安全问题威胁中小企业
2009-12-13 18:15:34 阿炯

从电子商务到email,到每天的共享文件,21世纪的企业家们清楚地认识到一个高速、稳定的局域网(LAN)和互联网接入是提高工作效率,加强员工沟通,处理与客户和合作伙伴交易的关键。然而,互联网自身存在的安全问题,使企业必须将安全作为一件最重要的事情,否则他们无法从互联网络中获益。安全性不仅仅是一项技术问题,它已成为市场竞争中的一个必要条件。今天,每一个希望成为供货商或转包商的小型企业都必须满足企业级的通信安全标准。一旦一家小型企业开始接受信用卡订单、存储客户地址或处理客户、生产厂商以及合作伙伴的各类私密信息,就应该保证数据不会被非法窃取。一个怀有恶意的黑客或者一份感染了病毒的消息会破环重要文件,更为严重的是,这将会严重影响小型企业的发展和成功。

六种网络安全方面的威胁

尽管一家只拥有一条互联网接入的私营企业同一家拥有15名员工、通过无线局域网共享服务器上各类应用的机构相比,所面临的安全性问题要少,但这些问题对正在不断投资扩大的小型企业来说同样重要。小型企业必须保护其网络免受六种网络安全方面的威胁。
  
1. 非授权闯入

黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。防火墙是防御黑客攻击的最好手段。位于企业内部网与外部“不设防世界”之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。

对于小型企业来说,网络边缘往往用一条宽带电缆或数字用户线路(DSL)与局域网相联。这种情况下,被安装在电缆或数字用户线路与局域网之间,作为安全网关的一套基于硬件的防火墙产品能够为网络提供最佳保护。在数据的安全性非常重要时,安全网关能提供最优化的保护措施。硬件防火墙产品应该具备以下先进功能:
 包状态检查-- 在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
 流量控制-根据数据的重要性管理流入的数据。
 虚拟专用网(VPN)技术-- 使远程用户能够安全地连接局域网。
 Java、ActiveX以及Cookie屏蔽-- 只允许来自可靠Web站点上的应用程序运行。
 代理服务器屏蔽(Proxy blocking)-- 防止局域网用户绕过互联网过滤系统。
 在潜在的黑客攻击发生时,系统会向网络管理人员发出电子邮件或声音告警。
 电子邮件发信监控(Outgoing e-mail screening)-- 能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。

一家关注员工个人互联网使用的小型企业可以通过配置防火墙来控制员工对Web站点的访问。网络主管可以选择设定某些站点的访问次数、屏蔽包含特定字眼的Web站点、或被授权之外的所有其他Web站点。

2. 病毒

有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。让任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec、Norton和McAfee等。除此之外,禁止使用那些带有明显漏洞,使病毒容易传播的应用--尤其是电子邮件程序--也是一种非常明智的做法。
  
3. 数据“监听”

一些小型企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。当与远程站点或第三方站点进行互联,且数据须通过互联网才能进行传送时,进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet建立起VPN隧道。一个远程用户也可以通过建立一条连接企业局域网的VPN链路来安全地访问企业内部数据。

4. 无线数据的拦截

802.11b无线联网技术为小型企业带来了巨大商机,使其能够以最低成本迅速构建一个高速网络。但是,由于通过位于其传输范围内配有无线接收设备的笔记本电脑,很多无线局域网会对非授权用户开放。为避免这一点,企业应该:
选购带有内建认证和加密机制的无线联网产品以保证数据在传输过程中不被拦截。
将无线接入点与一台认证服务器进行互联,从而要求用户进入网络之前提供口令。

5. 内部网络安全

为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。

6. 电子商务

通过将电子商务业务外包给一家拥有良好信誉,能够提供安全、秘密在线交易,具有SSL技术的互联网服务提供商(ISP),一家小型企业可以成功解决电子商务所涉及到的安全性问题。竞争激烈的ISP市场保证了任何预算规模的企业都能获得良好的电子商务服务。

安全问题简单化:大多数企业家缺乏对IT技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。许多小型企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。他们只希望能够确保财务纪录没被窃取,服务器不会受到一次“拒绝服务攻击”。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。

凭借在企业市场的丰富经验,3Com公司认为,对于需要一套安全性解决方案、员工总数在25人以下的小型企业来说,真正理解他们特殊需求的设备供应商或零售商是最为宝贵的资源。当我们问及小型企业最需要从厂商那里获取什么内容时,他们说他们最需要的是预算和应用规模都较小、但却具备企业级质量的联网解决方案。他们还告诉我们:他们需要设备供应商进行安全性审核,以确定他们特定的需求,设计出定制化的解决方案并加以实施,并且,如果必要的话,对其进行管理。

总而言之,主要倾向于选择那些能够清楚领会小型企业安全需求的设备厂商。据小型企业主反映,最好的设备厂商应该能向那些不具备任何技术背景的企业家们清楚地解释任何复杂问题。依靠合格的IT设备供应商以及高效的服务,现今的小型企业主能够将网络安全问题放在一边,将精力集中到他们最擅长的工作上-- 满足客户需求、获得新的生意、以及保证企业的顺利成长。


开发和安全团队间隔阂加剧:安全政策扼杀了创新

2021年9月下旬消息,技术和市场研究公司 Forrester 为 VMWare 进行一项调查研究指出,安全和开发团队之间的鸿沟已经变得越来越大。调查结果表明,有超过一半的受访开发者(52.4%)表示,他们认为安全政策扼杀了他们的创新;只有 22% 的开发者表示他们已经了解哪些安全政策是他们应该遵守的。且仅有三分之一(38.4%)的开发者报告称,他们已经接受了有关预期执行的安全程序的全面教育。

有意思的是,有 45.1% 的开发受访者表示他们在进行安全规划;但却只有 37.8% 的安全受访者表示他们涉及了开发团队。这也表明,开发人员参与安全战略规划的程度比他们想象的要低。尽管有 73% 的受访者认为,他们的高层领导已经比两年前更注重加强开发和安全之间的关系,但其实双方的关系仍然十分紧张。事实上,有三分之一(34%)的决策者透露,他们组织的团队并没有进行有效的合作。

VMware 首席网络安全策略师 Rick McElroy 称,“我们的研究表明,安全需要转变观念。与其被视为只是为了修复漏洞和漏洞而介入的团队,或者被视为‘阻碍’创新的团队;安全更应该嵌入到人员、流程和技术中。安全需要是一项有效的团队运动,与 IT 和开发人员一起确保跨云、应用程序和所有数字基础设施的保护。我们必须发展一种文化,在这种文化中,所有团队都有共同的兴趣和共同的目标或指标,并且让他们统一战线。当 IT、安全和开发人员都是决策、设计和执行的一部分时,会对企业有着巨大的价值。”

展望未来,53% 的受访者希望他们的安全和开发团队在三年内统一;42% 的受访者预计,在同一时期内安全性将更多地嵌入到开发过程中。此外,各方还认识到,跨团队协调有助于企业减少团队孤岛(71%)、创建更安全的应用程序(70%)并提高采用新工作流和技术的敏捷性(66%)。

更多详情可查看完整报告


IEEE:2023 网络安全威胁不断,云计算/5G/元宇宙是最重要的技术领域

IEEE 于2022年12月上旬发布了一项最新的调查结果,主要研究技术对 2023 及未来发展的影响。该调查基于来自美国、英国、中国、印度和巴西的 350 名首席技术官、首席信息官和 IT 主管等全球技术领导者的反馈。调查指出,云计算 (40%)、5G (38%)、元宇宙 (37%)、电动汽车 (EV) (35%) 和工业物联网 (IIoT) (33%) 将成为 2023 年最重要的五个技术领域。其中,元宇宙尚处于起步阶段;71% 的受访者认为 “5G 和无处不在的连接” 对推动元宇宙发展非常重要,还有 58% 的认为 VR 耳机和 AR 眼镜也同样重要。2023 年受技术影响最大的行业部门有:
(40%) 电信
(39%) 汽车和运输
(33%) 能源
(33%) 银行和金融服务

另一方面,2023 年的网络安全问题也依旧是各方关注的重点。数据表明,2022 年上半年,全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。截至 2022 年底,预计将发起 60 亿次网络钓鱼攻击。技术领导者们对网络安全的关注更甚于往年,51% 的受访者将云漏洞列为头等大事 (高于 2022 年的 35%),还有 43% 的担忧数据中心漏洞 (高于 2022 年的 27%)。网络安全专业人员关注的其他领域还包括:
勒索软件攻击 (30%)
对组织网络的协同攻击 (30%)
缺乏对安全解决方案的投资 (26%)

IT 部门在 2023 年可能遇到的 10 大安全威胁有:
恶意软件:可以提取机密信息、拒绝服务并获得对系统的访问权限。
勒索软件:截至 2022,勒索软件对公司的攻击比 2021 年高出 33%。许多公司同意支付赎金以恢复其系统,结果却再次遭到同样的勒索软件攻击者的攻击。
供应链漏洞:可以采取的步骤之一是审核其供应商和供应商使用的安全措施,以确保端到端供应链的安全。
网络钓鱼:网络钓鱼是企业所面临的主要威胁。对员工进行关于如何识别虚假电子邮件、报告它们以及永远不要打开它们的培训将很有帮助。IT 应与 HR 合作,以确保培养良好的电子邮件使用习惯。
物联网:2020 年,有 61% 的公司在使用物联网,这一比例还在继续增加。随着物联网的扩展,安全风险也在增加。
内部员工:心怀不满的员工可能会破坏网络或窃取知识产权和专有信息,而养成不良安全习惯的员工可能会无意中共享密码并使设备不受保护。
数据中毒:数据中毒是进入企业系统的新攻击媒介。
新技术:一些组织正在采用生物识别等新技术。这些技术带来了巨大的好处,但它们也引入了新的安全风险,因为 IT 对它们的经验有限。
多层安全:IT 部门可以通过为工作流程中的每个安全漏洞点建立一个检查清单来加强安全。
云安全。



该文章最后由 阿炯 于 2022-12-04 20:27:01 更新,目前是第 3 版。