| 出版日期:2002-09-02 总期号:527 本年期号:32 |
|
 |
网络处于几级保护?
张虹 互联网技术的发展使人们的生活发生了巨大的变化。然而,伴随而来的黑客、病毒又使人“谈网”色变。可以说,信息网络安全对于当代网络经济生活具有极其重要的意义。那么,用户是不是已经意识到这一问题?他们是如何保卫自己的网络“家园”?本期我们选取了中国轻工业信息中心、南昌飞机制造公司、凌源钢铁公司、兴澄特钢公司、工商银行上海分行、中国银行、中软宁波开发中心、重庆长寿化工、中国再保险公司、内蒙人寿保险公司等国内20家政府和企业用户,去了解一下他们的故事。 网络“家园”,安全在先 我们知道,网络安全的好坏决定了整个网络运行是否高效、稳定、可靠,也成为了互联网发展的瓶颈。网络安全并不是产品,它是一个包括了硬件、软件、网络、使用者的交互的复杂系统。在这条链上,任何一个环节出现问题,安全将不复存在。正所谓千里之堤,毁于蚁穴。也就是说这条链子的强度由链子最弱一环的强度决定。应该说,这是目前为止对安全表述最清晰的定义。 
图 企业采取的安全措施 网络安全的特性决定了它是一个不断变化、快速更新的领域,也意味着人们对于网络安全领域的投资是长期的行为。这就决定了用户首先要树立正确的“安全观”。实际情况如何呢?根据采访我们了解到,被访到的所有企业都认为网络安全是重要的。不过,到底“重要”到何种程度就意见不一了。实际上,网络安全是动态发展的问题,而企业的网络安全是一个系统工程。客观上来说,从来没有100%的安全,即使投资再大,也会因管理疏忽、内部泄漏、系统升级等因素造成安全隐患的产生。不过,不少用户没有认识到这些。在采访中发现,大约有50%的用户对“安全”只有皮毛了解,觉得有了防火墙就可以万事大吉。也有企业认为自己目前还只处于局域网阶段,尽管网络安全很重要,但现在还面临不到网络安全问题。或者认为目前信息化建设只处在初级阶段,只要有物理隔离、密码、权限设置就足够了。还有的企业认为由于是局域网,安全问题不是很严峻,殊不知很多有威胁的攻击正是来自是企业网内部。甚至调查中有人认为自己采用ADSL上网,又有定时关机,而“高手”也不会攻击自己的网络。凡此种种,可以看出,不少企业对网络安全的认识明显不足,忽视了脆弱的口令、开放的网络端口、旧的软件版本、不必要的旧账户等对企业的网络安全的威胁。 看来,“嘴上”说网络安全重要很容易,能落到实处才是“真正”的安全。在采访中也发现了做得比较好的用户,比如以交易为中心的金融行业的用户,由于与外界的互联性和共享性强,他们对安全问题显得极为重视。此次采访的中国银行、工商银行上海分行都采用了防火墙、安全认证、入侵检测等各种防范措施。他们的安全工作做得相对更实在。除了金融和证券业外,保险、教育领域的安全意识也在加强。此次采访的中国再保险公司,他们有专门的防火墙,购买了先进的软件,有专人维护,并且准备加大投入,继续完善安全机制。在教育领域,南京大学和中央民族大学都曾出现因受到攻击而影响全校师生上网的情况。因此,对于网络安全,他们也看得非常重要。目前这两所高校都有防火墙,并且也有专人维护,比较有效地保障了网络的安全。 因噎废食,令人担忧 在采访中,60%的用户都提到由于资金有限,安全方面的投入很难保证,从而影响了系统的安全建设。作为企业的信息部门,虽然知道网络安全的重要性,并且也有一些相应的计划,只是苦于没有资金,有心无力。有企业的信息部门甚至提到,自己只是执行部门,连建议权都没有。 重庆长寿化工信息中心的万先生告诉记者,由于行业大环境不太好,客户一直也就是那些老主顾,电子商务还是一个很“遥远”的问题,因而公司的整个信息化建设投入都极其可怜。现在主要还是局域网应用,与Internet接触并不频繁,现阶段的安全措施也都比较原始,安全性令人担忧。而沈阳机床股份公司、大连瓦轴集团、南昌飞机制造公司、凌源钢铁公司的信息中心负责人都提到,由于资金投入不够等原因,企业采取的主要安全措施就是使内外网隔离。这种做法确实可以加强安全性,但同时企业的信息化进程也受到了很大的限制。这种方式在现阶段可以暂时用一下,但长远看,企业信息化、电子商务必然会打破内外网隔离的限制。 事实上,目前国内各行业普遍存在“响应”速度迟缓的问题,无论是技术的更新、防火墙的维护还是产品的升级都比较滞后。虽然某些行业的硬件投入很大,但在安全方面的投入也还是让人摇头,这也正是企业只注重眼前利益轻视安全的长远效益造成的。 未雨绸缪,利在长远 可以说,在现阶段,目前我们所利用的技术、产品还是勉强可以满足要求的。因为现在还处在互联互通、共享信息的阶段,而且共享也仅仅是数据、信息的共享。因而保护措施很简单,只要将不希望被破坏的、看到的信息保护起来就可以实现。然而网络蓬勃发展的动力就来自于开放,正是开放的需求才出现了Internet,才有了电子商务等应用的蓬勃发展。这种开放性,在经历了简单的信息交换/共享的初步阶段之后,将走向更高级的阶段:网络计算。网络计算的目的就是为了充分利用现有的计算资源。现今出现的Web服务、网格都是网络计算的应用。那么,在这种情况下,过去旧的想法已经不适合了,企业信息安全面临的威胁将会显著增加。 所幸的是,无论现状如何,大部分企业还是看到了这一问题的严重性。在受访的企业中有80%都有规划改进安全防范措施。工商银行上海分行的负责人介绍说将更加重视安全,未来几年最少要投入百万元来改造安全措施。沈阳机床股份公司的牛先生也认为未来会有60万的投入。而辽宁电力总公司信息中心刘主任则告诉记者,公司是国家电力的安全示范单位,以前在安全上做得不错,今年将投入百万元左右继续完善,争取做得更全面。凌源钢铁公司的周总预估公司在安全方面的投入近百万元。而中国银行信息部负责人介绍说,现在中国银行网上银行交易量不太大,门户也只是发布信息,所以目前他们只需要采用多道防火墙交互保障基本就可以满足需求了。下一阶段将主要是改造认证,像第三方认证。因为要推进网络银行,所以安全方面肯定要有更大的投入。北京供电局信息中心的孙主任也提到,目前有防火墙和入侵检测等措施,也没受到过攻击,但仍然要继续加强安全措施,会增加漏洞扫描等措施。大庆石油管理局信息中心负责人介绍说,现在的安全措施暂时够用,但也有不少问题,隐患很多。公司下一个“五年规划”中也包括安全方面的考虑。 任重道远,重在发展 从整个采访结果中可以看出,虽然我们都在强调网络安全的重要性,但现实却相去甚远。事实上,这是和我国企业,特别是一些传统的制造业的信息化进程有着直接的联系。由于信息化进程慢,或者说有的企业对于信息化没有长期的规划,从而使得网络安全问题没有得到应有的重视。而且,在采访中,我们发现关于灾难备份等方面提及的人很少,大约只有不到20%的用户谈到。这也是令人忧虑的一部分。 此外,对于安全问题解决得比较好的一些领域比如金融、教育等领域,我们可以看出,安全不仅仅是资金的问题,而且也是人才的问题。也就是说一个企业要想做好本企业的网络安全工作,就要考虑到资金、人才、管理等方方面面的问题。 |
||||||||||||||||||||||
