畅谈防范企业业务安全永续的法宝(转)

畅谈防范企业业务安全永续的法宝(转)[@more@]

今天，几乎所有的企业无论从商业运营到内部管理都实现了网络化。无论是边缘业务还是核心关键应用已经越来越多地运行在网络上。而网上的病毒、黑客却无时无刻不在威胁着企业的业务安全。有时哪怕极小的安全问题都会造成巨大的损失。因此，保障业务安全是企业发展的基础。而面对如此复杂的安全危机，靠人力是永远无法保障的。唯一的途径就是完善网络自身的安全性能。

网络安全问题随处可在

几乎每一个大型企业的网络负责人都曾被病毒、黑客攻击搞得焦头烂额。大多数情况下，他们可以通过提高技术、加强管理，增强企业员工的电脑和网络操作水平来保证企业不会陷于瘫痪。但这也仅仅是权宜应变之计。他们从泥潭里出来了，但并没有走上安全的网络高速公路。不安全的网络，使网络经常堵塞，工作效率明显降低，核心业务难以顺畅开展，真正的网络安全名存实亡，业务安全也就得不到保证。因此，很多网络管理员抱怨，单位给予的资源足够，企业员工也愿意多学习，但还是受到不必要的网络非安全因素的影响。

当然，有矛就会有盾。伴随安全危机的出现，一些安全解决方案也应运而生。对付病毒杀病毒软件，已经从最初的单机版本发展到了网络版本；防火墙被设计出来专门对付黑客；市面上还有入侵检测系统IDS，入侵防御系统IPS等产品来保护网络的安全。尽管如此，病毒感染、黑客攻击、非法入侵的事件还是在不断的发生。特别对于一些企业级的计算机网络，人为或者非人为的因素使得系统屡次被病毒感染或者被入侵。很显然，单纯靠安全解决方案并不能使企业对网络彻底放心，网络管理员或者系统管理员的任何一次疏忽都可能酿成大祸。

因此，很多敏锐的网络系统管理经理开始借助于从一开始就打造一个具有自防御性的安全网络来避免这种问题。这就要求网络连接设备以及网络配件首先要安全高效，不会在运行时产生故障，给业务造成损失；同时要在网络各个环节均部署安全的性能；更要求网络设备提供商能针对各种不同的企业情况打造适应性的解决方案，方便企业在选择未来业务类型发展改变业务流程的时候，提前做好准备。下面一些观点，或许可给我们带来一点启发。虽然可能某些方面更新非常迅捷，但遵循一些基本的原则，可保网络的基本安全。

企业间网络业务如何保证安全

企业间网络业务，网络安全是第一位考虑的问题。比如B2B交易过程中，安全并非取决于一方的网络是否安全，还取决于合作伙伴，更取决于交易的形态本身是否安全。

“从某种程度讲，在线交易比传统交易的安全风险更大。”Forrester研究公司基础设施与电信领域高级分析员科特兹这么认为。在线交易的安全风险之所以更大，其根源在于越来越多的公司为了降低成本而与合作伙伴建立电子联系方式。当然，过去传统的交易方式也并非安全，只不过电子交易，泄漏的机率更大一些。

而据观察，一些企业，特别是那些雇员人数少于5000人的企业，经常会在进行B2B交易时冒不必要的风险。例如，一些公司用未加密的E-mail与合作伙伴交流敏感信息，进行不安全的基于Web的交易；而对E-mail系统和浏览器增添额外的安全措施相对来说很容易，也很便宜，但它们却懒得去做。一家公司给其合作伙伴或供应商的网络权限大小影响该公司的风险水平，合作伙伴的安全战略和数据恢复战略也同样如此。当您将自己的网络与其他公司的网络连成一体时，那么“他们那里发生的任何事情也会在您那里发生，”科特兹警告说。

企业间网络业务的安全，也取决于你的公司安全的短板。最不安全的一块区域，足以毁掉整个网络的安全。比如有的公司出现网络安全问题，原因仅仅是某一员工不懂得基本的安全操作，违反了基本的安全策略。而恰好这段时间里公司的安全系统出现暂时的故障，就有可能让不安全因素乘虚而入。

到底有没有办法保证网络最起码的安全？毫无疑问是有的！保证安全的关键是始终采用最新的安全解决方案，制订强有力的IT安全政策。下面是一些与B2B交易相关的最新安全解决方案：

1. 采用虚拟专用网络(VPN)，据调查，全世界3000家顶尖公司中约有65%已经实施了VPN。一个VPN网络对通过公用互联网传输的数据进行加密，使经销商、供应商、合作伙伴和以远程工作方式工作的员工能够安全地登录公司的内部网络。通过与防火墙、入侵监测、身份验证和其他安全工具结合起来，VPN可提供最可靠的、可升级的、低成本安全保障。

2. 采用安全套接字层安全加密(SSL)：这也是一个常用的保证安全的办法，在网络层上，这一解决方案至少可以保证网络的数据交换安全。SSL广泛应用于消费者和B2B交易中，当通过互联网传输数据时对数据进行加密，保证传输过程不会泄漏。

3. 运用数字证书加密方法：数字证书类似于电子身份证，可确认一个数字签名的真伪。当然这需要一个“公用密钥基础设施”(PKI)，而在一个企业内部采用PKI很复杂，很多企业并不愿意使用。

4. 和合作伙伴合作，加强安全策略的验证：要求合作伙伴加强安全策略，并非对其提出什么过高的要求。可以采用各种工具，对合作伙伴的网络安全进行校验，并约定双方提供书面形式的安全策略。这样可确保双方的网络在交易过程中的最高程度的安全。

说到底，你一个企业的安全，在B2B领域并非绝对安全。只有你的企业和合作伙伴企业的网络都安全了，这个网络才算安全。当然前提是要保证企业内部网络的各个业务流程的安全。这需要在企业内部部署全方位的安全防御体系。

在企业内部部署全方位安全防御体系

要部署内部的安全防御体系，必须从防范、堵截、过滤、检测等多个方面对业务数据进行保护。

目前全球知名的网络公司中，思科公司拥有一套非常全面而成熟的网络安全架构，即 SDN自防御网络，它一方面可以帮助企业有针对性的采取防御策略和手段，使网络系统得到经济、立体、全面的保护，另一方面，使得企业的网络结构及安全部署都能够随着企业发展而被便捷的推广，即保证了整个网络结构的高可扩展性。很多企业经常遇到的DDOS攻击，就可以采用思科的SDN自防御网络解决方案得到很好的保护。

我们回顾一下思科安全解决方案的发展历程，就可看出思科SDN自防御网络的先进理念的优势。实际上，思科的安全解决方案已经走过了三代。在第一代的解决方案中，主要是在企业网的上实现的，通过命令行界面来保证路由器的安全；在思科的第二代的解决方案中，实现了增强的路由器安全并采用了单独的管理软件。

思科认为，安全解决方案的发展趋势不仅是让系统得到端到端的保护，而且对各种应用进行保护，还要使得网络有自愈功能，从而形成全面集成的安全解决方案。在第三代的思科安全解决方案中，思科把安全的概念融会到路由器、交换机、终端、防火墙 + VPN + IDS产品中，并采用了集成化管理软件。这就形成了思科自防御网络的体系框架。

比如，通过Cisco Secure PIX500系列防火墙，可对网络基础设施内部实施强化用户安全性策略并限制对网络资源访问。通过检查数据包和会话过程，针对各种不同应用、地址或用户类型而设定的具体参数来分析和控制进入或离开的数据包。通过PIX的部署，可以保护用户公开的Internet ，限制外部网络到内部网络的数据流，为用户提供针对基于网络的攻击保护，并可预防和消除造成带宽拥挤的分布式拒绝服务攻击(DDOS)。再配合应用集成了智能化入侵监测模块和内置防火墙模块的Cisco Catalyst 6500交换机，可以让用户可以无缝地添加新一代智能服务，从而构建业界性能最高、密度最高、功能最丰富的第二层到第七层交换平台。通过Catalyst 6500的部署，可以增强从网络核心层对IP地址、WEB地址、每台交换机的过滤和控制，有效保护并监测关键网段的数据运行情况，及时控制数据的异常流动，并进行对网络实现智能化管理。

SDN安全体系以当前占据网络技术主流的IP技术为基础，符合各种网络协议和技术的规范，满足IP网络和安全技术之间的协作，可以无缝地集成到数据、语音、视频、无线、存储等多种IP服务。SDN可以灵活、可定制地部署，充分利用现有的投资，从设备方面看，它可以采用专用安全装置，也可以是基于路由器、交换机的安全; 从技术上看，它兼容了VPN、防火墙、威胁防范、AAA、URL过滤、802.1x等多种技术。SDN安全体系可以全面覆盖网络的各个环节，既覆盖PC和服务器平台，又能跨越无线、LAN、园区、城域网、以及边缘、服务供应商、分支机构等所有网络。

当然，上述通过技术保障的网络安全，也并非无懈可击。我们依然要做好未雨绸缪的打算。配合网络安全解决方案提供商的商务安全策略和技术支持服务，加强管理和安全策略的制定。一个业务安全永续的商务蓝图完全可以实现。当然，网络业务安全，加强管理也是一个不可忽视的要点，甚至可以说，管理比单纯依靠技术来保证安全更为重要。