪犯通过能够窃取机密信息的定制化威胁获取利益，尤其是银行账户信息和信用卡数据。可以说，尽管现实生活中经济低迷，地下经济却始终保持稳定。

　　此外，我们还看到，互联网世界里安全威胁的变化不仅来自于外部环境，也来自于企业内部。根据我们与信息管理调查机构Ponemon Institute共同发布的一份以2008年离职员工为研究对象的调查报告(调查范围为美国)显示，有高达59%的离职员工承认曾在离职时私自带走公司机密文件数据，如客户联络数据等。调查报告同时指出，如果企业建立并执行较完备的数据丢失防护策略与技术，便可大幅降低信息被盗事件的发生几率。

　　这只是一个由企业内部引起安全威胁的例子，这样的安全威胁还会以很多其他的形式出现。所以说，应对这样的内部和外部环境，企业必须有强烈的安全意识。基于IT系统进行的业务运转必须有安全体系的保护。当然，对于不同规模的企业、不同行业的企业来说，构建安全架构的方法可以有所不同。业务运营越依赖IT系统的、业务运作越网络化，防护级别则越高。但是安全防护始终“万变不离其宗”，即安全架构必须全面，能做到事前防范策略、事中查杀策略和事后恢复策略的多层安全防护。

　　我认为，从某种程度上说，企业的成功与否取决于基础架构的安全性。企业可以按照网络使用者的不同，来架构企业的整体安全体系;当然，企业也可以根据自身的业务需求和网络特点来架构整体安全体系。

　　目前，几乎所有企业都已认识到保护出入网络的门户——网络边界的必要性。但是，由于移动技术的广泛应用以及员工分布的分散性，公司网络边界的确定也变得困难了起来。我们知道，远程访问为员工提供灵活性和自由，但也让企业面临着各种风险，其中包括漏洞和试图攻击这些缺口的恶意代码。而由于合作伙伴、客户和承包商需要连接到公司网络，则使形势变得更加严峻起来。

　　因此，为提供最全面的保护，企业需要在网络中各个级别应用各种不同的安全措施和手段。 其中，包括外部边界的防线(例如，防火墙和入侵检测系统)、网络内部的防线(例如，内部防火墙、网络准入控制)以及实际网络资源中的防线(例如，防病毒软件、反间谍软件、数据加密和自动安全策略实施)。

　　此外，还有一点需要特别强调的，那就是对于端点数据的保护，这在整个安全体系中也非常重要。在企业中推出使用端点数据丢失防护通常应该从高风险的业务部门开始，然后再逐步推广到公司的其他部门。

　　我们知道，数据丢失防护技术的重心一直在于防止因员工误操作及业务流程中断而导致敏感数据泄露。然而，当员工处于移动办公状态而未与企业网络连接时，更容易使机密信息受到恶意威胁。因此，企业需要部署相应的解决方案和产品来解决这个问题，可以做到对员工在与公司网络断开的情况下使用笔记本电脑发送电子邮件、网络邮件和即时信息时造成的数据泄露事件加以监控。

　　在端点处，赛门铁克的数据丢失防护解决方案不但将可以防止对敏感信息的复制或粘贴，甚至可以阻止将这些信息以电子版方式打印或传真。有了对端点数据丢失事件的全面覆盖，企业就可以得到不间断的、覆盖端点、网络和存储等多个系统的数据丢失防护，而不论员工是否与企业网络相连接。

　　赛门铁克一直以来在帮助企业打造一个全面的企业安全架构，同时更重要的是，希望能与企业、合作伙伴一起共同营造一个充满信心的互联世界。