正在阅读：网络安全方面的六大紧迫问题网络安全方面的六大紧迫问题

　　一、存在风险的服务器虚拟化值得采用吗？

　　从传统服务器改用虚拟机方案的优点在于，可以通过整合硬件来节省成本，并且大大提高灵活性。但是不太受人欢迎的影响是，会带来安全缺口和虚拟服务器散乱问题，这些风险遭到了审计人员的抨击。

　　Douglas Drew是英国电信（BT）集团新兴技术办公室的一名高级顾问，兼支付卡行业（PCI）标准的审计人员。他表示，虚拟机安全往往事后才得到处理。他说：“你如何来处理访问控制和审计工作？假设我把虚拟机实例从服务器机架A迁移到机架B：一个是需要物理徽章才能访问控制台的锁定机架、另一个不是这种机架吗？虚拟机管理程序是否允许管理员A和B相互分离，以便管理员A只能以逻辑方式访问系统A、管理员B只能访问系统B吗？如何根据架构出现的变化来重新评估风险？”

　　与较为传统的网络一样，虚拟机环境――不管基于VMware、XenSource还是微软的技术――都需要采取ISO 27002标准针对安全系统而规定的最佳实践。Drew说：“我们看到有些情况下，人们正是由于对安全不放心而迟迟不愿采用虚拟机。”

　　许多人表示，默认状态下的虚拟机软件还不够安全。

　　David Lynch是开发虚拟机生命周期管理软件的Embotics这家新兴公司的营销副总裁，他说：“虚拟机是移动的，设计初衷就是这样。你拿来一台物理服务器后，对它进行克隆，结果就失去了物理服务器的身份；而你现有的管理工具基于这一概念：你拥有物理服务器。”

　　Lynch认为，照目前的设计来看，VMware公司的虚拟中心（VirtualCenter）管理软件无法阻止虚拟机散乱问题，因为虚拟机的身份号可以更改及重新设定。他补充说，不可能确保使用不止一个虚拟中心的企业只有惟一的虚拟机身份系统。

　　可与虚拟中心管理软件兼容的Embotics软件采用了密码散列，并结合虚拟机元数据，标明虚拟机身份的合法性与真实性，试图以此弥补这个不足。包括Fortisphere和ManageIQ在内的其他新兴公司也在着手解决虚拟机散乱问题。

　　一些安全厂商确信：主要几家虚拟机软件开发商在争先恐后地推出产品，试图夺取市场份额，结果用Q1 Labs公司的产品项目经理Andrew Hay的话来说，“安全成了事后才想到的问题。”

　　Hay强调，现在缺少有助于监控活动的具有Netflow功能的虚拟交换机。他说：“你创建的一个不同网络恰好位于同一个设备上。但没有人竭力要求虚拟机领域采用流量分析。”

　　这一切会阻止IT管理人员走上虚拟化道路吗？据Hay声称，说到底，“最好你在积极采用之前研究一下可供选择的方案。”

　　二、防止数据泄漏会反而招来律师吗？

　　数据丢失预防（DLP）又称之为数据泄漏保护，让你可以监控内容，查找未经授权的传输信息。但是用过这项技术的公司发现，由于DLP让公司网络上太多的阴暗角落暴露无遗，结果IT和业务管理人员可能发现自己在监控和法律方面处于险境。

　　信用信息服务公司艾可飞（Equifax）主管信息安全的高级副总裁Tony Spinelli介绍了当初他公司部署赛门铁克DLP产品后的早期情况，他说：“你以前是一无所知，现在却面临未遵从法规带来的危险。”DLP如同黑暗当中的一盏聚光灯，暴露了哪些数据存储方法需要加以改进。

　　这样一来，业务和IT管理人员就必须作出正确的行动，进行一些变化。而更多的安全管理人员发现，挑剔的审计人员一旦知道了DLP工具已部署到位，就要求安全方面有所变化；如果公司无视这些变化，法律方面就会处于险境。

　　那么这个“看到什么就要知道什么”的方面是不是很大的缺点、从而足以打消潜在买家的兴趣呢？更何况DLP产品的价格仍然相当昂贵。也许会吧，不过这也意味着把最有希望的内容监控方法拒之门外；但为了有助于让贵公司远离监管和法律方面的麻烦，你迫切需要这种方法。

　　三、云计算安全：是美梦还是噩梦？

　　据Gartner调研公司密切关注云计算安全服务的安全专家John Pescatore声称，无论针对的是电子邮件、拒绝服务保护、漏洞扫描还是网络过滤，有关云计算安全服务的一个基本事实是，它只不过是自己动手采购软件或者设备这种方法之外的一种选择。

　　有足够的理由需要购买服务、从而采用云计算模式；不过有时候也有必要拥有自己的设备，走比较传统的道路。

　　Pescatore表示，首先，有必要考虑一下两种基本类型的企业云计算安全服务。第一种是基于带宽的服务，比如基于运营商或者互联网服务提供商（ISP）的拒绝服务保护和响应。

　　Pescatore说：“比方说，AT&T公司在这方面比你做得更出色，成本更低；另外你在使用对方带宽的同时，它还会把更上游的攻击过滤掉。”另一种办法就是向Arbor Networks这些公司购买可阻止拒绝服务的设备，并且自行建立保护机制。

　　第二种云计算安全服务是Gartner公司所称的“安全即服务”（security-as-a-service），这种服务“与基于带宽的服务完全不同，”Pescatore说。比方说，使用反垃圾邮件服务需要把邮件交换记录重定向至服务提供商，但不需要与某一家运营商绑在一起的特定带宽服务。

　　这类服务包括：垃圾邮件和反病毒过滤、漏洞扫描和网络过滤。总的来说，这类服务不包括DLP内容监控及过滤或者身份访问及管理，这些部分与内部业务变化紧密联系起来。

　　Pescatore表示，使用云计算模式的安全即服务非常有助于保护移动笔记本电脑，或者为广泛分布的分支机构提供保护。他说：“对规模非常大的跨国公司而言，这种服务颇有吸引力。”

　　不过大多数公司可能会觉得：如果自行部署安全设备，过滤垃圾邮件和病毒，并且限制互联网访问，从而继续保护内部业务运行，可能更简单、更具有成本效益。

　　使用过滤服务存在潜在风险。你可能不想通过这种第三方服务来传输敏感的商业交易信息。另外总是存在服务可能无法使用的可能性。

　　Pescatore表示，所有这些云计算安全服务仍然相当新颖，只是在过去的三年才得到了迅猛发展， MessageLabs、微软、谷歌旗下的Postini和Websense是值得信赖的其中几家提供商。Gartner公司估计，云计算电子邮件安全服务目前在总的电子邮件安全市场中所占份额不超过20%；不过年底前会增加到35%；到2013年更是有望达到70%。

　　据调研公司IDC声称，去年电子邮件安全软件市场的规模为13.8亿美元；安全设备市场为6.922亿美元；云计算安全服务（IDC称之为托管服务）市场为4.54亿美元。预计安全软件和设备会持续稳步增长；托管服务会在今年增加到6.38亿美元，到2011年更是有望增至13.9亿美元。

　　云计算安全服务的这种发展态势大大鼓舞了Jericho论坛，这个组织由大约60家公司组成，它们一直在积极推广越过了公司传统网络边界的创新的电子商务安全。

　　Jericho论坛委员会的成员Paul Simmonds说：“云计算环境的网络过滤只是在过去的16个月才流行起来；现在的云计算服务比几年前要多得多。”Simmonds表示，公司网络中“渐渐消失的边界”使云计算安全服务成为一种吸引人的选择，如今有许多公司在探究这种选择。