以前，只有IT部門那些最懂技術的成員才明白IT安全。在IT部門的辦公室之外，病毒、木馬、蠕蟲這些詞都不會被提及，管理層也并不關心黑客和僵尸機，董事會根本不清楚什么是零日攻擊，更不用說零日攻擊能帶來多大的危害了。然而，現在，計算機以及隨之而來的各種威脅成為幾乎每一個單位非常普及的一部分，IT安全也慢慢地變成了一個被廣泛關注的商業問題。
   
    人們所熟悉的傳統的IT安全解決方案通常只包括最基本的普通的防火墻，再加上殺毒軟件、掃描系統、入侵監測和身份管理。但是，現在，安全產品的范圍很廣，涵蓋了安全的各個方面，從最細節性的到最寬泛的、遍及網絡的防護措施。此外，很多企業都選用標準的應用程序和軟件，比如Windows的軟件，他們都會同時安裝一個補丁管理程序。這就保證了能為他們的服務器或客戶機及時打上最新的補丁，從而可以解決軟件內存在的任何一個漏洞。
   
    無疑，這些安全方案的存在是有作用的，通常情況下也足以保護主要的IT設施，但同時，這些方案也很令企業、員工，尤其是IT部門頭疼。安裝、執行、維護這紛繁復雜的解決方案通常是非常昂貴并且非常耗時的。IT部門的員工花費時間去更新補丁、去配置防火墻，而不能做可以創作收益的事情。安全需求的優先級很難確定，常常導致浪費資源在次要問題上，特別是打補丁這件事，如果對問題的孰重孰輕沒有很好的理解，那么很可能打了補丁的是無關緊要的漏洞。相反的情況就更加糟糕了，那就是，未給高危漏洞及時打上補丁，整個網絡暴露在危險之中。除此之外，病毒預警、補丁更新及其它一些安全問題總是以很高的頻率發生，企業及其IT部門很難跟上這步伐也是不足為奇的，這就不免會留下災難性的隱患。
   
    那么，對于想要以高效的經濟的方式保護自己的網絡和機器的企業來講，什么才是真正的出路呢？答案就是自動化。上面提到的大多數方法都可以做到自動化：補丁自動打到機器上、殺毒軟件自動掃描病毒和蠕蟲。IT管理者們所需要做的事情只是靜靜地坐在那里，享受這自動的一切。但是很不幸，問題遠不像看起來那么直截了當。某些類型的安全問題需要頻繁更新補丁，這必須手工操作；而有些更新和有些特定的系統不兼容，這就需要更加仔細的監控。通常，安全軟件也不夠智能，不能依靠它們處理異常或突發事件，它們做不到像人那么靈活。對某個站點的訪問量猛增可能被誤認為是零日攻擊，或被誤認為是惡意入侵。
   
    為了避免上述情況的發生，就需要一個更加全面的解決方案，可以把安全和企業目標結合起來，能夠更加高效地管理風險。安全風險管理（Security Risk Management, SRM）應運而生，它可以幫助解釋復雜的安全問題，解釋成易于消化并備份的風險術語。
    
    引領業界的分析師們把安全風險管理定義為這樣一個完全的過程：該過程包括：理解威脅、給漏洞劃分優先級、限制可能的攻擊帶來的危害、理解在目標系統上做改變或打補丁給系統帶來的影響。SRM解決方案把多種不同的信息資源和技術集成在一起并且對之實現自動化，從而實現更為高效的漏洞管理過程。SRM還加入必要的分析，以做出更加智能的決策，在攻擊發起之前對企業的重要資料進行有效的保護，同時還不斷驗證并提升對抗風險的能力。
   
    一個SRM過程包括三個關鍵步驟：
   
    1 風險評測（Risk Assessment）
   
    風險評測是發現風險并對風險及其帶給企業的影響進行評估。這個過程中，需要一個綜合的安全方法：定義各種威脅的源頭和姿態；搜集漏洞掃描數據并將其標準化；從防火墻和路由器搜集路由和訪問信息；以企業術語定義資產分類。
   
    2 降低風險（Risk Mitigation）
   
    這個過程包括對問題劃分優先級、評估來自風險評測過程降低風險的策略，實施適合的方案。這里需要引入企業影響分析方法：在網絡路由的環境中對漏洞建模；實施模擬攻擊，來揭露對企業存在最大潛在危害的隱患；計算風險暴露標準、建立標桿（benchmark）；分析降低風險的方法。
   
    3 風險測量（Risk Measurement）
   
    風險測量決定安全策略的有效性，并反復執行上述兩個過程，以求將威脅和漏洞最小化。在這里需要一個規則的ROI方法：執行風險分析；在行動之前，要評估損益；向交換管理系統（change management system）發布工作流票；向安全、IT部門、CICO、CIO、企業高層、審計師們分發報告；重復數據采集和分析過程并將之自動化，以保證能夠跟上網絡上不斷發生的變化以及新引入威脅的情況。
   
    這個方法可以保證安全系統的持續更新，還可以向IT部門提供清晰的記錄，以便到位地監測并論證不同的安全過程。該方法使企業對漏洞有全面的了解，并可以準確評估他們所面臨的風險，還可以確定問題的優先級，采取有效的補救措施。IT部門不會再把時間浪費在不必要的事情上，而是可以把寶貴的時間花在其它能夠提高效率的地方。也許，最重要的是，從隱患被識別出到徹底解決的時間段減小了，使得企業遭受破壞的可能性進一步降低。
   
    有了安全風險管理這個最優的策略，風險可以大幅降低，對付風險所需的時間和精力也大大降低，信息的準確性也得以提升。自動化意味著安全團隊和審計師在任何時候都可以獲得對安全狀況的持續準確的跟蹤，可以快速看到并更正內部控制中的失誤。IT部門、安全團隊、商業團隊以及高層執行官可以用同樣的術語來談論安全，并能協同合作，保證持續改進。
   
    SRM正在飛快地變成智能安全的代言。現在，威脅的發生頻率和嚴重性每一天都在發生，企業很快都會對SRM這個詞耳熟能詳。要保證在安全上具有競爭性的優勢，僅靠一個防火墻已經遠遠不夠了，現在我們需要一個智能的、高效的策略來管理風險。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：安全風險管理：網絡安全問題的答案

本文網址：http://www.guhuozai8.cn/html/support/11121824428.html