CNET科技资讯网3月27日北京报道(文/孙莹)在当今的互联网环境下,企业面临着大量的威胁和漏洞信息,但在如此繁多的信息当中,安全人员很难明确地分辨出哪些威胁是关键的,调查显示,60%-70%的IT人员大都是靠经验之谈来评定安全风险的高低。
传统意义上,企业对于安全的理解大都专注于病毒、垃圾邮件、混合威胁以及间谍软件所代表的外部威胁,而忽略企业内部潜在的风险,特别是目前政府机构和行业规则,都要求企业保护客户、员工私人信息和企业信息的完整性,而非遵从性可能会导致处罚和法律责任,因而企业内部信息泄露也是一种无法预估的威胁。
企业安全面临新挑战
在客户企业中,处于不同岗位上的员工对安全的想法也各有不同:对于负责企业信息安全的首席安全官或负责IT运营及网络管理的人来说,他们对企业的细节比较关注,更愿意关心企业网络中的安全威胁到底是从哪儿来的。
而对于企业高层领导,如首席信息官,或负责法律法规的安全审计人员而言,他们更关心的是企业所有落实的安全措施是否都能满足国际、国内法律法规以及企业自己的规章制度的各项要求。
因此,企业花费了大量的金钱和时间来管理安全风险以及遵从性,安全也不再仅仅是一个版本升级的问题。不断増长的遵从性和规则要求,以及不断变化的威胁环境,迫使企业重新思考他们如何实施和管理网络安全。
McAfee华北区安全顾问陈纲认为,就现阶段的状况而言,我们现在很难看到一套相关的技术能够帮助IT从业人员去思考,如何将安全产品跟企业自身的管理流程、响应流程、工作模式真正的结合,并且能同时做好安全防御的工作和法律法规制度方面的工作,从而确保降低多方面的风险。
当前,企业需要的是一个能同时管理安全和法规遵从风险的方法,帮用户把一些问题归类化。一个集中的安全风险管理方法必须包括威胁防护功能,例如,防病毒、入侵防护以及防间谍软件,而所有这些都需要与遵从性管理功能包括策略増强、漏洞修复、网络接入控制、审计和数据损失防护等进行集成。为此, McAfee推出了其控制关键IT风险的集中方法--安全风险管理(Security Risk Management,SRM)战略。
McAfee风险管理解决之道
据介绍,McAfee安全风险管理把传统的一些流程上、规章制度上的东西落实到具体的防护产品和管理方面的相关技术和产品上。以McAfee威胁防护为核心,増加全新的遵从性管理功能包括修复、网络接入控制和数据损失防护等。
可以说McAfee提供了一套协同工作的工具,通过一个流程来帮助企业制定资产保护策略,并根据漏洞及威胁评估实际的风险等级,提供更加有效的方法,管理企业安全及法规遵从性,以降低安全威胁和由于违反遵从性、企业管理、内部策略以及信息泄露所造成的风险。
McAfee威胁防护产品组合
具体来说,McAfee SRM安全风险管理由三个密闭的圆环所组成,第一环代表全面保护(Comprehensive Protection)的McAfee威胁防护产品组合,是针对现在最常见的、主流的威胁防护技术和产品总结出来的一些McAfee现有的相关的产品和技术,所有与系统相关的问题,都已经覆盖在内。
McAfee法规遵从性管理产品组合
第二环是McAfee法规遵从性管理产品组合,所有这些产品组合都为企业提供了全面的法规遵从性管理手段,在McAfee SRM安全风险管理的整体架构中,负责法律法规遵从性管理的产品更是贯穿SRM的各个环。
McAfee的安全风险管理解决方案
第三环就是McAfee的安全风险管理解决方案,向客户提供漏洞评估的主要组件、策略遵从増强和修复解决方案,这些解决方案都是建立在McAfee现有的产品组件基础之上的,不同的产品组合提供不同的管理效果,企业可以根据自身状况进行各种解决方案的选择。
收购整合完善生命周期
陈纲表示,McAfee安全风险管理的实现不是一天就能成就的,它是一个安全风险管理的生命周期,要有计划地逐步实施:从第一步的制定政策或引用行业规范;到评估风险,再到实施保护,解决风险;直到最终管理法规遵从性。
McAfee安全风险管理和遵从性战略所做的所有步骤,目的就是为了能够符合企业的要求,遵守企业和政府的条例和管理法规,能够衡量出企业的安全状况和风险变化内容,找出当前最危急的方面是哪些,从而确保投资可以集中在某一点上,清除风险,保护企业关键资产。更好地利用企业现有的安全技术和IT资源,节省时间和金钱。
为强化安全风险管理产品,McAfee进行了多起收购,成为其发展战略的一个重要组成部分。从去年6月份以来,McAfee先后收购了Preventsys、Citadel、Onigma等管理安全和法规遵从领域的厂商。
像早前收购的SiteAdvisor的产品一样,McAfee将收购的新技术整合到其产品套件中,在充分利用原有技术的基础上,进一步扩充 McAfee的产品功能。通过集成整合,减少了企业安装新客户端的麻烦,降低了安全管理的复杂程度,McAfee也成为第一家集成威胁防护和遵从性管理的安全厂商,为企业提供了自动化、更高效的运营以及投资保护。
多方数据融合非一家独大
据介绍,在不久的将来,McAfee的安全风险管理将通过传统的全面防护类产品在主机层面和网络层面实现对威胁的评估与防御,结合最新威胁信息和企业内部或外部的策略规范,从企业当前应用各类产品中采集各种风险相关数据,形成量化的风险报告及为服务等级协议提供阀值结果供参考。而这种多厂商数据的融合,将使风险量化报告更有可信度。
也就是说,McAfee的安全风险管理能够将多厂商有关漏洞、配置和威胁的评估信息和数据整合在一起,简单地集成到用户全新的和现有的安全工具当中,而无须改变安全过程或报告,使安全遵从报告过程实现自动化,降低手工审计和遵从性报告的时间和成本。
陈纲强调,安全风险管理,绝对不是一个厂家说了算的东西,不能脱离第三方数据而独立存在,二者是有机的结合,既是支持又是弥补。所以McAfee允许与第三方厂商的数据结合,并提供第三方数据的支持。
市场潜力巨大各厂商纷争
随着安全风险管理概念的兴起和逐渐普及,市场也在不断的增长,根据IDC报告,2005年,全球安全遵从性和控制市场的价值大约是57.9亿美元,而2010年这一数字将达到149.2亿美元。除McAfee之外,像微软、赛门铁克、IBM等厂商也都提出了自己的风险管理解决方案,这一市场成为各软件厂商和安全厂商下一个竞争焦点所在。
对此,陈纲认为,确实很多厂商都提出了自己的安全风险管理,每家都在谈这个概念,但彼此都有彼此的特点。大家推出这个风险管理的目的是什么?就是能够引申出自己的产品,能够将自家产品在安全风险管理的每一个周期、每一个部分上,产生出相关技术的保护和保障,从而确保风险管理能够完成的更好,应该说这是主要的一个概念。
他解释道,McAfee提供给用户的是看到一个风险管理怎样去完成,然后规划企业未来的风险,而不是去实行产品堆叠。产品堆叠的目的,网络建设的目的,最终还是为满足这样一个风险管理过程的周期,其意义就在于针对法律法规的要求,找到有没有所谓的对应点。