捍卫安全关键在人:传统的网络安全产品

   我们把单点的如杀毒和防火墙软件等称为传统网络安全产品，不过不幸的是我们大多数情况下，仍然需要依赖这些网络安全产品。而70%的安全损失是由企业内部原因造成这样的报告给我们的启示是：任何强大的网络安全产品都离不开一个关键：操作的“人”。

   传统的单点网络安全产品如杀毒和防火墙软件被称为“被动的防御”已不是第一次了。根据IDC的报告，70%的安全损失是由企业内部原因造成的。这样的数据可能有点耸人听闻。

   不过，企业肯定遇到过这样一些事情：因为某一员工误操作造成公司服务器上重要文档丢失; 由于没有清晰定义每位员工在系统内的访问权限，使本该由一定级别的人员才能掌握的业务秘密泄露……对于这些来自公司内部的安全问题，“兵来将挡，水来土掩”的被动防御确实显得力不从心。

   针对这样的情况，“主动”的安全管理理念被一些以管理软件著称的厂商推崇备至。CA公司11月13日在其首站安全产品巡展中再一次强调了这一理念。一方面借赤壁之战的典故展示其eTrust安全管理解决方案“掌控安全”的优势，同时也是在“游说”安全产品的使用者从被动变主动。

   在这里，“主动”的理念是通过落实到安全软件的一些具体应用点来实现的。一方面协助企业分析安全信息，从分析结果中获得采取主动的目标。例如CA公司eTrust的组成部分Security Command Center，就是针对安全信息纷繁复杂的情况，通过集中的管理和控制来提升管理员的工作效率。具体的情况可能是，用户的防火墙来自于不同厂商，他们对同一个威胁的警告是不一样的。对于这样的信息，用户不是产品专家，而这个软件就可以协助企业分析过滤并决策，迅速对威胁做出反应。另一方面，把现实中体现人类思想的安全规章制度通过3A(管理、授权、认证)一类的安全软件强制实现。IBM公司推出的Tivoli安全管理软件，就是希望通过对身份、访问、隐私乃至威胁的管理来协助企业主动控制安全风险和用户隐私。

   推广理念的关键是将其落实到具体的操作细节，而接受理念的关键则在于使用者思想上的转变。安全领域的大师，网络技术安全咨询公司Counterpane Internet Security Inc.的创立者布鲁斯·施奈德(Bruce Schneier)在其新推出的《战胜恐惧》(Beyond Fear)一书中提到：“安全的本质在于它是一个过程，而非产品”。而经历这一过程的使用者，就是需要安全的企业。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点