企业内部“网络安全”的制御之道

　　记得有一个很形象的比喻:外部网络的入侵就像一个人被打了脸;而对内部网络的成功入侵，就像一个人被伤及了五脏六腑。权威机构Gartner的调查报告也认为，“这个世界已经没有任何秘密可言”，因为任何存有某种意图的人都能在网络上拿到别人的信息。企业在通过Internet向用户提供更多、更便捷的服务的同时，面临的安全漏洞也越来越多。

　　内网安全:企业不可忽视的管理投入

　　由于Internet上迅速增长的电子商务活动和信息共享的需要，企业内部网络需要24×7与Internet相连接，以便于异地分支机构、合作伙伴、用户的各种访问或服务共享，这在极大地方便了企业商务活动的同时，也使企业网完全暴露在病毒、黑客等非法入侵的威胁之下。同时，企业内部人员在使用过程当中，会发生误删文件、误操作造成的系统故障甚至崩溃，给IT系统的安全性带来了极大的威胁。在这里，我们举一个例子:据CA公司的一个用户嘉兴电力局的粗略统计表明，在未使用网络安全管理解决方案之前，仅仅在2000年里，由于病毒、黑客攻击、非法入侵和内部误操作等导致的系统故障就有上百起，其中造成系统崩溃、宕机等故障达到了几十起，故障修复时间共计上百小时，直接和间接经济损失达到了上千万元。电力部门在国民经济中的重要地位和对人民日常生活的影响不言而喻，一旦系统由于安全故障出现供电中断、设备毁坏等事故，就极有可能造成对人员生命和财产安全的严重威胁，导致重大事故的发生。

　　从上面这个例子可以看出，两手同时抓内外网的安全管理，两手都要硬，一年就可以为企业降低上千万元的损失，嘉兴电力局已经充分地认识到了这一点。但是对国内大多数企业来说，对网络安全的认识还仅仅停留在购买杀毒软件和防火墙软来抵御外来入侵的层面上，而对于来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的。内网是网络应用中的一个主要组成部分，其安全性也受到越来越多的重视。据不完全统计，国外在建设内网时，投资额的15%是用于加强内网的网络安全。仔细观察一下不难发现，我们的企业长期以来都是打“兵来将挡，水来土掩”的被动防御战。究其原因，是因为国内企业看重的只是传统的基于网络层面的防护系统，而对于未来安全防范的新兴力量——3A安全软件认识不够。“3A”是指管理(Administration)、授权(Authorization)和认证(Authentication)，在保护企业安全的战役中，与被动的防御方式相比，3A安全软件可超越传统的“堵漏洞”方式来帮助企业实现整体的、基于角色的安全管理。在CA的安全解决方案中，以企业安全总控中心和弱点管理为代表的3A安全管理解决方案，为企业提供了一条由内而外，从打被动的防御战变为主动出击的企业内网安全制御之道。

　　3A软件:演绎整体安全解决方案

　　CA认为，面对新的安全挑战，企业用户需要实施整体的安全管理策略，在整体的安全策略下面，企业的IT安全将与ERP、HR、e-mail等业务系统更加紧密地集成起来，并通过一个统一的、可视化的安全总控中心(eTrust Security Command Center，eSCC)来把任何可能的安全漏洞(物理安全和信息安全)都管理起来，从而极大地降低管理者的工作量和管理难度，形成一个整体的安全管理体系。

　　eSCC可收集并集成来自CA的eTrust解决方案和第三方产品的关键安全数据，这些第三方产品包括Check Point、Cisco、IBM、网络安全系统(Internet Security Systems)、McAfee、微软、Nessus、NetScreen、北电、Snort、赛门铁克、趋势科技(Trend Micro)以及其它公司提供的产品。利用这些信息，eSCC可从真正的业务视角来有效地管理安全，优先处理最关键的潜在事件，并跨所有系统、平台和位置来实施一致的策略。

　　同时，CA推出的一款可安装的机架式安全管理工具，可自动发现关键业务资产，并确定威胁企业IT环境完整性的安全漏洞的解决方案eTrust Vulnerability Manager(eVM)。eVM是一款可安装的机架式安全管理工具，可自动发现关键业务资产，并确定威胁企业IT环境完整性的安全漏洞。通过采集实时的技术库，并且将它们与基于风险的任务列表(带有补救指导)中已验证的漏洞相关联，eVM可帮助企业确定哪些漏洞将影响哪些资产。而且所有这些步骤都是自动执行的，并且为企业提供一份即时的关于关键性业务资产的风险评估。

　　eVM可提供整个企业范围的实时的资产目录清单，并把它们与最新的、已被确认的安全漏洞相对照。eVM有一个不断更新的包含了6千多种安全漏洞信息的知识库，因此它可以确保基础架构能监测到即使是最近才发现的安全漏洞，并与最新的配置标准保持一致。通过基于资产的"由内至外"的安全漏洞检测方式，eVM可以准确地发现关键资产，包括操作系统、应用程序和数据库，直至单独的补丁版本。而其“资产-漏洞关联功能(asset-to-vulnerability correlation)”可根据优先性排列出任务清单，并给出一步步的补救措施说明，从而帮助企业降低管理安全漏洞所需的成本和复杂性。

　　发展趋势:置安全管理于掌控之中

　　在整体的安全管理下面，管理员无须考虑在统一的安全策略之下使用的功能模块来自哪一家厂商，各个安全环节中的所有功能都将被集成在统一的可视化的界面中。

　　当进行一次病毒库的升级，或者创建和删除一个用户，对某一用户的安全审计和跟踪等任务时，管理员只须进行一次操作，即可自动对所有关联的模块和系统进行相应的设定和改变。通过这样的管理手段，企业将可以减少维护费用，节省管理时间，降低对管理人员的技术要求，同时又能及时反映企业各个地方的安全漏洞。

　　CA公司洞悉当前企业全面管理安全的需求，推出了创新的eTrust整体安全管理解决方案。它可以分为三套解决方案，即eTrust身份识别管理、eTrust访问管理和eTrust威胁管理，并通过eTrust安全总控中心，为企业提供了集成的、门户化的、可视的安全管理功能，从而协助企业实现整体安全控制。