谈信息安全服务的未来——TMES

威胁已经从外部转向内部

根据美国洋基集团（Yankee Group）一项针对北美和西欧六百家公司的调查显示，2004年的安全问题有5成源自内部，高于前一年的3成。该集团表示：「威胁已从外部转向内部」。每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日，有可能因为一个访客携入的计算机而瘫痪几千万IT设备。

隐性破坏，难以察觉

从病毒造成破坏的情况来看，系统与网络无法使用、浏览器配置被修改、使用受限和数据部分流失是病毒的主要破坏方式，其中针对网络的破坏呈现上升趋势。这些破坏都属于显性破坏形式，易发现、后果明显，容易恢复。然而近期针对盗取各类敏感信息的木马程序呈现上升趋势。这种盗取活动往往较为隐秘，用户难于发现，属于隐性破坏，具有隐蔽性强、危害性大、目标明确的特点。攻击目标集中在用户的银行账号、网络游戏的装备等信息和虚拟资产，将是今后病毒的主要破坏形式。

病毒感染率持续居高不下

全球网络病毒感染率自2001年以来一直处于高水平。感染过网络病毒的企业用户数量占被调查总数的73%，2002年为83.98%，2003年增长到85.57%，2004年网络病毒的感染率达到87.93%。



图- 2004 年与 2005 年的这段期间所侦测到的计算机病毒几乎一样都是1300个，相较于 2004 年，2005 年的第二季与第三季所侦测到计算机病毒总数都增加了一倍。去年第三季的数量为 2675 个，而今年的数量为 4716 个，逼近 5000 大关

大多数企业忽略了信息安全管理的重要

为何这么多的企业花费高昂的成本添购信息安全设备，但病毒爆发的烽火未曾在企业网络销声匿迹?细究其原因，我们不难发现，太多的企业把信息安全当作技术问题来处理，而忽略了管理的重要。许多企业尽管拥有了先进而昂贵的信息安全设备，但「政策」或「人」往往无法配合，产生了很大问题。比如系统缺乏妥善的监控与持续的警觉性、错误的设定等等。因此最好的信息安全设备，未必是最安全的设备，因为许多安全问题，不是因为产品的功能不佳造成的；即使企业上了层层关卡，却可能因为被破解的管理者密码、help desk维修后未关闭的开放权限、轻易分享所有人的网络数据夹….等管理盲点，为黑客及病毒开启了许多后门。因此，我们不难发现，企业信息安全是管理问题，而非单纯的技术问题。唯有妥善的管理，才能降低风险，避免不必要的损失，并能持续企业的营运，积极地掌握每一个商机。

这样的描述，也许无法让您深刻了解信息安全问题的本质。我们提供以下十个信息安全管理测试问题，让您进一步地检视您的组织中信息安全的状况。

1.您能随时提出上个月有多少计算机遭感染、多少计算机因此无法运作、平均复原时间有多长…等安全管理报告吗？

2.您知道哪些机器的port 6667总是开启着，成为 bot 黑客 程序进出系统的后门

3.您能确认漏洞发布后的4天内完成所有修正程序的安装，没有任何一台机器有漏洞，使病毒与黑客有机可趁吗？

4.您知道贵公司中，那些使用者总是打开网络钓鱼页面，或误开别有用心的色情文件吗？如何隔离或处理这个高危险人群呢?

5.您能确认贵公司现行的防毒与信息安全软件足以对抗任何型态的网络威胁吗？

6.您能确认贵公司现行的网络安全基础架构，适合贵公司的现状吗？

7.您能明确说明贵公司目前投资的安全方案，投资回报率有多少吗？

8.您能正确客观的评估组织的防毒能力，了解那些信息安全警报值得花时间分析，并提出改善目标以及其优先级吗？

9.每次病毒爆发事件，您都能从容不迫地协调所有相关人员，并实时应变吗？

10.您能24小时全年无休地监控网络异常活动、封锁内部安全缺口，实时解决网络威胁隐患吗？

如果您无法回答所有的问题，表示您目前完全依赖防毒产品以及被动的技术支持，来解决信息安全问题。换言之，您仍然将信息安全当做技术问题来处理，忽略了管理的重要性。这样的做法，可能会让贵公司在不知不觉中，成为下一波网络攻击的目标，以及未来病毒爆发受创最深的公司之一。

在这样的前提之下，到底哪些管理问题，是企业信息安全最大的挑战呢?

网管员面临的六大管理难题

根据趋势科技全球防毒研发暨技术支持中心TrendLabs分析归纳指出，企业信息管理部门目前面临的信息安全管理难题，主要有以下六点：

(1) 光靠防毒及其它信息安全软硬件，并不足以对抗网络威胁

(2) 针对漏洞发出的攻击，让人根本来不及反应

(3) 没有人能够24 小时全年无休工作。（除了间谍软件等恶意程序）

(4) 缺乏中毒的网络管理日志历史数据，无法拟定正确的防毒策略与管理计划

(5) 员工总是无法从每次病毒灾难中记取教训

(6) 商机与商誉，在网络恢复运作之前，只能眼睁睁地流失

这些信息安全管理上的难题，往往并非企业中的信息部门人员可以独力解决的。许多企业将所有的问题归咎于信息部门人员，不但不公平，同时也无法真正解决问题。信息部门多样而繁杂的工作，以及有限的人力，使得信息安全管理的工作，成为其沉重而无法独力承担的责任。有时问题出在哪里，不容易察觉，更遑论灾害事前的预防；而有时即使可以找出问题，但种种资源上的限制，如人力不足、工作繁重等，使得问题无法被解决。因此，寻求专家的协助，是确实而有效解决信息安全管理问题的最佳途径。

信息安全服务：未雨绸缪化解威胁

信息安全专家所提供的服务方案，应针对威胁周期的每个阶段，提供企业所需的服务。以人类的健康检查作为比喻，信息安全专家应不只是被动地拿着处方笺开药的药剂师，而应扮演企业的「全天候健康管理顾问」与「专属医生」的角色。为了让企业在连上网络时，不至于因病毒事件影响企业运作，专家服务方案应在网络世界扮演着类似世界卫生组织角色，对于各种威胁网络健康的疫情，都能主动防护、密切的监控并提供解决方案。

在禽流感疫情逐渐扩散期间，世界卫生组织为避免禽流感成为全球性的灾难，主动协助各国卫生单位进行相关检验（诊断），公布禽流感高危险区域，并提出防制之道（规划），发布各疫区威胁等级，协助处理最新爆发的致命疫情（执行），严密监控疑似病例并观察是否已转为更加致命的型态（监控）。一旦某区域爆发变种疫情，世界卫生组织会迅速提出控制疫情改善方案。同样地，持续监控应是信息安全专家服务方案的主要着眼点，在全天候中央管理的持续监控下，一有风吹草动，网络安全专家立即出动提供所需服务。24*7的实时且专人不间断监控，就好比在企业网络植入隐形芯片追踪一般，随时掌握状况，化解未知威胁。这样的做法，能够比客户更早掌握状况，且可在第一时间内主动防御，在灾害未发生或规模不大时，就将问题解决，而不是等到灾害大量扩散至整个企业时，再来收拾残局。

也许有人会说，企业可以自行进行监控，来达到及早预防的目的。但问题是，企业可能拥有各项信息安全管理工具，却不见得知道如何着手建立信息安全架构。就像网络生病了，却不知道买回的成药，是否适合企业体质一样。而通过信息安全专家的监控中心，持续分析企业内部的安全事件，建立企业内部防毒效能的安全指标，找出企业内部的安全隐患，并提供专业的解决方案和建议来改善企业内部的防毒效果，应该是一个更妥善的方式。以保安业来模拟，多数的企业通常并不自行征聘内部人员，来做办公大楼的安全监控，而是寻求保安公司的专家协助。主要的原因，并不在于不知道如何采购大楼的录像监控设备，而是希望能够借重保全专家的知识及经验，达到有效的监控。

我们认为，成功的防毒专家服务方案，应该要针对内部的隐性威胁，诊疗把脉，量身订作，提供未雨绸缪的预防性维护，以防止病毒爆发，并确保营运不中断。尤其重要的是，这些防毒专家服务方案，应该提供全天候戒备的防毒专家、安全威胁生命周期(security threat lifecycle)的全程管理，再加上通过独特的评量方法，来评估顾客的安全防护效果。

信息安全服务的必要工作

以下几项工作，是信息安全服务中所不可或缺的：

1. 提升组织整体安全意识
   
   安全政策，不应再单单是信息部门的责任：企业对于组织安全的认知，应通过整体安全分析与定期健康检查获得提升
2. 强化执行作业程序
   
   使内部弱点威胁，不再有机可乘：提倡强制实施应变作业流程，并针对特定目标提供安全训练，协助建立必要的作业程序，以降低并控制病毒爆发事件的损害。
3. 建立应变能力
   
   将危机处理程序标准化，不再手忙脚乱：信息支持人员能在最短的时间内取得专家所提供的病毒码、清除工具以及病毒信息，能针对病毒爆发事件拟定一套顺畅且有效的应变措施
4. 建构安全环境
   
   与全球数百名安全专家并肩抗毒，不再孤军奋战：寻求防毒安全厂商数百名专家的帮助，来进行防毒架构设计与防毒解决方案部署等工作，协助企业强化信息环境的安全性。

量化管理报告，确实评估网络安全投资效益

除了以上提到的信息安全管理工作之外，一般企业通常难以评估安全方案的效益。因此，提供专家服务的厂商，也有义务提供创量化式的风险管理，在评估阶段，依照持续观察追踪，提出改进之道。就如同医生在病人服药后的某段期间，可依据公认的各项健康指数，如骨质流失状况、胆固醇指数改进状况等等，追踪病人的健康状况是否确实改善。评估之后，再决定是否需要更改处方。

又比如每年流感的抗药性可能增强，或人们的免疫力可能减弱，流感疫苗需要不断改良，重新研发，而人们也必须从事运动或其它保健活动以增强免疫力一样，防毒专家服务也必须依据病毒型态，以及客户组织现状的改变，重新分析评估。防毒顾问服务应扮演着公正客观的中立分析者角色，通过防毒效能指标的评估，检查并修改目前的效能指标，以确保或增进防毒效能。另外，防毒安全专家也必须提供系统化的防毒分析报告让客户检视防毒的效能，并定期提出防毒建议。这样可以随时根据企业组织体质调整、自我更新的网络健康服务，是购买软件包的成品药式方案所无法比拟的。

管理报告项目建议

以下我们提出对管理报告项目的建议。防毒安全专家服务必须要能提供这些信息，才能称得上全面与完整，对企业有真正的帮助。

步骤1-背景分析：防毒产品部署效能，一目了然

分析用户网络内部防毒产品的部署情况，并以企业整体防毒体系的角度，找出其中存在的问题并给与建议。



如图所示显示了当前企业内部的防毒软件的安装以及运行状况，由文字和图表两部分组成；文字部分对企业内部的防毒产品安装状态进行综述，对存在的安全问题加以提醒；图表部分将每种不同产品的安装状态分别使用两个不同颜色的柱状图表示，绿色柱状图代表了企业安装的防毒产品的数量；棕色柱状图代表了当前运行良好的防毒产品的数量；如果两者之间的数值不相同，则代表了企业内部有部分产品处于不正常运转的状态下，需要监视原因并进行修复。Online Product Count的数值是提取数据当时的数值，由于该状态随时会发生变化，所以需要在介绍时特别加以说明。

步骤2-整体防护效果综述：认知防毒改善情况

为了便于用户在了解详细信息之前，对企业内部网络中的防毒状况有所掌握，对企业内部一个月来的病毒感染情况做整体的概述，并对几个月来的病毒发展趋势做出对比，使用户能对目前的防毒状况和改善情况有进一步认识。根据感染情况分析中的几项重点内容进行分析，包括

1. 整体病毒分析 (Overall Virus Analysis)
2. 病毒爆发事件分析 (Virus Outbreak Event Analysis)
3. 前五大病毒感染分析 (Top 5 Infected Virus Family Analysis)
4. 感染状况分析 (Infected Range analysis)

步骤3-感染状况分析：阻绝5大病毒家族入侵源头

在感染状况分析的部分，应对企业内部病毒感染情况作出详细的报告及分析

1）首先会针对三个月来的整体病毒侦测状态做出比较，并对侦测到病毒数最多的几种病毒家族的入侵方式作出分析，从整体防毒策略上作出方向性的指引。

2）分析企业内部的Outbreak事件，了解用户对控制大规模病毒传播的能力并提供改善意见。

3）通过分析网络内部实际感染的前五大病毒家族，了解网络内部真正存在的漏洞及隐患，并提出解决方案。

4）列出一个月内感染最严重的计算机和前五大感染源，便于用户解决存在的病毒问题并杜绝病毒源头。

对于已侦测病毒的分析，主要帮助用户整体规划病毒防护策略；但是我们知道，防毒策略的有效实施牵涉到很多的环节，包括企业在防毒产品的全面部署、病毒码的实时更新、防毒软件的效能，还有用户的行为习惯等等方面。无论企业的防毒策略做的多么完善，一个用户不安全的习惯就会在整体上造成内部网络的大面积感染，因此，需要从感染现状上来分析造成感染可能存在的原因及漏洞。我们建议具体对这些问题进行分析，给用户一个清晰的认识并提出我们的建议。通过本页的分析，找出网络中感染最严重的五个病毒家族和这些病毒家族感染的范围，通过这些家族的病毒特性，推断网络中可能存在的病毒隐患和漏洞。

步骤4-弱点分析及建议：专业建议，化解潜在危机

完成了感染情况的分析后，我们对企业内部一个月来的病毒状况有了初步的认识，接下来我们会进入弱点分析及建议部分，在这部分内容中，我们建议首先根据企业的病毒感染情况分析企业可能存在的病毒安全漏洞和隐患，然后根据这些潜在危机提出专业的建议。

ROI让IT部门从「花钱的部门」变成「省钱的部门」

采用上述的防毒专家服务将会有哪些利益？最明显的是员工被成功教育为信息安全负责，计算机中毒时不但不再冲动拿起电话开骂 IT部门，反而会为自己违反公司安全政策，影响公司网络安全而自责。从「千错万错都是 IT 部门的错」到「安全政策，不再只是 IT 部门的事」。当然，这只是防毒专家服务方案在提升组织安全意识这环节所应达到的利益之一。最领先服务趋势的是，连向来难以计算 ROI 的信息安全投资，也可以提出具体数字，让 IT 部分从「花钱的部门」变成「省钱的部门」。就短期来看，防毒专家服务方案的利益将反映在病毒爆发事件数量、使用者工作停顿时间以及损害严重程度的缩减。病毒爆发次数、影响范围、以及停机时间缩减之后，将能产生极大利益

根据趋势科技的估计，采用这样的防毒专家服务方案之后，整体损害将能降低 98.6%，病毒爆发次数可减少66%，损害影响范围可缩减50%，而停机时间可缩减92%。



*基准线代表只使用防毒软件的公司

就长期来看，利益将来自于公司整体安全性的提升。当顾客组织的认知程度、应变程序与安全环境因采用防毒专家服务而有所改善之后，恶意程序所造成的损害将迅速减少，而且通过全程的网络威胁生命周期管理，让总体成本不会因病毒爆发而突如其来地攀升。

结语

在今日的企业环境中，信息安全的问题，已由技术层面，扩大到管理层面。唯有正视信息安全的管理问题，寻求信息安全专家的专业服务及帮助，才能真正解决企业的信息安全问题，同时维持企业营运的不中断。本文提出了信息安全专家服务的价值所在、应该做到的各项工作，以及量化了所能达到的效益。信息安全是一项艰难而却必须持续的工作，但若方法得宜，并由专家提供专业的服务，相信企业必能避免因信息安全问题所带来的各种灾害，让信息部门的资源不再损耗于信息安全灾害的善后处理，能够从事更有生产力的工作，大幅提升企业的竞争力。