SMB安全“四问四答”

在回答这个问题之前，IDC的一组数据则相当有趣，根据2007年第二季度对500个SMB样本进行的调查，当前中小企业市场中对防火墙的需求在异军突起，增幅超过了反病毒软件的需求。

这一事实说明，中小企业的安全重点在发生改变。此前神州数码网络的安全专家王景辉在接受采访时表示，2007年国内中小企业的安全问题主要集中在两个层面：第一，企业网外部；第二，企业网内部。企业网外部包括：病毒、间谍软件、垃圾邮件等网络威胁；企业网内部包括：公司员工泄密、公司信息管理不谨慎等问题。

除了以上所面临的安全问题之外，中小企业还会在2007年频繁遭遇到网络阻塞、系统瘫痪、信息传输中断、数据丢失、拒绝服务攻击、端口扫描攻击、篡改网页等问题。从某种意义上说，小型企业面临着与大型企业一样的挑战和安全威胁。

目前来看，病毒、间谍软件、垃圾邮件等网络威胁会破坏中小型企业的业务运营，对员工生产力造成影响；隐藏在电子邮件或网页中的威胁消耗着系统和网络资源，并增加了支持成本；而一些间谍软件则偷取财务或其他保密资料，对企业造成了很严重的威胁，影响了企业的经济效益，降低了企业在市场中的竞争力。

作为国内中小企业的代表，北京猫王家具的IT负责人曾透露说，传统的中小企业更关注的是企业的整体增长，而不太去关注安全问题，因而在解决安全问题中拥有的资源较少。但伴随着以熊猫烧香、灰鸽子、ARP攻击、钓鱼攻击、垃圾邮件等问题，2007年的中小企业在安全上的投入明显增多。而这正好解释了为什么越来越多的中小企业开始关注防火墙、UTM、反垃圾邮件等设备。

对此，不少长期扎根国内SMB市场的安全厂商体会更深刻。大东网络的市场总监邓雷、卫视通的网络安全产品经理张卓、深信副的安全产品经理邬迪、侠诺科技的安全专家张建清，四个人在谈及此问题时观点颇为一致：当前通过互联网的针对中小企业的网络攻击越来越多，这对于业务依赖性较高的SMB市场冲击很大，因此在2007年越来越多的国内中小企业在网关安全设备上进行了较高的投入，有些企业甚至将其定位为必选设备。

专家的看法是，作为串接在内外网络之间的一道重要屏障，各种网关安全设备本身是否安全、可靠和易用，直接关系到中小企业整个内部网络的安全。而中小企业作为一个全新的安全市场，必然对其有特有的要求。

事实上，此前天津武清报关行的IT负责人在接受采访时就谈到，中小企业并非对安全不重视。相反，现在有越来越多的企业把IT当成其竞争力之一，而在此基础上的安全投入也比2006年同比增长了50%以上。

用户问：除了防火墙和反病毒软件，还需要什么？

专家答：从被动防御到主动预防

用户的关注度高了，对市场而言自然是好事情。可仅仅依靠防火墙与反病毒软件来处理SMB的问题，显然有些捉襟见肘。王景辉提示说，防火墙和反病毒软件，仅能完成的是来自外部的端口扫描、攻击以及终端病毒防护。而今天，企业网络面临的威胁不仅是病毒和外部的入侵，还来自于内部的ARP欺骗、关键信息的泄露、文件权限控制、以及网络的安全管理。在这种情况下，即便说中小企业需要全网的安全管理也不过分。

此外，现在许多攻击或恶意软件，是以网页合法的内容被浏览器读取，之后再自动执行到外面下载软件的工作，再在用户计算机上组合成攻击的应用程序。这种法作，躲避了防火墙和反病毒软件，这两者都需要特定特征来辨别恶意软件的特性，因此阻挡的效力很小。

在此问题上，北京宅急送的IT工程师王文辉认为，中小企业依靠防火墙与反病毒软件的组合仅能解决一部分问题，令他担忧的是，现在越来越多的攻击行为与安全隐患都是通过HTTP进行的，这在传统的防火墙防护上是一个盲区，而很多企业缺乏有效且高性价比的方式来进行防御。

其实，他的观点代表了很多中小企业的一种看法，如何在保证性价比的条件下促使企业安全从被动防御向主动防御过渡，已经成为了2007年的焦点。对此，邓雷表示说，传统上对外网攻击的防御确实属于被动的方式，这样的安全策略只能治标不能治本。他认为今后的安全产品是在企业要发生安全问题之前提前预防，帮助企业网络管理人员合理分配网络资源，设置网络协议让安全问题提前扼制。换句话说，随着安全问题的不断发生，网络安全并不能全部解决，但是可以有效防范。

安全的防范包括很多方面，目前来看以UTM和网络行为管理AC为代表的网关安全方案，都是比较适合中小企业的技术。

不过IDC的报告指出，目前全球连入Internet的计算机中约有三分之一是处于网关安全设备保护之下。在这种条件下，如果SMB用户决定设定此类设备，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略。对此，张卓提醒中小企业用户注意，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的。安全网关的隔断作用一方面加强了内部网络的安全，另一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在设备上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。因此设备本身的性能如何，是需要用户需要关注的。

另外要强调的是，网络安全是一个系统工程，既有层次上的划分、结构上的划分，也有防范目标上的差别。一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。

用户问：针对安全产品管理的复杂度，企业如何平衡？

专家答：用集中管理平台解决问题

安全重视了，设备部署了，随之而来管理的问题就突出了。南车集团北方区信息安全专家刘洋在接受采访时表示，对于中型企业而言，安全产品的管理复杂度一直都是挥之不去的问题，防火墙、VPN、上网行为管理、反病毒、反垃圾邮件，从网关到内网，设备越来越多，但IT部门的人力总是不够用。他表示，很多中型企业都渴望从复杂的设备管理中解脱出来。

事实上，这个问题在去年夏天就被提出过，当时为了应对各种混合攻击的威胁，越来越多的安全设备都在从功能上进行整合，只不过今年这个趋势更加明显了。王景辉认为，当前很多企业对于网络安全产品的集成化和管理性需求凸显，在此基础上UTM的出现在一定程度上解决了企业的部分问题。毕竟将多种安全特性集成在一个硬件设备里，自身就已经构成了一个标准的统一管理平台。这种集成是无缝的，可以满足企业在最低人力下的安全管理。

UTM是一个很好的“捷径”，但对于规模稍大的中型企业而言，UTM的性能问题仍然没有完美的解决方案。在这种情况下，规模大些的企业需要对现有安全管理进行简化。此前大东网络曾给记者演示过其专门为中型用户提供的安全集中管理平台。新平台简化了传统的设置程序，显示界面也很简单，产品自身也提供了从基本安装向导设置到复杂的高级设置的功能，从而可以满足不同层次的网络安全管理的需要。

另外，除了利用第三方平台，很多企业也应该从设备的选择入手。张卓表示，企业在不断部署安全产品的同时，应该关注各种设备的管理特性，要求其支持设备本身的集中管理和提供第三方安全管理平台的管理接口。此外他也认为，单一安全产品的管理是无法面对目前复杂网络的管理需求的，所以企业可根据需要选择合适的统一安全管理平台，实现安全策略的统一制定、分发、执行和监控。

用户问：中小企业的安全挑战与应对之道？

专家答：关注新技术，从管理角度考虑问题。

此前记者在天津武清报关行的采访中发现，一家只有200人的企业，却部署了大量的SSL VPN应用。更令人吃惊的是，该报关行的IT负责人表示，他们今后会进一步扩大应用规模，同时考虑加入业务连续性的技术。而对于由此带来的项目风险他却不以为然，“船小好掉头，用新技术可以增加竞争力！”

一句普普通通的话道出了中小企业的特点，敢于应用新技术，而这对于中小企业应对安全挑战至关重要。前面说过，相对于大型企业，中小企业所面临的安全问题并不简单。卫士通近期发布的2007中国中小企业安全调查报告显示，国内中小企业面临的安全挑战可以归为：恶意代码、间谍软件、邮件内容安全、Web安全、内部控制与安全审计。其中，恶意软件对中小企业造成的危害最大。国内超过67%的计算机都不同程度感染过间谍软件，间谍软件增加了中小企业有限的IT资源的负担，降低系统性能与稳定性，危及数据安全。

此外，中小企业需要面临内部控制与安全审计的挑战，法律、法规以及行业规范要求进一步加强企业内部控制，防止因流失或泄漏机密信息或员工不适当言论引起的法律责任。另外，中小企业还有来自Web的安全挑战，这些挑战将导致企业生产效率下降，无法确保业务的有效运行。

这么多的威胁，需要相关的技术来解决，对于很多新型安全技术，传统的大型企业有顾虑，比如在是否采用SSL VPN、业务连续性方案、IPS、终端代理和Web过滤的技术上，不少大企业采取了观望的态度。但对中小企业而言，如果希望面对威胁能够做到从容应对，大胆采用新技术是一个捷径。

当然，所有的新技术必须使对地方。就目前的情况看，频繁出现的垃圾邮件，已成给不少中小企业IT人员敲响了警钟，日后企业用户势必对网关安全防护过滤设备提出更高的管理要求。王景辉总结说，眼下国内中小型企业的安全挑战正在从网络层向应用层转移。而且目前许多中小企业的管理模式偏重于生产、人员、后勤的管理，而不重视企业内安全信息的管理。中小企业需要加强内部行为的控制和文件的审计、整网智能安全的安全准入等众多方面。

另外，中小企业用户需要注意的是，安全作为一个系统问题，有时候需要从管理的层次考虑。对此，邓雷介绍说，企业管理层在解决安全问题时，主要是从企业的业务开展和网络管理方面去考虑整体的安全策略，而网络安全产品的应用是否会影响公司网络的正常使用，产品的设置是否简单是企业管理层比较关心的问题。

目前的情况是，在中小企业安全设备应用过程中，有效管理经常面临挑战。员工对企业网络的不规范使用，容易致企业资源浪费、效率降低等问题，这些问题会严重影响企业的正常发展。目前一些优秀的中小企业用户已经开始通过内部的用户管理、行为管理、内容控制来规范网络的安全应用，而从技术到管理的关联，包括利用管理平台实现良好的管理机制，都是企业需要注意的内容。

对中小企业的安全建议

关注企业网内部管理、注重企业网外部管理、实现集中服务器管理，这将构成中小企业的三道防线。

中小企业也有差异，不同用户的经验与需求不尽相同，各种安全配置需要安全定制。

SSL VPN可以称为最具应用条件的网络技术，它将帮助中小企业实现权限规定范围内的信息安全存取。

给操作系统打补丁、培训员工防制欺骗的知识、将计算机远程桌面功能关闭、利用加密机制，都是中小企业高性价比的安全措施。(ccw-cnw)