| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
安全 从风险入手
——主动安全防护产品透析 陈友梅 业务链的不断延伸,使得企业系统的复杂度在日益增高。特别是越来越多的企业已经将合作伙伴和供应商添加到自身的业务流程中来,以便更好地协同工作。对于这些企业来说,应用安全问题是一项重大挑战。Gartner Group数据显示,70%的安全损失是由企业内部原因造成的。由此可知,企业亟需在开放内部访问和防止对业务造成伤害的过度安全保护之间找到最佳的平衡点。 以往,企业都采用在各个单独的应用之中编写安全代码的方式来解决安全问题,结果造成了安全孤岛。但凡企业要添加/删除组件,或更改用户在应用中的安全级别,都需要对所有这些安全孤岛进行人工升级。这样的做法不仅加剧了风险性,更使开发、集成和管理的成本日益膨胀。11月13日,在CA安全产品四城市巡展启动仪式上,CA(中国)有限公司产品经理谢春颖女士强调,主动部署安全应该从风险入手。她认为,企业首先要对其所承受的风险进行分析,哪些风险企业能够承担,哪些不能。对企业来说,风险大的部分就是部署安全的重点。因此,主动安全才是企业的必需。 从目前市场上主流的安全产品来看,主要通过以下三种途径来部署主动安全策略。 从最终用户入手 瑞星在其2004单机版中首次提出“立体防毒·单机整体安全策略”,它强调的是“整体防御”和“专向防御”两个概念。新版软件在采用结构化多层可扩展(SME)技术研制开发的第五代杀毒引擎的基础上,集成了“漏洞扫描”和经过最新改进的“行为判断查杀未知病毒技术”两大功能,旨在帮助用户对操作系统等软件的漏洞及时修补,并在软件升级前对新病毒进行提前防御。 
CA eTrust 安全管理解决方案组成架构 一直以来,杀毒软件总是摆脱不了被动的局面,主动防护似乎可遇而不可求。“瑞星2004”首次在其单机版中加入了“补漏、杀毒、防黑、数据修复”四位一体的整体安全策略,帮助用户主动防毒。 从系统层入手 安全是BEA基础件平台六大组成部分之一,日前推出的应用安全基础架构解决方案——BEA WebLogic Enterprise Security,采用了BEA独有的分布式体系结构和面向服务的作法,旨在实现集中式的安全策略可视化管理与控制,而不会影响企业的性能、可伸缩性和可靠性。同时,BEA基于标准的框架能够轻松集成到各种不同的IT环境,以及现有的第三方安全解决方案当中,使开发者无需再花大量的时间进行高成本的代码编写,并使安全管理员获得掌控应用安全的能力。 应用安全问题对于企业来说至关重要。BEA通过开放、基于标准和面向服务的框架,为企业建立统一、集成的跨企业安全策略,确保安全的数据访问,这是每一个系统软件厂商都必须面对的问题。 从关键业务系统入手 从全球安全市场发展趋势来看,3A(Administration、Authorization、 Authentication,管理、授权、认证)安全软件正在成为企业安全管理的下一个热点。IDC调查显示,3A安全软件到2007年的收入将达到51亿美元。谢春颖强调,以CA eTrust安全管理解决方案为代表的3A安全软件,能够超越传统的“堵漏洞”方式来帮助企业实现集成的、基于角色的安全管理,进一步实现从被动防御变为主动出击。 如上图所示,eTrust安全管理解决方案分为三个部分,即eTrust身份识别管理、eTrust访问管理和eTrust威胁管理,并通过eTrust安全总控中心(eSCC)为它们提供统一的直接显示和管理功能,从而协助企业实现全面的安全控制。同时,eSCC还能够与eTrust Vulnerability Manager集成,提高企业安全管理的利用效率。 eTrust Vulnerability Manager是CA最新推出的漏洞检测产品,它可通过基于资产的“由内至外”安全漏洞检测方式来提供整个企业范围的实时资产目录清单,通过集成和确认关键风险评估以及基础架构保护任务,从而有效地降低管理和补救安全漏洞的成本。 信息安全,重在管理。因此3A安全软件也就成为重中之重。CA利用其在3A市场的优势,通过其完整的安全管理解决方案,为用户提供了从被动防御到主动出击的有效解决方法。 |
||||||||||||||||||||||||||||
