在当今的网络互联时代，不少公司和解决方案提供商对确保数据安全性所采取的方法已经落后。我们通常讲的采用防火墙和VPN技术并不能彻底消除安全隐患，尤其是对隐藏在内部网络的合法攻击者，公司应采取何种对策呢？

　　80/20困境

　　为确保唯有授权者和特许用户才能访问和交换干净的数据，许多公司部署了防火墙、入侵检测方案和防病毒软件。但是调查表明，只有20%的数据破坏是由公司外部人所为。这等于说即便充分利用现有技术也只能解决五分之一的安全问题。这些解决方案并不能消除来自内部授权用户的安全隐患。

　　入侵检测软件包对于来自内部的入侵内部行无法向管理员做出报告，更让人担忧的是，无法调查内部员工在造成的破坏程度。

　　为克服这个难题，许多组织利用基于查询的内部分析工具来加强内部安全，发现未授权的活动。基于查询的分析工具虽然为发现安全漏洞或滥用网络权限提供了有效方法，但最多也只能算是被动的补救办法，即使最警惕的基于查询的分析通常也要晚一个小时。

　　控制关键的80%

　　要控制关键的80%的安全漏洞，关键在于解答四个根本问题：1.发生了什么？2.发生的具体时间？3.谁在搞破坏？我们应采取什么措施？

　　基于查询的分析工具只能解答头一个问题。在反复比较以前的报告时，它会准确无误地把重要网络参数的变更记入日志。但这种工具只能检查网络的目前状态，没法记下谁在破坏、破坏情况及其影响。如果没有这部分极重要的信息及实时跟踪功能，内部安全仍将停留于被动状态。唯有积极主动的安全政策管理才能真正有效地控制难以制服的80%。

　　积极主动的安全政策管理把入侵检测概念提升到了更有效、更合理的入侵者检测（甚至是内部入侵者）层面。内部安全漏洞在于人，而不是技术。因此，应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁，就无法解决问题。

[1][2][3] [下一页]

发给好友

投稿给我们

加入收藏

返回顶部