以前，只有IT部門那些最懂技術(shù)的成員才明白IT安全。在IT部門的辦公室之外，病毒、木馬、蠕蟲這些詞都不會被提及，管理層也并不關(guān)心黑客和僵尸機，董事會根本不清楚什么是零日攻擊，更不用說零日攻擊能帶來多大的危害了。然而，現(xiàn)在，計算機以及隨之而來的各種威脅成為幾乎每一個單位非常普及的一部分，IT安全也慢慢地變成了一個被廣泛關(guān)注的商業(yè)問題。
   
    人們所熟悉的傳統(tǒng)的IT安全解決方案通常只包括最基本的普通的防火墻，再加上殺毒軟件、掃描系統(tǒng)、入侵監(jiān)測和身份管理。但是，現(xiàn)在，安全產(chǎn)品的范圍很廣，涵蓋了安全的各個方面，從最細節(jié)性的到最寬泛的、遍及網(wǎng)絡(luò)的防護措施。此外，很多企業(yè)都選用標準的應用程序和軟件，比如Windows的軟件，他們都會同時安裝一個補丁管理程序。這就保證了能為他們的服務(wù)器或客戶機及時打上最新的補丁，從而可以解決軟件內(nèi)存在的任何一個漏洞。
   
    無疑，這些安全方案的存在是有作用的，通常情況下也足以保護主要的IT設(shè)施，但同時，這些方案也很令企業(yè)、員工，尤其是IT部門頭疼。安裝、執(zhí)行、維護這紛繁復雜的解決方案通常是非常昂貴并且非常耗時的。IT部門的員工花費時間去更新補丁、去配置防火墻，而不能做可以創(chuàng)作收益的事情。安全需求的優(yōu)先級很難確定，常常導致浪費資源在次要問題上，特別是打補丁這件事，如果對問題的孰重孰輕沒有很好的理解，那么很可能打了補丁的是無關(guān)緊要的漏洞。相反的情況就更加糟糕了，那就是，未給高危漏洞及時打上補丁，整個網(wǎng)絡(luò)暴露在危險之中。除此之外，病毒預警、補丁更新及其它一些安全問題總是以很高的頻率發(fā)生，企業(yè)及其IT部門很難跟上這步伐也是不足為奇的，這就不免會留下災難性的隱患。
   
    那么，對于想要以高效的經(jīng)濟的方式保護自己的網(wǎng)絡(luò)和機器的企業(yè)來講，什么才是真正的出路呢？答案就是自動化。上面提到的大多數(shù)方法都可以做到自動化：補丁自動打到機器上、殺毒軟件自動掃描病毒和蠕蟲。IT管理者們所需要做的事情只是靜靜地坐在那里，享受這自動的一切。但是很不幸，問題遠不像看起來那么直截了當。某些類型的安全問題需要頻繁更新補丁，這必須手工操作；而有些更新和有些特定的系統(tǒng)不兼容，這就需要更加仔細的監(jiān)控。通常，安全軟件也不夠智能，不能依靠它們處理異常或突發(fā)事件，它們做不到像人那么靈活。對某個站點的訪問量猛增可能被誤認為是零日攻擊，或被誤認為是惡意入侵。
   
    為了避免上述情況的發(fā)生，就需要一個更加全面的解決方案，可以把安全和企業(yè)目標結(jié)合起來，能夠更加高效地管理風險。安全風險管理（Security Risk Management, SRM）應運而生，它可以幫助解釋復雜的安全問題，解釋成易于消化并備份的風險術(shù)語。
    
    引領(lǐng)業(yè)界的分析師們把安全風險管理定義為這樣一個完全的過程：該過程包括：理解威脅、給漏洞劃分優(yōu)先級、限制可能的攻擊帶來的危害、理解在目標系統(tǒng)上做改變或打補丁給系統(tǒng)帶來的影響。SRM解決方案把多種不同的信息資源和技術(shù)集成在一起并且對之實現(xiàn)自動化，從而實現(xiàn)更為高效的漏洞管理過程。SRM還加入必要的分析，以做出更加智能的決策，在攻擊發(fā)起之前對企業(yè)的重要資料進行有效的保護，同時還不斷驗證并提升對抗風險的能力。
   
    一個SRM過程包括三個關(guān)鍵步驟：
   
    1 風險評測（Risk Assessment）
   
    風險評測是發(fā)現(xiàn)風險并對風險及其帶給企業(yè)的影響進行評估。這個過程中，需要一個綜合的安全方法：定義各種威脅的源頭和姿態(tài)；搜集漏洞掃描數(shù)據(jù)并將其標準化；從防火墻和路由器搜集路由和訪問信息；以企業(yè)術(shù)語定義資產(chǎn)分類。
   
    2 降低風險（Risk Mitigation）
   
    這個過程包括對問題劃分優(yōu)先級、評估來自風險評測過程降低風險的策略，實施適合的方案。這里需要引入企業(yè)影響分析方法：在網(wǎng)絡(luò)路由的環(huán)境中對漏洞建模；實施模擬攻擊，來揭露對企業(yè)存在最大潛在危害的隱患；計算風險暴露標準、建立標桿（benchmark）；分析降低風險的方法。
   
    3 風險測量（Risk Measurement）
   
    風險測量決定安全策略的有效性，并反復執(zhí)行上述兩個過程，以求將威脅和漏洞最小化。在這里需要一個規(guī)則的ROI方法：執(zhí)行風險分析；在行動之前，要評估損益；向交換管理系統(tǒng)（change management system）發(fā)布工作流票；向安全、IT部門、CICO、CIO、企業(yè)高層、審計師們分發(fā)報告；重復數(shù)據(jù)采集和分析過程并將之自動化，以保證能夠跟上網(wǎng)絡(luò)上不斷發(fā)生的變化以及新引入威脅的情況。
   
    這個方法可以保證安全系統(tǒng)的持續(xù)更新，還可以向IT部門提供清晰的記錄，以便到位地監(jiān)測并論證不同的安全過程。該方法使企業(yè)對漏洞有全面的了解，并可以準確評估他們所面臨的風險，還可以確定問題的優(yōu)先級，采取有效的補救措施。IT部門不會再把時間浪費在不必要的事情上，而是可以把寶貴的時間花在其它能夠提高效率的地方。也許，最重要的是，從隱患被識別出到徹底解決的時間段減小了，使得企業(yè)遭受破壞的可能性進一步降低。
   
    有了安全風險管理這個最優(yōu)的策略，風險可以大幅降低，對付風險所需的時間和精力也大大降低，信息的準確性也得以提升。自動化意味著安全團隊和審計師在任何時候都可以獲得對安全狀況的持續(xù)準確的跟蹤，可以快速看到并更正內(nèi)部控制中的失誤。IT部門、安全團隊、商業(yè)團隊以及高層執(zhí)行官可以用同樣的術(shù)語來談?wù)摪踩�，并能協(xié)同合作，保證持續(xù)改進。
   
    SRM正在飛快地變成智能安全的代言�，F(xiàn)在，威脅的發(fā)生頻率和嚴重性每一天都在發(fā)生，企業(yè)很快都會對SRM這個詞耳熟能詳。要保證在安全上具有競爭性的優(yōu)勢，僅靠一個防火墻已經(jīng)遠遠不夠了，現(xiàn)在我們需要一個智能的、高效的策略來管理風險。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：安全風險管理：網(wǎng)絡(luò)安全問題的答案

本文網(wǎng)址：http://www.oesoe.com/html/support/11121824428.html