网络安全方面的六大紧迫问题

　　安全问题常常似乎不太被人们所注意，但下面这六个问题肯定会催促IT专业人士立即行动起来。
　
　　一、存在风险的服务器虚拟化值得采用吗？
　
　　从传统服务器改用虚拟机方案的优点在于，可以通过整合硬件来节省成本，并且大大提高灵活性。但是不太受人欢迎的影响是，会带来安全缺口和虚拟服务器散乱问题，这些风险遭到了审计人员的抨击。
　
　　Douglas Drew是英国电信（BT）集团新兴技术办公室的一名高级顾问，兼支付卡行业（PCI）标准的审计人员。他表示，虚拟机安全往往事后才得到处理。他说：“你如何来处理访问控制和审计工作？假设我把虚拟机实例从服务器机架A迁移到机架B：一个是需要物理徽章才能访问控制台的锁定机架、另一个不是这种机架吗？虚拟机管理程序是否允许管理员A和B相互分离，以便管理员A只能以逻辑方式访问系统A、管理员B只能访问系统B吗？如何根据架构出现的变化来重新评估风险？”
　
　　与较为传统的网络一样，虚拟机环境――不管基于VMware、XenSource还是微软的技术――都需要采取ISO 27002标准针对安全系统而规定的最佳实践。Drew说：“我们看到有些情况下，人们正是由于对安全不放心而迟迟不愿采用虚拟机。”
　
　　许多人表示，默认状态下的虚拟机软件还不够安全。
　
　　David Lynch是开发虚拟机生命周期管理软件的Embotics这家新兴公司的营销副总裁，他说：“虚拟机是移动的，设计初衷就是这样。你拿来一台物理服务器后，对它进行克隆，结果就失去了物理服务器的身份；而你现有的管理工具基于这一概念：你拥有物理服务器。”
　
　　Lynch认为，照目前的设计来看，VMware公司的虚拟中心（VirtualCenter）管理软件无法阻止虚拟机散乱问题，因为虚拟机的身份号可以更改及重新设定。他补充说，不可能确保使用不止一个虚拟中心的企业只有惟一的虚拟机身份系统。
　
　　可与虚拟中心管理软件兼容的Embotics软件采用了密码散列，并结合虚拟机元数据，标明虚拟机身份的合法性与真实性，试图以此弥补这个不足。包括Fortisphere和ManageIQ在内的其他新兴公司也在着手解决虚拟机散乱问题。
　
　　一些安全厂商确信：主要几家虚拟机软件开发商在争先恐后地推出产品，试图夺取市场份额，结果用Q1 Labs公司的产品项目经理Andrew Hay的话来说，“安全成了事后才想到的问题。”
　
　　Hay强调，现在缺少有助于监控活动的具有Netflow功能的虚拟交换机。他说：“你创建的一个不同网络恰好位于同一个设备上。但没有人竭力要求虚拟机领域采用流量分析。”
　
　　这一切会阻止IT管理人员走上虚拟化道路吗？据Hay声称，说到底，“最好你在积极采用之前研究一下可供选择的方案。”

　　二、防止数据泄漏会反而招来律师吗？
　
　　数据丢失预防（DLP）又称之为数据泄漏保护，让你可以监控内容，查找未经授权的传输信息。但是用过这项技术的公司发现，由于DLP让公司网络上太多的阴暗角落暴露无遗，结果IT和业务管理人员可能发现自己在监控和法律方面处于险境。
　
　　信用信息服务公司艾可飞（Equifax）主管信息安全的高级副总裁Tony Spinelli介绍了当初他公司部署赛门铁克DLP产品后的早期情况，他说：“你以前是一无所知，现在却面临未遵从法规带来的危险。”DLP如同黑暗当中的一盏聚光灯，暴露了哪些数据存储方法需要加以改进。
　
　　这样一来，业务和IT管理人员就必须作出正确的行动，进行一些变化。而更多的安全管理人员发现，挑剔的审计人员一旦知道了DLP工具已部署到位，就要求安全方面有所变化；如果公司无视这些变化，法律方面就会处于险境。
　
　　那么这个“看到什么就要知道什么”的方面是不是很大的缺点、从而足以打消潜在买家的兴趣呢？更何况DLP产品的价格仍然相当昂贵。也许会吧，不过这也意味着把最有希望的内容监控方法拒之门外；但为了有助于让贵公司远离监管和法律方面的麻烦，你迫切需要这种方法。
　
　　安全管理人员事先知道DLP可能是一项颠覆性技术，就可以作好相应计划：让审计人员和法律人员作好准备，并且让业务管理人员作好准备――在大多数公司看来，他们是合法的数据所有者。
　
　　Ron Baklarz是用过DLP产品的安全专业人士，最近他离开了MedStar健康集团，加盟美国全国铁路客运公司（Amtrak），担任首席信息系统官。他表示，自己在MedStart时对Reconnex DLP采取的办法就是，让业务人员参与数据监管过程。
　
　　Baklarz忠告：“你要与业务人员在法规遵从方面进行合作。”让授权的业务人员可以登录并使用DLP技术系统，这样对方就会积极参与数据丢失预防工作。

　　三、云计算安全：是美梦还是噩梦？
　
　　据Gartner调研公司密切关注云计算安全服务的安全专家John Pescatore声称，无论针对的是电子邮件、拒绝服务保护、漏洞扫描还是网络过滤，有关云计算安全服务的一个基本事实是，它只不过是自己动手采购软件或者设备这种方法之外的一种选择。
　
　　有足够的理由需要购买服务、从而采用云计算模式；不过有时候也有必要拥有自己的设备，走比较传统的道路。
　
　　Pescatore表示，首先，有必要考虑一下两种基本类型的企业云计算安全服务。第一种是基于带宽的服务，比如基于运营商或者互联网服务提供商（ISP）的拒绝服务保护和响应。
　
　　Pescatore说：“比方说，AT&T公司在这方面比你做得更出色，成本更低；另外你在使用对方带宽的同时，它还会把更上游的攻击过滤掉。”另一种办法就是向Arbor Networks这些公司购买可阻止拒绝服务的设备，并且自行建立保护机制。
　
　　第二种云计算安全服务是Gartner公司所称的“安全即服务”（security-as-a-service），这种服务“与基于带宽的服务完全不同，”Pescatore说。比方说，使用反垃圾邮件服务需要把邮件交换记录重定向至服务提供商，但不需要与某一家运营商绑在一起的特定带宽服务。
　
　　这类服务包括：垃圾邮件和反病毒过滤、漏洞扫描和网络过滤。总的来说，这类服务不包括DLP内容监控及过滤或者身份访问及管理，这些部分与内部业务变化紧密联系起来。
　
　　Pescatore表示，使用云计算模式的安全即服务非常有助于保护移动笔记本电脑，或者为广泛分布的分支机构提供保护。他说：“对规模非常大的跨国公司而言，这种服务颇有吸引力。”
　
　　不过大多数公司可能会觉得：如果自行部署安全设备，过滤垃圾邮件和病毒，并且限制互联网访问，从而继续保护内部业务运行，可能更简单、更具有成本效益。
　
　　使用过滤服务存在潜在风险。你可能不想通过这种第三方服务来传输敏感的商业交易信息。另外总是存在服务可能无法使用的可能性。
　
　　Pescatore表示，所有这些云计算安全服务仍然相当新颖，只是在过去的三年才得到了迅猛发展， MessageLabs、微软、谷歌旗下的Postini和Websense是值得信赖的其中几家提供商。Gartner公司估计，云计算电子邮件安全服务目前在总的电子邮件安全市场中所占份额不超过20%；不过年底前会增加到35%；到2013年更是有望达到70%.
　
　　据调研公司IDC声称，去年电子邮件安全软件市场的规模为13.8亿美元；安全设备市场为6.922亿美元；云计算安全服务（IDC称之为托管服务）市场为4.54亿美元。预计安全软件和设备会持续稳步增长；托管服务会在今年增加到6.38亿美元，到2011年更是有望增至13.9亿美元。
　
　　云计算安全服务的这种发展态势大大鼓舞了Jericho论坛，这个组织由大约60家公司组成，它们一直在积极推广越过了公司传统网络边界的创新的电子商务安全。
　
　　Jericho论坛委员会的成员Paul Simmonds说：“云计算环境的网络过滤只是在过去的16个月才流行起来；现在的云计算服务比几年前要多得多。”Simmonds表示，公司网络中“渐渐消失的边界”使云计算安全服务成为一种吸引人的选择，如今有许多公司在探究这种选择。

　　四、微软究竟会不会做好安全工作？
　
　　说到安全，微软能赢得一点尊重吗？
　
　　就连Bill Gates偶尔也会放下架子，解释为什么微软在安全方面的工作常常做得不够到位。他的最近一次公开亮相是出现在RSA 2007年大会上，一同上台的还有Craig Mundie：Gates把将来负责产品安全的大权交给了他。两个人解释了为什么微软的软件不尽如人意。
　
　　Mundie说：“凡是人，都会犯错。”随后他们俩表示，追根溯源，过去困扰微软软件的缺乏足够安全是由于早期幼稚地认为：不需要太多的控制，因为“每个人都是大好人”，没有人在搞破坏。
　
　　Nemertes Research公司的高级副总裁兼创始合伙人Andreas Antonopoulos表示，这个几十年前的包袱对微软来说仍是个负担。
　
　　Antonopoulos说：“即使在今天，25年前在基本设计方面作出的决策仍在困扰微软。Windows Vista不是一款新的操作系统；Vista内部有许多比较旧的操作系统，这是为了确保应用程序的向后兼容。”
　
　　Antonopoulos表示，微软陷入了进退两难的境地。如果该公司果真决定重新开始设计软件，很可能就得牺牲财务优势。他说：“这是不可能发生的。”
　
　　伯顿集团的分析师Dan Blum表达了类似的观点，他说：“从这个意义上来说，微软得有所妥协。它不得不考虑后向兼容带来的限制因素。”
　
　　几年前，微软推出了所谓的下一代安全计算基础（NGSCB）项目，试图与过去来个一刀两断，但后来“微软终止了这个项目”，Blum说。
　
　　据Blum声称，微软仍然在走“便利、灵活性和后向兼容”兼顾的这条路，这样使它在市场上可以获得最大的优势。Blum若有所思地说，如果自己是Bill Gates，就会尝试采用“并行方法”来开发下一代值得信赖的操作系统，哪怕这个操作系统与现有的应用程序断绝关系。
　
　　在其他方面，微软制订了一项总体上切实可行的身份策略，但受到了以Windows为中心的方法的阻碍。Blum说：“他们对任何不同的平台从不表示认可。”比方说，微软对安全标记声明语言（SAML）标准缺少支持“就是一大错误，不利于整个行业。”
　
　　Antonopoulos认为，Linux、Unix和Macintosh等操作系统随带的“设计安全状况”比微软操作系统随带的来得好。不过Antonopoulos和Blum都表示，微软改进了Vista和XP2的安全。
　
　　Antonopoulos说：“问题在于，微软的名声搞得很臭，很难摆脱这种臭名声。”微软有许多才华横溢的工程师，拥有身份和信任机制设计方面的专长，但他们在技术会议上表达的意见似乎很少被采纳到微软软件当中。“我认为他们的意见肯定被否决了。”
　
　　与微软紧密合作的一些第三方安全软件提供商则认为，微软有时也一直在努力。
　
　　Lieberman软件公司开发与微软桌面机和服务器产品兼容的密码和系统管理工具，公司总裁Phil Lieberman说：“微软就像是一辆过山车，情况经常急转突变。微软的问题在于，它并不只是一家公司。它有好多家不同的公司，走不同的道路，你争我斗。”
　
　　在微软的一些部门，比如管理客户关系管理产品或者Office产品的部门，它们没有努力与第三方应用程序兼容以提高安全，而“核心操作系统部门比较开放”，Lieberman说。
　
　　但是与微软合作（这可能是获得微软官方认证的前提）最让人恼火的地方是，这家公司在技术文档方面做得并不好。
　
　　Lieberman说：“操作系统当中极大一部分没有相应的说明文档。微软的变动步伐太快了，开发了那么多的版本和更新程序，没有人在跟踪微软开发的东西。比方说，如果微软对周二发布的补丁作了改动，并且改动了数据链接库，却没有去改动说明文档，结果你的应用程序运行不了。你只好去查找原因，结果发现原来微软作了改动。”
　
　　另一些人虽然承认微软以往的表现很糟糕，不过显得要宽和一点。
　
　　赛门铁克公司的安全响应部门主任Oliver Friedrichs说，微软加强安全的努力已经带来了“积极影响”。他说：“我们要给微软一些掌声，因为它改进了操作系统的安全。”
　
　　过去几年根本没有出现过危害性极大的那种蠕虫攻击，比如早些年的“红色代码”、“冲击波”和“尼姆达”，这些蠕虫曾利用微软产品的漏洞，在全球各地大肆破坏。
　
　　Friedrichs补充说：“如今的攻击者把注意力放在了第三方的Web插件上。”
　
　　SystemExperts咨询公司的Jon Gossels说：“很容易找微软的岔子，因为其产品无所不在，过去也有着问题。但微软的产品一年比一年来得安全，外面有许多专业人士在设法查找微软软件的缺陷。”

　　五、NAC：你的防火墙够了吗？
　
　　网络访问控制（NAC）并不适合每个人，不过它是用于控制个人需要访问网络这种环境的一种宝贵工具。
　
　　NAC对于那些受到严格监管的公司来说很重要。NAC能够在允许端点连接到公司网络之前，先对其进行全面的检查；这种检查有助于公司让监管部门对自己放心：监管部门要求执行相关政策，确保端点配置符合要求。
　
　　大多数NAC平台不但能够执行这项功能，还能记录执行情况，众多法规要求做到这一点，比如支付卡行业（PCI）的标准以及《健康保险可携性及责任性法案》（HIPAA）。
　
　　据Gartner声称，NAC特别擅于处理的一个问题就是对访客用户进行审查。Gartner的分析师Lawrence Orans在报告中说：“计划部署NAC的Gartner客户大多数声称，首先考虑的第一要务就是部署访客网络。2007年，许多把NAC看作是一项战略性安全流程的安全管理人员利用访客网络的近期效益，证明了有必要开始上马NAC项目。”
　
　　如果公司有众多不同的全职员工、承包商和访客需要经常使用自己的网络，NAC就有助于保证他们用来连接网络的设备符合配置政策。对于未满足要求的机器，NAC可以进行修复或者隔离，或者允许它们访问资源有效的网段，这样它们造成的破坏也很有限。
　
　　类似的是，需要按照部门或者工作职能对网络进行分段的公司可以使用NAC当中的授权控制功能，即可实现粒度相当细的分隔机制。
　
　　弗雷斯特研究公司的分析师Rob Whitely说：“如果公司面临多项法规遵从要求（《萨班斯－奥克斯利法案》、PCI和HIPAA）、有着不同的员工队伍（员工、承包商、远程工人、合作伙伴和供应商），而且在全球开展业务（需要按地区、业务部门及其他方面对网络环境进行分隔），我们会看到NAC将掀起一场完美风暴。”
　
　　Whitely表示，NAC最终会成为分层安全架构当中的一部分；这种架构不太依靠边界防火墙作为主要堡垒；而是主要依靠力求缓解威胁的多层安全。他说：“这只是消除边界（de-perimeterization）这个更大趋势中的一方面。NAC不是必要的，但是会成为这种新型安全架构的一个关键部分。”
　
　　大多数网络没有NAC也能应付过去。这项技术减小了这种风险：受到危及的机器获得网络访问权；一旦这些机器以某种方式设法获得了许可权，就会带来破坏。但是它不能完全保证安全。NAC是应对传统的第三层防火墙无法处理的威胁而出现的；现在有些威胁是NAC无法处理的，不过它能做出重要贡献。
　
　　Whiteley说：“问问自己：你的防火墙够了吗？如果答案是肯定的，NAC极有可能没有必要。它提供了额外的主机完整性检查功能；但是除了粒度更细的验证和授权机制，它提供不了太多的作用――NAC的这些机制其实完全是为了弥补如今防火墙的不足。”

　　六、IT人员克服补丁管理问题了吗？
　
　　补丁和漏洞管理工具能够胜任这项任务：发现及保护基本上静态、受控制的环境中易受攻击的机器。在IT管理人员看来，技术方面被认为是头等大事，他们极有可能花好多年的时间来完善漏洞扫描、补丁测试以及软件分布等工作。
　
　　据企业管理联合会的调查显示，接受调查的250名IT管理人员中超过四分之三（76%）其公司内部使用了某种补丁管理产品；并且表示，打补丁是一个重要或者很重要的过程。Van Dyke 软件公司对300名网络管理员开展了第五次年度企业安全调查，结果表明，30%的人仍在为打补丁而操心，这个比例已经在逐年减少。一些业界观察人士猜测，如今比较少的人为打补丁而操心，这表明补丁管理产品以及IT管理人员采用的方法日趋成熟。
　
　　Exactech公司的网络管理员Craig Bush说：“我们其实没有经常变化、需要打补丁的东西，除了远程访问用户以外，我们为他们的系统打补丁向来很困难。目前，我们只好等客户机连接到我们的VPN来更新补丁，这并不总是定期的。”
　
　　Bush表示，他的打补丁方法很成熟，但如果开发商能够留出足够的时间，让用户可以把补丁部署到分布式机器上之前先进行合理测试，也许有助于简化这个过程。
　
　　他说：“开发商应当确保自己在向外发布补丁之前先进行全面测试。与微软等闭源软件公司相比，这对采用开源技术的公司而言要容易得多，前者在补丁和修复程序方面从开发到发布的周期往往比较长。”
　
　　不过业界观察人士表示，如今及将来打补丁方面的问题更多地与用户环境有关，而不是与开发商的更新有关。他们提醒，尽管补丁管理技术比较成熟，但随着网络环境不断发展，加入了更多的虚拟化和复杂的应用基础架构，打补丁需要与时俱进。而反过来，像Altiris（现隶属赛门铁克公司）、BigFix、冠群、St. Bernard、PatchLink和Shavlik这些开发商需要把支持虚拟化及其他技术的功能添加到各自的工具中，以便有效地为客户环境打上补丁。
　
　　企业管理联合会的调研主任Andi Mann说：“打补丁是一项比较成熟的技术，但并不是说它已在掌控之中。现阶段，在虚拟化环境这样的领域打补丁仍然很不成熟；服务器和桌面虚拟化把原有的打补丁规则抛到了窗户。”
　
　　据Mann声称，虚拟化不仅带来了复杂性，还带来了需要在同一段时间内打上补丁的数量激增的机器。这可能会导致IT管理人员加快补丁测试过程，这最终可能会导致生产环境机器出现配置上的冲突。Mann说：“测试是打补丁的一个关键环节；由于零日攻击这些威胁迫在眉睫，加上虚拟机数量激增，确保所有更新程序都可以协同运行、保护网络环境就更加困难了。”
　
　　市场调研公司Ptak， Noel & Associates的首席分析师Jasmine Noel表示，另外要给相关的依赖系统打上补丁；打补丁可能会成为摆在IT管理人员面前的一个新挑战。她表示，随着网络环境变得更加复杂、分发补丁的开发商日益增多，测试层面以及补丁分发会打破许多IT管理人员以前打补丁的方法。
　
　　她说：“仍需要努力的就是，如果好几家开发商同时发布了补丁，就要确定谁先打上、谁后打上；因为基础架构涉及各个层面：硬件、物理设备上的操作系统、虚拟化软件以及虚拟机（操作系统和应用堆栈）。所以，怎样先后安装同一天发布的惠普、微软和Oracle的补丁才是正确的顺序呢？”