如今你若問CIO最關心的問題是什么時，他們中的絕大多數(shù)會不約而同地說：“當然是網(wǎng)絡安全了”。企業(yè)網(wǎng)絡安全問題，不僅牽系著企業(yè)用戶業(yè)務能否正常運行，而且還直接影響到企業(yè)效能和核心競爭力的發(fā)揮。

網(wǎng)絡安全的威脅

天災，也叫“不可抗力”的災難，通常指水火無情的自然災害，而在今天企業(yè)可能要面臨另一種“天災人禍”，那就是網(wǎng)絡安全。如今你若問CIO最關心的問題是什么時，他們中的絕大多數(shù)會不約而同地說：“當然是網(wǎng)絡安全了”。企業(yè)網(wǎng)絡安全問題，不僅牽系著企業(yè)用戶業(yè)務能否正常運行，而且還直接影響到企業(yè)效能和核心競爭力的發(fā)揮。

在過去的2007年，無論是年初蔓延網(wǎng)絡的“熊貓燒香”病毒，還是11月的英國政府遭史上最大資料外泄使2500萬人受到影響的事件，都說明網(wǎng)絡安全面臨著病毒更毒，黑客更黑。諸如從間諜軟件、網(wǎng)游木馬、流氓軟件、IM通訊病毒、病毒郵件的肆虐，到性質極為嚴重的網(wǎng)絡銀行釣魚和針對性很強的木馬、蠕蟲病毒的不斷出現(xiàn)。

俗話說：“道高一尺，魔高一丈”，網(wǎng)絡系統(tǒng)的安全性問題之所以讓企業(yè)頭疼，是因為指望通過一勞永逸解決所有安全問題是不可能的。類似的例子不勝枚舉，不論是病毒、數(shù)據(jù)丟失，還是垃圾郵件等等企業(yè)網(wǎng)絡系統(tǒng)的安全性問題，都給企業(yè)敲響了警鐘。因此，網(wǎng)絡系統(tǒng)的安全性也成為CIO最為頭痛和最為棘手的問題之一。

什么是網(wǎng)絡安全威脅？

想要應付網(wǎng)絡安全威脅，就要先認識到什么是“安全威脅”。據(jù)有關調查顯示，85%的被采訪者表示曾經(jīng)遇到網(wǎng)絡安全問題，其中遇到次數(shù)最多的是網(wǎng)絡病毒。另外，還有70%的被采訪者表示公司網(wǎng)絡曾經(jīng)被黑客訪問過。因此，企業(yè)網(wǎng)絡安全性有兩個最大威脅，它們是病毒侵襲和黑客入侵。

(1)病毒侵襲。這幾乎有計算機的地方，就有出現(xiàn)病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復制，并能夠通過網(wǎng)絡、磁盤、光盤等諸多手段進行傳播。計算機病毒傳播速度相當快、影響面大，必須對它的危害要引起關注。殺毒軟件是對付病毒的最好方法之一，然而如果沒有“憂患意識”，很容易陷“盲從殺毒軟件”的誤區(qū)。

(2)黑客入侵。一般來說，黑客常見的入侵動機和形式可以分為兩種。第一種是拒絕服務(DOS)攻擊。這類攻擊一般能使單個計算機或整個網(wǎng)絡癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的商務活動。另一種是非法入侵，非法入侵是指黑客利用企業(yè)網(wǎng)絡的安全漏洞訪問企業(yè)內(nèi)部網(wǎng)絡或數(shù)據(jù)資源，進行刪除、復制甚至毀壞數(shù)據(jù)的活動。這兩種黑客入侵行為都可能致使公司停工、增加清除成本或數(shù)據(jù)被竊而造成無法挽回的損失。除此之外，非法入侵對于企業(yè)的品牌形象、客戶信賴度、市場占有率甚至股價都有潛在性的影響。

保障網(wǎng)絡安全有兩個支柱，一個是技術、一個是管理。而我們?nèi)粘Ｌ峒熬W(wǎng)絡安全時，多是在技術相關的領域，例如IDS入侵檢測技術、Firewall防火墻技術、Anti-Virus防病毒技術、加密技術、CA認證技術等等。但正如“木桶原理”所示，你的能力是由你最弱的那個環(huán)節(jié)決定的，我們在保護網(wǎng)絡安全時，也應該從上述二個方面全面考量，而不能只偏重其中的某一個部分。

網(wǎng)絡安全必殺技之一：網(wǎng)絡優(yōu)化

談到網(wǎng)絡安全，很多人會直接想到反病毒軟件、防火墻等產(chǎn)品。實際上，網(wǎng)絡優(yōu)化也是CIO必殺技之一。以業(yè)務效能和應用連續(xù)性為目標，整體性的網(wǎng)絡和應用安全與優(yōu)化是IT網(wǎng)絡安全價值提升的重要途徑。網(wǎng)絡優(yōu)化所涉及的技術與架構的更新，包括全網(wǎng)流量監(jiān)測、應用流量管理、安全威脅管理。

(1)網(wǎng)絡安全應用結構。如今幾乎所有的CIO都把關鍵應用的保障，或者說網(wǎng)絡的可用性列為頭等大事。

一般來說，網(wǎng)絡體系結構包括六個方面：應用性能管理;安全內(nèi)容管理;安全事件管理;用戶接入管理;網(wǎng)絡資源管理;端點安全管理。

(2)全網(wǎng)流量監(jiān)測。眾所周知，網(wǎng)絡安全問題80%發(fā)生在網(wǎng)絡的內(nèi)部。對于較大規(guī)模的網(wǎng)絡而言，網(wǎng)絡內(nèi)部的不良流量也可能非常嚴重地影響到網(wǎng)絡關鍵應用的運行。因此，進行全網(wǎng)的流量監(jiān)測是非常重要而且是必要的。通過全網(wǎng)流量檢測，能夠了解網(wǎng)絡當中的數(shù)據(jù)流狀況，包括流量大小、來源和目的、由何種應用產(chǎn)生、數(shù)據(jù)量的大小等。

網(wǎng)絡優(yōu)化系統(tǒng)同時結合了識別應用數(shù)據(jù)的能力和網(wǎng)關型直接防護能力，由于具備直接防護能力，能夠避免聯(lián)動所帶來的防護滯后和不夠精確等問題，能夠直接對不良流量和內(nèi)容進行封禁。除了能夠防護DDoS，蠕蟲，入侵，P2P和混合型攻擊外，還能夠防止內(nèi)部文件通過網(wǎng)絡外泄。

管理短視是網(wǎng)絡安全最大隱憂

短視，可能是很多CIO最不愿意承認，卻總是會造成致命打擊。病毒一下子讓企業(yè)網(wǎng)絡處于癱瘓狀態(tài)，造成的直接經(jīng)濟損失規(guī)模大的驚人?？闪钊速M解的是，眾多企業(yè)寧可花大把的錢購買服務器、交換機、防火墻，卻很少愿意去加強企業(yè)網(wǎng)絡的管理安全措施。對于一個信息化的企業(yè)來說，網(wǎng)絡信息安全不僅僅是一個技術問題，也是一個管理問題。在很多病毒或安全漏洞出現(xiàn)不久，通常就會有相應的殺毒程序或者軟件補丁出現(xiàn)，但為什么還會讓熊貓這樣的病毒肆虐呢？

歸根結底還是因為很多企業(yè)沒有養(yǎng)成主動維護系統(tǒng)安全的習慣，同時也缺乏安全方面良好的管理機制。保證網(wǎng)絡系統(tǒng)安全的第一步，首先要做到重視安全管理，不要“坐以待斃”。防火墻等設備就如網(wǎng)絡上的一把鎖，它控制著訪問網(wǎng)絡的權限，只允許特許用戶進出網(wǎng)絡。當然也不僅僅是在網(wǎng)絡設置防火墻，為了最有效地滿足網(wǎng)絡安全需求，還需要其它技術，如用戶驗證、虛擬專用網(wǎng)和入侵檢測。但更重要的是從管理和技術兩個角度結合起來推進網(wǎng)絡安全工作。

(1)網(wǎng)絡安全管理體系

隨著企業(yè)信息化建設的展開，網(wǎng)絡安全成為不得不面臨的嚴峻問題。安全體系的建立其實涉及到了管理和技術兩個層面，而管理層面的體系建設是首當其沖的。技術上的建設和加強只是網(wǎng)絡安全的一方面，而且單純的實現(xiàn)技術不是目的，技術只是圍繞企業(yè)具體的工作業(yè)務來開展應用。保障業(yè)務流程的網(wǎng)絡安全，從而進一步促進 IT在企業(yè)應用層面的拓展，這才我們應用安全技術最根本的目的。因此，“抓管理還是上技術”的最終定格為“三分技術、七分管理”，構建一個健全的網(wǎng)絡安全管理體系是擺在企業(yè)面前的重要一環(huán)。

從早期的加密技術、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等等，新技術層出不窮，單純依靠技術和產(chǎn)品保障企業(yè)信息安全雖然起到了一定效果，但是復雜多變的安全威脅和隱患靠產(chǎn)品難以消除。我們認為：“企業(yè)要把網(wǎng)絡安全提升到管理的高度上實施，然后落實到技術層次上做好保障。”

網(wǎng)絡安全管理體系應該如何架構？BS7799安全管理體系標準無疑是一個很好的幫助。它最早由英國商務部推動，由BSI將其發(fā)展成為標準。BS7799共分兩部分，第一部分是信息安全管理實踐指南，第二部分是信息安全管理體系規(guī)范。換言之，第二部分告訴我們應該做什么，第一部分則提供了一些如何做或者好做法的指導。

(2)網(wǎng)絡行為規(guī)范化管理

網(wǎng)絡行為的根本立足點，不是對設備的保護，也不是對數(shù)據(jù)的看守，而是規(guī)范企業(yè)員工網(wǎng)絡行為，這已經(jīng)上升到了對人的管理的階段，通過技術設備和規(guī)章制度的結合來指導、規(guī)范員工正確使用單位的網(wǎng)絡資源。

網(wǎng)絡安全的根本政策，一定要包含內(nèi)部的安全管理規(guī)范。許多企業(yè)花大成本買最好的防火墻，黑客或是熟悉該企業(yè)網(wǎng)絡環(huán)境的離職員工，還是有辦法繞過從墻外進來，這是因為沒有一套軟件可以在沒有網(wǎng)絡安全管理策略之下發(fā)揮作用。防火墻、防毒墻都是提供服務的工具之一，人，才是網(wǎng)絡安全最大的關鍵。CIO必須為網(wǎng)絡安全建立一套監(jiān)督與使用的管理程序，并且徹底實行。

(3)安全意識最重要

面對不斷襲來的安全威脅，除了購買安全產(chǎn)品以外，我們還應該做些什么呢？這里需要指出：“安全意識最重要”。

安全設施的建立只是企業(yè)信息安全的第一步，如何在安全體系中有效徹底的貫徹安全制度，以及不斷深化全員安全意識才是關鍵所在。光依靠技術不能完全解決安全問題，因為過了一段時間，一些先進的技術可能就過時了，所以CIO應該有安全意識，重視自己企業(yè)的安全措施。加強安全意識的培訓，首先要集團的領導認識到網(wǎng)絡安全問題，另外也要對技術人員加強培訓，統(tǒng)一認識。

這些安全措施包括，培養(yǎng)員工的安全意識，養(yǎng)成良好的上網(wǎng)習慣，比如及時打好系統(tǒng)補丁、不要瀏覽不良網(wǎng)站、不隨意下載安裝來歷不明的軟件等等;對相關的技術管理人員進行技能培訓，對于重要數(shù)據(jù)一定要做好數(shù)據(jù)備份，否則會導致災難性的后果。

其它確保網(wǎng)絡安全的有效措施

現(xiàn)在網(wǎng)絡安全可以說是關系到企業(yè)命運的大事，不管愿意不愿意CIO其中的一個職責就是要保證網(wǎng)絡安全。如果公司的信息系統(tǒng)脆弱不堪，CIO必須對此負責。那么，CIO應該制定什么措施來履行這個職責呢？

(1)明確崗位職責，保障網(wǎng)絡安全

CIO重要責任之一是保障本公司網(wǎng)絡的安全、完整與可用性。這項工作不能外包出去，也責無旁貸，因此要在崗位職能上明確規(guī)定。CIO要有特許權，只要檢測到網(wǎng)絡安全違反行為，就要收集、分析與調查事件。例如職責上明確規(guī)定負責安全協(xié)調，確保影響網(wǎng)絡安全的職能是集成在業(yè)務流程過程中而不是獨立的任務。同時要進行評估網(wǎng)絡安全受到危及或有受到危及之嫌的每一個事件，并把網(wǎng)絡安全的質量、健全性和可靠性通知和報告高層管理人員。此外，CIO還應該指導開發(fā)人員，確保網(wǎng)絡安全成為IT系統(tǒng)設計不可或缺的一部分。

(2)力爭在網(wǎng)絡安全投入足夠預算

CIO要力爭并確保足夠資金投資于IT系統(tǒng)的安全項目。密切關注公司要為網(wǎng)絡安全劃撥一定金額的預算，以承擔安全成本，例如防病毒軟件、防火墻服務器、加密軟件、入侵檢測系統(tǒng)、集中安全管理等成本。公司高層主管有時會認為CIO對網(wǎng)絡安全過于大驚小怪。但CIO要清醒認識到：“至關重要的計算機設施出現(xiàn)安全問題造成嚴重損害的故障只是個時間問題。對于網(wǎng)絡安全，生于憂患，死于安樂的意識并不是傳說中的事情，擔憂有人對公司的網(wǎng)絡構成危害的心態(tài)，并非總是基于想象中的恐懼。如果你想到有競爭對手希望你公司遭到危害，那么謹小慎微對生存而言也許絕對必要。

(3)定期進行網(wǎng)絡安全檢討會議

在明確了網(wǎng)絡安全目標之后，CIO應當就網(wǎng)絡安全問題定期地舉行檢討會議。一旦安全會議檢查到現(xiàn)有的業(yè)務運作存在網(wǎng)絡安全問題，或評估以往安全措施的執(zhí)行情況存在問題時，CIO就需要設立一個解決網(wǎng)絡安全的時間框架。每月進行安全討論聽上去好像很多，尤其當公司各安全團隊是散布在不同的地區(qū)，但是CIO從中所獲得的回報是在當月接下來的日子中可以確保公司網(wǎng)絡安全，以確保公司業(yè)務能處理日常工作。