提升企业内部网络安全性的四条措施

源济

按照美国顶级情报官员的说法，美国在网络安全方面遇到的威胁已经可与来自恐怖主义的威胁等量齐观。

虽然奥巴马(Obama)政府加大了网络安全方面的警示力度，但这些警示只能表示美国政府重视这方面的问题。网络安全研究和教育机构SANS Institute的创办人帕勒尔(Alan Paller)今年2月在信息安全峰会RSA Conference发表讲话时说，奥巴马政府并没有实际做多少工作来减轻美国企业未来可能遭受的网络攻击。他建议那些想为提升网络安全做点实事的企业从一些重要的工作开始着手。这些工作包括创建一份网上硬件和软件的清单，为硬件和软件创建安全配置并迅速修复新发现的软件缺陷。

帕勒尔说，企业可以采取如下四项措施来迅速提高自身的网络安全状况：

1. 为所用经过授权和未经授权的硬件开列清单：使用主动监测和配置管理来确保那些与企业网络相连接的设备能被及时列入硬件清单。这些设备包括服务器、工作站、笔记本电脑和远程设备。

2. 找出有缺陷的软件或恶意软件，以减缓或完全杜绝企业网络有可能遭到的攻击：为每一类型的系统都创建一份授权软件清单，并部署专门的工具来追踪已安装的软件（清单上要列出软件的类型、版本和修补文件）并监控那些未经授权或非必要的软件。

3. 保护笔记本电脑、工作站和服务器所用硬件和软件的配置：阻止网络攻击者利用各种服务和设置发动攻击，这些服务和设置可方便网络攻击者通过网络和浏览器进入企业的电脑网络。这意味着，要在48小时内对有缺陷的应用程序进行修补并使用最新发布的电脑操作系统。

4. 持续对电脑系统进行脆弱性评估并采取相应的补救措施：未雨绸缪地找出安全研究人员或销售商报告的软件缺陷并加以修补。这意味着，要在48小时内对有缺陷的应用程序进行修补并使用最新发布的电脑操作系统。

帕勒尔说，SANS Institute发布的这些防控措施在制定时征求了美国国防部、能源部、美国电脑紧急应变小组(U.S. Computer Emergency Readiness Team)、联邦调查局和其他执法机构的意见。

澳大利亚的情报机构国防部通讯局(Defence Signals Directorate)还另外提出了一条建议，即尽量减少有管理权的用户的数量。美国智库国际和战略研究中心(Center for International and Strategic Studies)的刘易斯(James Lewis)今年2月发布的一份报告说，能实施上述措施的政府机构和企业，其遭受网络攻击的风险下降了85%或更多。刘易斯在报告中说，因为调查显示，那些成功侵入企业内部网络的事件中，有80%至90%的入侵者只使用了最基本的黑客技术，因此这些基本的防护措施能够显著提高企业网络的安全性。

Rachael King