从智能手机到JavaScript,再到虚拟化,这些都是你需要考虑的技术。但是,同时你也得了解部署这些技术有可能带来的风险。
智能手机:风险不断加大
虚拟化:潜在的威胁之源
企业搜索:如何掌控合适的度
NAC—首字母的迷失
令人不安的JavaScript
SOA = 行动规范化
警惕大众使用商业智能
SaaS的短板
还没那么统一
很多企业目前对于虚拟化、企业搜索和智能手机等技术都非常热衷。但是,这些技术会给企业带来怎样的安全隐患,似乎还没有引起大家足够的重视。希望本文列出的安全问题,对于首席信息官(CIO)们而言,能够起到积极的警示作用。
智能手机:风险不断加大
从没有人因为使用黑莓(BlackBerry)手机而遭到解雇。
这一说法无疑是空洞无物的承诺。尽管你不会因使用了具有安全风险的智能手机而被公司炒鱿鱼,但每位专业人士对于智能手机的需求不可能完全一致,可以想见企业的烦恼肯定不少。即使你的企业还没有遇到过这方面的麻烦,也不妨看看以下智能手机陷阱的分析和相关的应对技巧。
1. 产品周期与消费电子更新换代的速度一致。
“很多公司在将智能手机项目部署到一半时发现,那款产品已停产了。” 负责提供移动设备管理服务的Movero科技公司(Movero Technology,下称Movero)首席执行官(CEO)布鲁斯弗雷德曼(Bruce Friedman)表示。
高端手机和智能手机更新很快,以致习惯3~5年IT更新周期的公司,在测试、采购并部署新设备时,总有落伍之感。
解决这种问题的方法虽然简单,但做起来并不容易:也就是要设法缩短产品采购审批和测试过程,比如,确保新应用软件和升级软件不会对手机、操作系统和网络连接有害。在选用智能手机时,将产品周期定在6~12个月,并依此周期更新。
2. 应用软件控制。
智能手机的威力在于能运行多类应用软件,而某些员工会因此想当然地根据自己的喜好随意下载软件。企业可禁止使用所有未经许可的软件,但是人的本性决定了商业用户总会想方设法违反这些规定。更合理的做法是:利用基于Symbian操作系统的 Platform Security或者Windows Mobile的Application Security等安全协议,为应用软件分配“信用等级”,并且只给那些事先经过批准的应用赋予访问操作系统的权限。
3. 出租车因素。
与笔记本电脑相比,智能手机更易丢失、被窃以及损坏。所以,应准备好进行实时修复、擦除关键数据并更换其他设备。
Movero或Mformation公司等“管理移动服务”厂商此时正好派上用场:如果你公司需要部署大量设备,他们几乎无一例外地总是能为你节省资金。
虚拟化:潜在的威胁之源
如果企业一味扩大服务器虚拟化,而对虚拟机与物理服务器的本质区别熟视无睹的话,那么他们迟早会给入侵者开辟新的方便之门,使之顺利进入到数据中心。我们目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过。但是过去两年中,任何对上述事实感到欣慰的公司肯定从未关注过信息安全。
VMware公司和开源厂商XenSource公司开发的虚拟机管理软件,是数据中心中新一层特权软件的代表,这些软件与操作系统类似,可全权访问其他软件资源;但他们却没有像操作系统一样,经过多年的测试与评估。高德纳公司(Gartner)预计,从现在到2009年,60%的虚拟机安全性会低于物理服务器。而且如果存在安全漏洞的话,入侵者一旦获取一台虚拟化服务器管理程序的访问权限,必将能够在该软件辖下的所有虚拟机中来去自由,如入无人之境。
许多组织将保护物理服务器的手段如法炮制到虚拟服务器上。迄今只出现了少数几个专业化工具,能用来监测并保护VMware的ESX虚拟机管理程序,比如Reflex安全公司(Reflex Security)的VSA和Blue Lane科技公司(Blue Lane Technologies,下称Blue Lane)的VirtualShield。目前尚未有成熟的用于保护XenSource产品的安全工具。
VMware强调说,银行和美国军方都使用ESX Server,这说明该软件是个安全的平台。但是运行虚拟机管理软件,有别于在物理服务器上运行操作系统。
VMware的VMotion工具可发现、转移、并在另一台物理服务器上启动该虚拟机管理软件,而将其原来的安全环境弃之不顾,Blue Lane高级副总裁奥尔韦恩 西奎拉(Allwyn Sequeira)指出。“在部署虚拟化之前,防火墙、路由器以及服务器上都需安装一个相对静态的安全架构。”西奎拉表示。因此,安全策略通常是以某个既定的TCP/IP为核心。当VMotion将虚拟机转移到新服务器上,并给出新的TCP/IP地址时,新旧两套安全策略应该保持同步;但实际上,这一点往往难以实现,西奎拉进一步分析道。
因此,要想对所有虚拟机进行追踪,并始终将之控制在视野之内,实属不易。Blue Lane的一名客户就曾忘记过一台虚拟机的存在,直到在检测时才发现,该虚拟机已于6个月前即已启动了。如果入侵者刚好于此时趁虚而入,那后果不堪设想,因为没有管理员对此虚拟机的行为进行追踪,西奎拉补充说。
BMC公司、CA公司以及惠普公司(HP)等系统管理厂商,已纷纷着手在各自的产品中增加虚拟机管理特性。尽管如此,要想溜出管理员的视野之外,还是易如反掌。
企业搜索:如何掌控合适的度
企业搜索看似完美无缺:员工借助它,无需在FTP站点和怪异的文件名之间反复搜寻,就能方便地找到自己所需的文件和文档,从而提高了生产力。人们对企业搜索的这种良好印象会一直持续下去,直到有一天他们开始发现本来并不需要的东西为止。实际上搜索很可能成为安全和合规的噩梦。
搜索厂商Autonomy公司美国区CEO斯托弗 艾根(Stouffer Egan)介绍说,一家国防承包商曾将机密信息网与绝密信息网隔离开来,但是机密网络上的员工仍然能搜索到本该在绝密网络上的内容。真是糟透了。
合理的搜索标准必须是,如果你用不同的方法都不能在网络上访问某些信息,那么即使通过搜索,你仍然无法找到这些内容。富国银行(Wells Fargo)在进行一项实验,尝试着让公司主管与客户和员工在网络日志(Blog)上进行交谈,该银行甚至还建立了自己的虚拟世界。但是,由于身份认证的复杂性,该银行还是对企业搜索设定了限度,以限制员工在数据库中的搜索能力。此外,富国银行还将其应用开发和部署时间的80%用于授权和认证等安全环节。
即使信息和特定应用层都有口令保护,也并不意味着这些层已被准确地分类。某家公司发现,其搜索系统可以在极少被访问的那部分文件系统中,发现敏感的员工工资信息,费雷斯特市场研究公司(Forrester Research,下称费雷斯特)分析师马特 布朗(Matt Brown)介绍说。所谓的“含糊的安全性”,其实就是伺机而发的事故的代名词。
企业搜索的最后一个风险在于,如果索引资料不充足,以致无法体现搜索的价值,或者必须给出精确的搜索关键词才行,那么员工会干脆放弃使用搜索。《InformationWeek》对250名商业科技专业人士进行的调研表明,约25%的受访公司虽然部署了集成搜索系统,但却极少使用。
NAC—首字母的迷失
现在最热的安全名词是NAC,至于它的含义到底是什么,不同的供应商有不同的理解。抛开宣传内容不谈,没有哪家NAC厂商能够提供全面的产品,所以安全保障自然也就大打折扣了。
先说说网络接入控制(Network Admission Control),这是思科系统公司(Cisco,下称思科)的产物,对接入网络的设备进行检查和控制就是它的使命。设备是否遭受病毒感染?安全设置是否最新?如果不是,隔离。而网络访问控制[Network Access Control,微软公司(Microsoft,下称微软)称其为网络访问保护(Network Access Protection)]解决的,则是设备接入了网络之后的事情——对照目录服务器或者访问控制服务器的授权,检查PC或者打印机的配置文件。但目前尚无厂商同时提供两种服务,而厂商之间的合作也刚刚起步。
因此,如果放言要部署一个完整的网络接入和访问控制系统,肯定是自吹自擂而已。这个神秘的IT产物,还不大可能揭下面纱,露出真面目—除非思科、微软、可信赖计算联盟(Trusted Computing Group,TCG)以及互联网工程工作小组(Internet Engineering Task Force,IETF)的一个工作组就NAC部署标准的简化达成一致。
不过,对愿意等待的人来说,还是值得期盼的,毕竟工作已经展开了。费雷斯特分析师罗伯特 怀特利(Robert Whiteley)表示,虽然一年内产品还未能面世,但是思科、微软、迈克菲公司(McAfee)和赛门铁克公司(Symantec)都已经开始在即将面世的产品中构建端点风险管理程序了。
NAC概念适得其所—使用反恶意软件、访问控制以及身份验证和配置管理工具,一起拦截流氓设备连接网络或搞小动作的企图。但现在,恶意行为从一系列服务器上抽取数据,使防范工作日益复杂。所以,NAC概念短期之内还不大可能发展成为一个独立产品,免得希望越大,失望越大。
令人不安的JavaScript
Web2.0广泛采用JavaScript动态语言,通过Ajax编程,JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。
一年前,Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞,使病毒在互联网上迅速传播开来,并把用户地址本里的邮件地址都转发给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容,发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。
为了评估未来的JavaScript风险可考虑使用Jikto,这是SPI Dynamics 的首席研究员比利 霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。
JavaScript有一套内建的安全模式,叫“同一来源”,即JavaScript只能访问或操作与其来源同一站点上的页面内容,不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制,它首先把网页内容发送到一个代理站点,如谷歌翻译(Google Translate),这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容,进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面,一个网站接一个网站地扫描漏洞,同时避开JavaScript安全模型的防护。
JavaScript脚本千变万化,甚至自己就能改变自己,因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传,但它可以被恶意利用,因为雅虎(Yahoo)的代码没有检查文件是否确实是张图片。网站上遍布着许多这样的后门。
自从公布了Jikto的风险,霍夫曼就收到不少来自黑客们的邮件,内容大体是“你这下可把我们的乐子全毁了”。企业要做好思想准备,应对黑客们的挑战。
SaaS的短板
你当然可以快速地部署软件作为服务(SaaS)的应用,它们能为公司省钱,使IT部门省心,但是它们适合你吗?
可定制性差是SaaS几乎从一开始就面临的责难。因为与许多用于客户端部署(On-Premises)的应用不同,你完全无法修改SaaS应用的任何一个代码。
一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克 贝里奇(Eric Berridge)表示,另一方面SaaS应用的一大优点是像Salesforce.com这样的厂商隔一段时间就会增加新功能,而用户马上就能用上这些新功能。对用户客户端部署的软件,只有到正式发布时才有新功能,而客户一般都不耐烦等到那个时候,所以干脆不升级。
因为新功能在SaaS里的频繁添加,对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能,这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说,这意味着他们得首先了解这些变化,然后再和用户沟通,使他们愿意接受这些变化并且能够适应变化。
当然太激烈的变化也不好。贝里奇指出,如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上,你最好还是采用部署在本地(In-House)的软件。
SaaS的另一个缺点是:企业用户对于安全和隐私问题全无概念,特别是对于刚刚出现并且还在不断变化的SaaS安全标准更是不甚了了,费雷斯特分析师丽兹 赫伯特(Liz Herbert)如是说。尽管现在SaaS供应里还没有发现重大的安全漏洞,“但人们对此仍持怀疑态度。”赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;“你一般不会想让纽约的销售代表看到新泽西销售代表的数据。”除非设置了规则,他说,“所有人都可以看到所有东西。”另外,当向SaaS 迁移时,公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)里的规定。贝里奇指出,一旦法律上出现问题,会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。
为实现数据整合,有第三方公司的软件包(包括Bluewolf的)能把SaaS 软件和思爱普软件系统公司(SAP)和甲骨文公司(Oracle)等的客户端软件连接起来。但当数据交换的速度要求至关重要,如金融交易,这样的链接可能会引起麻烦,贝里奇警告说。
还没那么统一
统一通信仍是混沌一片,它会随着不同技术的汇集而逐渐成形。这就意味着要把这个工具放在最合适的业务流程中:无论是在程序中嵌入点击呼叫功能模块,综合语音、电邮和图像技术,还是在即时通信和视频会议之间自如切换等。然而,若想倚仗一家供货商来部署一套统一通信系统,还为时尚早。因此,建议企业要做好思想准备,将来会有大量的整合工作要做,还得边学边用。
假设你拥有一个北电网络公司(Nortel,下称北电)的IP PBX,国际商业机器公司(IBM)的统一即时通信软件,思科的局域网设备,还有Oracle的企业应用程序,那就把他们统统列入统一通信项目里。但是,如何整合这些产品,进行实时通信,之前并无太多实践经验。例如,微软-北电联盟联合开发的统一通信产品才刚刚起步,而且把目光瞄准到了未来的4年。同时,微软还对产品进行了强化,提高了与思科、亚美亚通讯设备有限公司(Avaya)等产品的协作性能。
企业首先必须确定统一通信系统会有益于业务流程,而选择厂商还在其次。协助企业规划统一通信系统的先锋通信公司(Vanguard Communications)总裁唐 范多伦(Don Van Doren)说,如果选择了一家不能满足你业务要求的厂商,“你也将身陷困境”。同时,企业也不应认为,他们必须完全转换到IP协议才能部署统一通信系统。“对某些程序和商业问题而言,统一通信系统能与遗留系统和睦相处。”他说。
工业设备供应商Ultrasonic Precisions公司CIO史蒂文 费希曼(Steven Fishman)说,基于微软的软件产品和思科的硬件设备,把网络会议系统、视频会议系统和Outlook邮件与联系人系统合而为一,从这个过程中公司看到了巨大的产能突破。但部署工作需要诸多测试,还得要跟众多供货商紧密合作。因此,公司只好采取折衷的办法,舍弃非微软的应用程序,因为它们跟SharePoint、Exchange 2007和Microsoft Dynamics GP10等产品难以融合。
SOA = 行动规范化
服务导向架构(SOA)的本意在于,让技术的基础架构变得更为灵活、运转更迅速。但是,如果没有足够的管理能力,网络服务则可能会失控,从而导致出现得不偿失的局面。
伯顿集团(Burton Group)分析师安妮 T 梅恩斯(Anne Thomas Manes)说,就最初的一批Web服务而言,管理工作可能一帆风顺——对它们进行性能跟踪管理的工作极少,它们的生产流程无非就是众多开发人员分头进行迅速转换升级,其间几乎不使用自动化监测工具,但现在“必须严肃考虑对整个生命周期进行正当管理的办法。”
这就意味着,要确保新创建的服务归到注册表并存储于知识库之中,应该通过中央控制系统进行管理,要么禁止使用不同版本的服务,要么应该仔细地予以说明。而且新服务需要进行测试,这样才能满足其他程序的要求。如再次使用,它必须同更多的系统协作,而不仅仅是开发人员最初所中意的那些系统。而且还要考察新服务的使用达到了怎样的程度,在什么样的环境下使用,对于性能降低的地方要指出来并加以解决。
毕博管理咨询公司(BearingPoint)咨询师皮特 麦考伊(Pete McEvoy)最近在一份金融服务行业SOA使用报告中,得出了一个类似的结论:“尽管SOA已有7年历史,但又能怎么样?”服务创建团队的IT专业人士“必须像产品经理那样做事”,麦考伊写到,因为如需更新服务,就必须有人担负起责任来,“几乎没有哪家公司会通盘考虑这些操作层面的问题。”
ZapThink公司的分析师罗纳德 施米勒(Ron Schmelzer)说,SOA的本意在于,通过松散的联系,严格定义的服务,创建灵活架构,优化程序的再利用。“人们认为SOA和Web服务是同样的事情,(而实际上)Web服务仅仅是访问方式的改变,SOA则是做事方式的改变。”施米勒强调说。
警惕大众使用商业智能
随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众,企业应当警惕普通用户在使用BI工具的时候很有可能会出现的“最差实践”。
如果你让客户使用原始数据从零开始生成一份分析报告,他们很可能会被误导,因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但公司又必须向那些希望深入学习和探索的员工提供培训“课程”,来自惠普信息管理实施部门的高级主管乔纳森 吴(Jonathan Wu)表示,否则“你将无法培养自己的高级用户。”
业务部门的经理们应该与本公司或外包的BI分析师一起,确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。乔纳森 吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作,对财务部门来说,CRM里的“客户”就意味着滚滚财源,而对市场部门来说这些也是潜在的客户。
使用了BI的人都会期待有某种工具,如仪表盘,因此IT团队应该先列明BI项目里具体包括什么。“让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要。”乔纳森 吴表示。
大多数公司的灾难恢复计划中,几乎都不把BI列为关键性应用,即使员工需要依赖那些工具做出关键性决策。乔纳森 吴在过去几周里就已经看到了好几起案例,都是因为一些事故而使公司BI应用停顿了数周之久。
IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统,他们就不会了解可以拿它来做什么。“如果他们没有问,他们很可能就没有在用。”乔纳森 吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。