信息保护攻坚战 ，探究数据泄漏几大渠道

　　根据Websense的研究报告，如今数据泄漏的渠道包括以下几点：

　　运用网络攻击手段：此类数据泄漏现象主要存在于以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等可使不法分子直接攫取非法暴力的企业。这类窃取主要通过服务器攻击、木马程序置入等。

　　利用Web2.0：博客、社交网络服务（SNS）、BBS、社区等Web2.0应用的兴起为企业的业务开展创造了更便捷的平台，但与此同时，这些应用所带来的新型攻击、员工工作效率下降和数据泄漏风险也让企业头痛不已。网络犯罪分子通过将一些恶意URL链接、仿冒视频播放程序的木马、病毒下载器等恶意软件或链接放在各种Web2.0应用中，通过参与热点话题的讨论来吸引用户点击。

　　内部员工非法窃取：员工的忠诚度不够及职业素养的缺失会导致企业核心机密的流失和泄露，这种泄露主要通过即时通讯、FTP上传、移动存储、打印、电子邮件等实现。

　　陈纲指出：“IDC此前的数据也显示，企业所存储的数据量正在大幅增长，由此所产生的对于各种形式如台式机桌面、笔记本、文件/存储服务器、USB驱动器和其他类型信息的防护和控制需求，其增幅将有望在2011年超过那些传输中（如email）和使用中（如合同或议案等）的文件增幅。”

　　高度决定态度，数据泄漏防护重要性亟需提上日程

　　《潜伏》中，国共双方对于安插在彼此的地下工作者所发送来的情报和己方的信息泄密均持高度重视，警戒心理非常强。但在现今社会中，企业的管理者和员工对于数据泄漏的防范意识又如何呢？Websense在2009年3月刚完成的一份全球IT管理人员大调查显示：21%的受访者认为他们受到 100%的完全防护；尽管有时会受到攻击，仍有56%的受访者相信他们拥有所需要的一切安全防护。

　　Websense Web2.0工作报告-中国站的监控结果发现：

　　-71%的恶意代码来自受信赖的网站

　　-79% 的公司机密信息从Web上被下载

　　-68% 的恶意软件进入公司网络中

　　-53% 的安全网站重定向至未知网站的拦截率

　　-47% 的解决方案提供Web内容的实时分类

　　-61%的防护措施能够阻止间谍软件将信息传送至外部服务器

　　-70%的网络钓鱼拦截率

　　-44%的即时通讯附件拦截率

　　-48%的USB设备控制

　　-2%的中国企业未曾对以上问题采取任何防护措施

　　而与以上结果相对应的是企业在网络使用权限上，所采取的态度统计：

　　- 50%的公司允许员工访问与工作无关的网站，如优酷、土豆网等

　　- 78%的公司允许员工访问开心网、校园网等社交服务类网站，用于业务往来

　　- 98%的公司允许员工访问163、新浪及Hotmail、Gmail等邮件服务器

　　- 88%的公司允许员工访问个性化的网页如QQ空间、MSN Space等

　　- 55%的公司允许员工访问淘宝、卓越、当当等购物网站

　　- 64%的公司允许员工访问维基百科

　　- 57%的公司允许员工访问那些可下载视频的网站如电驴、迅雷等

　　- 72%的公司允许员工访问可下载图片、照片的网站

　　- 53%的公司允许员工访问博客、BBS、聊天室等虚拟空间服务

　　- 67%的公司允许员工访问自动生成网站、家居设计图等的定制服务或云计算服务

　　当问题涉及未来一段时间的IT安全战略应着重考虑何种因素时时，高达78%的受访者认为企业的核心机密信息防护最有必要，在此项调查中占比最高。

　　综合以上统计结果及其他独立评测机构的数据，陈纲分析：在未来2-3年内，企业对于数据安全防护解决方案的需求将有较大增幅。

　　专家支招-构筑数据泄漏防护安全体系

　　Websense陈纲指出：“数据泄漏防护体系的打造需要整合企业、安全厂商、员工等多方努力协作。一方面，企业制定可控性强、人性化的网络访问策略和数据访问、使用策略；同时，安全厂商更好的研发基于内容识别分析、传播途径及传播状态分析等技术，帮助企业实现策略规定，确保数据的不流失；另外，员工自身也要加强网络访问的警惕性，不随便登陆陌生网站，减少与工作无关的视频、Web2.0网站的访问等。”

　　目前市场上存在的数据泄漏防护解决方案提供商非常多，以Websense为代表的国际主流安全厂商和本土等厂商均推出了各种形式的数据泄露防护解决方案。这些解决方案的最终目的只有一个：确保用户的数据安全，防止数据落入不法分子手中–无论有意还是无意。

　　企业在进行日常工作的过程中，数据的使用无时无刻不在发生。因此，专家认为完善的解决方案应该能够满足以下几点要求：

　　数据有效识别——能够迅速判别根据企业的不同特点，明确何种数据是机密数据，何种数据是可对外公开、传播的数据。这是企业数据泄露防护的第一步，也是最关键的一步。只有明确判定数据的属性，才能更好的实施安全防护。

　　数据传输进程判断——无论是通过邮件、即时通讯还是电脑终端，数据的传输需要途径，准确判断数据当前所处的状态和传输进程，可有效进行安全防护措施的实施。

　　灵活的策略制定——企业管理者拥有对数据使用策略的制定权，但策略制定后

　　陈纲介绍：Websense数据防泄露解决方案可在实施过程中，根据不同企业的实际需求，在企业的文件服务器和终端分辨部署。同时，Websense数据防泄密产品自身采用了进程保护技术，避免企业内用户的非法行为。Forrester Wave 2009年第2季度内容安全独立报告中的数据显示：Websense在内容安全领域的综合得分排名第一，邮件安全和Web过滤市场上的份额也遥遥领先于同类厂商。报告中还指出：作为内容安全领域的领导厂商，Websense拥有邮件安全、Web安全和数据安全的成熟产品线。依赖PortAuthority 技术所支撑的数据安全产品更为他们争得了无数奖项

　　Websense 数据防泄漏解决方案可发现整个企业网络的关键信息，监控这类信息的使用并防止这类信息的不适当使用。遍及静态数据、动态数据、使用中数据的全面安全防护范围，可改善业务流程并有效管理风险和法规遵从情况。整合了智能化云安全和云交付技术的Websense数据防泄漏解决方案将是用户进行数据安全体系构建时的首选（Forrester Wave 2009年第2季度内容安全独立报告）。

　　Websense 数据防泄漏解决方案的具体性能包括：

　　数据发现：识别网络和个别端点上的静态数据、风险数据

　　数据监控：通过数据传输目的地上下文，覆盖所有业务渠道，识别动态数据

　　数据保护：防止内外部数据泄漏

　　数据终端：不论用户是否在线，均可防止终端数据泄漏

　　金融危机和全球大瘟疫的到来使得人们进一步捂紧了自己的口袋，企业也因此不断紧缩支出，但大量统计数字表明：经济危机时期往往是科研、医疗、基础建设、文化创意等企业大储备、厚积薄发时期，数据保密和泄露防护不可忽视。但企业的管理者们需要注意的是：数据泄漏防护体系的构建非朝夕之功，企业需要明确自身的性质和需求，了解数据保护的重点，评估安全厂商的研发、产品等综合实力之后，选择适合的数据泄漏防护解决方案。

　　一方面，做为国家重要的职能机构和对外的“窗口”，为了适应国际、国内快速发展的交流节奏，传统的边检业务系统手工作业模式显然已经不能满足边检业务应用快速膨胀的发展需要，边检业务系统信息化建设势在必行，也已经有了一定的建设成果；另一方面，做为现阶段边检业务系统信息化的支撑平台，九总站边检业务网络信息平台的重要性不言而喻，尤其是边检数据信息的重要性、公安涉密网络的特殊性质，九总站边检业务网络信息平台对于网络安全性的要求，更是突出。

　　安全是第一衡量标准

　　于是，作为公安部出入境管理局网络安全服务商的冠群金辰，很快派出工程师对九总站边检业务网络信息平台进行了深入的分析。他们认为，在相当长的一段周期内，边检业务系统信息化建设的重心主要分布在信息网络支撑平台基础建设和业务应用系统的开发环节，对网络信息平台的稳定性、安全性、畅通性和可控性缺乏应有的技术保障能力，对数据的完整性、保密性、可用性和可靠性缺乏有效的保障机制。

　　与此同时，网络技术的高速发展，伴之而来的各种新型未知病毒也开始层出不穷，特别是近几年来造成一定社会影响的黑客攻击、间谍事件屡屡发生，各种新型病毒在全球范围内对企业级网络的大规模破坏的频率不断提高，新的混合型威胁（病毒、蠕虫、木马、间谍软件、黑客攻击、内部违规行为等）每天都在发生，这些威胁可能危及业务安全、破坏数据完整性、中断业务连续性、导致业务效率下降、损坏声誉，以致可能造成正常工作秩序的被迫调整……

　　在这种尖锐的矛与盾的背景下，必然要求中国边检这样核心业务应用系统对网络信息平台具有较大依赖性而且缺乏安全保障手段和能力的机构必须及时做出调整，加强网络安全整理规划建设力度，通过合理的网络安全体系化建设提高对网络信息平台的稳定性、安全性、畅通性和可控性的技术保障能力，完善对数据的完整性、保密性、可用性和可靠性的安全保障机制。从而为业务应用系统的持续发展和稳定、高效运行提供有力的安全保障。

　　层层剖析边检网络信息平台

　　中国边检广域网是一个典型的星型结构以太网络，对外属于涉密网。由核心层、汇聚层、接入层组成，核心层向下衔接着北京、上海、深圳等九个边检总站汇聚层交换机，每个边检总站下属的多个边检站通过接入层交换机将各服务和业务终端接入边检广域网络，从而形成了三级架构边检网络信息支撑平台。

　　冠群金辰公司的网络安全工程师指出，中国边检目前所采用的仅仅为传统AV的解决方案，显然已经远远不能满足现阶段边检业务系统的安全保障需要。首先，边检网络所面临的风险不仅仅是病毒威胁，可能引发安全风险的因素众多，如：内部攻击事件的威胁、网络平台的安全管理因素、数据传输加密的强化、网络安全管理制度的缺失（如：USB管理技术手段）等；其次，网络内虽已部署了网络防病毒软件，但是品牌杂乱，产品间缺乏相互的关联性导致对紧急病毒事件缺乏统一控管、响应和协调能力，并且随着服务期限的临近，边检网络已经开始面临无病毒保护措施的风险。

　　我们可以将中国边检网络信息平台现阶段的安全需求归结如下：首先，缺乏网络安全体系化建设，急需通过合理的部署相应的安全技术手段规划建立网络安全的完整体系。其次，急需建立网络安全监控管理手段与业务应用的关联性，改变现阶段对安全事件无法准确的定位并分析，从而对业务造成影响的尴尬局面，实现业务系统安全运行与技术设备及系统安全运行的紧密结合。最后，要加强安全运行管理制度的量化评估综合技术手段；提高整体安全态势和细节安全评估的综合能力。

　　建立第一道网络安全国门

　　我们知道，网络安全建设并非产品的简单堆砌，中国边检网络安全整体规划建设必须是一个具有先进性、合理性的体系化规划与建设方案。因此整个中国边检网络安全网络实施团队依托边检网络结构的特点，在边检现有安全防护手段的基础上通过合理的规划、改造和建设，实现建立中国边检网络安全预警体系、防护体系、监控体系、管理保障体系和恢复响应体系和一个集中控管中心的规划建设目标。通过“五大体系，围绕一个中心”不仅要形成安全体系高效的闭环系统，提高信息系统的预警、防御、监控、响应恢复和管理保障能力；同时还要以控管中心为技术支撑，提高整体宏观监控与局部监控的统一能力，建立协调指挥、多级管理的安全机制，从而更好的实现中国边检保证网络信息平台的稳定性、畅通性、可控性和安全性；保证数据信息的完整性、可靠性、可用性和保密性的业务安全运营的根本目标。

　　同时，由于中国边检网络病毒立体防御体系是其网络安全防护体系的核心主体，对于中国边检这样业务应用系统具有数据重要性高、数据量大、实时性要求高；同时对数据的完整性和保密性也具有特殊要求等业务特性的星型结构广域网络信息平台而言，对于病毒的防御需求不仅远远高于普通企业网络，而且相对于其自身的其他安全需求，病毒防御工作显然是整个安全体系建设的重中之重。

　　通过深入分析中国边检网络信息平台的安全需求，依据“切断传播途径、控制传染源、保护易感人群”的防治病毒三要素原则，冠群金辰提出了“统一控管，立体部署，纵深防御”的中国边检病毒立体、纵深防御体系建设方案：通过全方位立体部署，全面保护易感人群；通过纵深防御，建立多层次的病毒主动防御手段全面切断病毒的传播途径，主动抵御新复合型病毒、蠕虫为首的病毒威胁；同时通过中心集中控制、多级部署和分级管理，不仅使病毒的防御工作趋于灵活和精确，而且保证了可以第一时间发现病毒疫情，能够快速定位病毒源，准确有效清除或隔离病毒源，同时最新病毒防护策略可以及时分发，使网络整体病毒防护策略的实施能够得到有效保障，及时控制传染源。通过这种全方位的、多层次的病毒主动防御体系建设，提高边检对网络病毒事件进行响应和恢复的能力，最大程度的将边检网络病毒风险降低到一个可以接受的水平，实现了边检网络安全建设的首要目标。

　　例如，在新的安全体系中，在边检网络信息平台的不同域边界部署了网关级边界病毒过滤设备防病毒网关，进行有效的蠕虫和新复合型病毒的主动防御。通过在各边检总站域边界防病毒网关的部署，当内部网络再触发某蠕虫病毒，进而对整个网络发起攻击的时候，防病毒网关可以将其控制在一个边检总站安全域之内，避免其进一步大面积扩散，造成整个网络瘫痪等严重事件的发生，域边界的病毒防御建设提高了网络管理人员对网络内病毒事件的控制能力，有效的防御了病毒、木马、蠕虫等病毒威胁在内部网络不同区域内的破坏、扩散，切断了其在网络内部的传播途径。

　　项目成功的七大因素

　　此次中国边检与冠群金辰合作，通过网络病毒立体防御体系的建设，不仅提高了边检网络信息平台自身对病毒的防御能力，同时也完善了对网络病毒事件的恢复和响应能力。通过这次成功实施中国边检网络病毒立体防御体系建设方案，参与此次实施的工程师和出入境管理局用户们一同总结出了此次项目成功的关键因素：

　　第一， 体系化建设是关键，网络安全建设并非简单的产品堆砌，缺乏体系化规划的直接后果极易造成产品间相互的孤立和堆叠现象的发生；

　　第二， 要充分考虑自身网络业务应用特点，网络安全建设成功与否的关键在于是否充分考虑自身的网络业务应用特性，安全建设的最终目的是保证信息的安全，保证业务应用系统的稳定运行；

　　第三， 防御与管理并重，要多级部署、分级管理建立中心统一控管机制；

　　第四， 要结合网络结构特性，区域分割，域边界控制；

　　第五， 要实现网络连续性保障，比如方案中选择的KILL 防病毒网关产品（KSG-V）通过多种措施保障自身安全工作包括：软件 watchdog，硬件 Bypass，通过专有安全操作系统避免漏洞攻击；通过加密和认证的安全管理防止管理失控。这样可以有效减少产品自身出现故障和被攻击破坏的频率，同时保证在网络边界产品自身发生故障时，可以在最短的时间内恢复网络的正常运行和数据的及时传输。

　　第六， 要合理搭建双重病毒引擎保障，没有任何一款防病毒产品能够保证对所有的病毒进行有效查杀和处理。基于这种现状，边检通过合理的病毒立体防御体系的建设为其网络信息平台带来了双重病毒引擎的安全保障。

　　第七， 要注意合规性，参见等级保护《信息系统安全等级保护测评准则》。比如在《信息系统安全等级保护测评准则》中6.1.3.6恶意代码防范章节中在测评项和结果判定中明确“主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库”。

据360安全专家介绍，DirectShow是微软公司推出的新一代基于网络流 媒体处理的开发包，广泛支持Asf、Mpeg、Avi、Dv、Mp3、Wave等各种媒体格式。此次曝出的“DirectShow视频开发包”漏洞是一个 动态链接库文件在使用滤镜进行“着色”时产生的，当用户在线观看恶意视频文件时，Realplayer、暴风影音、QQ影音、Windows Media Player、Quicktime等主流播放器都 会触发该漏洞，从而使自己的网游、网银面临被盗风险。除Windows Vista及Window 7用户外，Windows XP、Windows 2000及Windows2003操作系统的用户均会受这一漏洞的影响。目前，微软公司已在其官方网站发布安全建议（971778），而正式补丁预计将在未来两个月内面向全球Windows用户同时发布。

据了解，黑客利用热门视频传播木马已成为惯用伎俩，而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马，而视频文件本身并不需要捆绑木马，因此可以避开杀毒软件和防火墙的防护，黑客可以通过在线播放“网页挂马”、 网友间视频共享等多种途径传播木马。

为此，360安全专家提醒广大网民，包括“DirectShow开发包视频”0day漏洞在内的操作系统和第三方软件漏洞在得到官方修复前， 木马病毒往往会伺机而动，未来数周内网上有可能会批量出现恶意在线视频网址，形成“影视剧流感”，网民在收看视频时应提高警觉，并尽快使用360安全卫士 提供的临时安全补丁加以预防。

“如果说2006年底，当时台湾地震造成海底通信光 缆发生中断，造成了中国大陆的国际互联网访问质量受到严重影响是不可抗力的话，那么这次的“大断网”则本是可以预先控制并避免的”， BreakingPoint亚太区执行总监张林辉如是说，“如果电信运运营商要从这次事故当中吸取教训的话，那就是网络在设计建设过程当中以及建成投入使 用之前，一定要经过反复的安全测试再正式投入运营测试，这要比不经过严格测试、匆忙上马后再“亡羊补牢”更有效用。”

前期测试比后期故障维护更重要

互联网的安全、快速运行，与运营商的网络部署息息相关。对于网络设备和网上的系统来说，测试工作显得越来越重要。因此国外的电信运营商将网络 测试作为网络建设最重要的的一个环节进行。无论是在部署网络、嫁接新的服务和设备，还是在调整网络、发布新版本产品之前都会在设计阶段进行长期、系统、严 格的方案论证，并进行详细而全面的测试。这些测试包括安全性测试、稳定性测试、压力测试等等。将由软件Bug、配置等有可能引发的安全问题、影响网络正常运行的隐患及时扫除，避免这些小问题变成大隐患，从而牵一发而动全身影响网络正常运行。国内运营商的作法与国外做法恰恰相反，轻视前期测试，无形中加大了后期故障维护的压力。

张林辉认为，尽管中国的运营商和欧美成熟运营商之前还有不少差距。中国运营商要想远离“事故”就必须改变“重后期故障维护，轻前期设计测试”的陈旧思维模式，这样才能跳出“亡羊补牢”的怪圈，防患于未然。

有关网络测试的新理解

以前，国内用户没什么测试的概念，经过近几年的市场培育，慢慢的有了这样一个概念。但是对测试的理解还是有失偏颇，认为测试仅仅是简单的数据 包发送和接收方面的测试。其实真正意义上的测试却远非这么简单，除了数据更为重要的是安全性能方面的测试。在中国市场，测试需要引入应用安全测试的概念， 其任重而道远。

以前网络的安全性主要是从终端的安全做起的， 然后是防火墙， 现在要集成进路由器。 这是个很好的趋势，也是个必然趋势，因为只有网络中间的中转设备具备安全能力，安全问题才有可能得到解决。安全功能的转移给测试工作带来很多新的课题，如 安全和性能之间如何平衡等等，这些课题都具有很大的挑战性，需要用户做很好的技术储备，首当其冲的就是改变传统的测试思维、方法和模式。

现在通用的一些安全测试解决方案中， 攻击手段少、趋同、不够真实，很多厂商的设备能够应对测试仪测试用例模拟的攻击，效果也不错，但是在真实环境中却无法有效应对攻击。究其原因，张林辉给出 了答案。张林辉解释说：“传统测试工具只适用于HTTP、FTP等简单协议的测试环境，最多只能产生种类非常有限的4-7层应用协议流量，并且测试产品具 有很大局限性，只能针对某一种特殊行为或应用而采用特定的测试方法，用户难以真实地、综合评估产品性能和功能（如对数十种，甚至上百种应用协议的大流量模 拟混合测试；正常应用流量和恶意攻击大流量的混合测试等），也就无法实现真正意义上的测试目的。”

可见，传统的测试工具已经不能满足当前网络设备（如高速的基于内容识别和安全的网络设备等）发展需求，对于负责任的网络运营商来说，必须寻找一种新的测试手段来测试产品的安全程度和各个指标，找到更真实的测试方法，达到更真实有效的测试效果。

BreakingPoint愿与中国运营商共成长

作为一家致力于下一代网络测试设备的提供商，BreakingPoint致力于提供更真实、更贴近现实网络环境的、更快速更易用的测试平台。 BreakingPoint测试平台弥补了传统测试工具的不足，将Metasploit的研发经验无缝的转移到BreakingPoint的测试平台当 中，通过测试仪器产生各种各样的实际流量以及对漏洞的监测，使用户通过真实的测试，让网络安全问题得到最彻底的解决。BreakingPoint的综合性 测试平台归纳起来具有以下特点：

1、综合性测试平台，可以提供2-7层安全测试、协议健壮性测试；

2、真实模拟测试，设计Metasploit时的成功经验被应用到了BreakingPoint的平台上，系统设计的时候采用了模块化的设计，从而能够更真实的模拟真实环境；

3、开放式的平台，BreakingPoint提供业界最丰富的测试用例，有多达4000多个攻击模块；

4、易用性突出，BreakingPoint提供了基于Web的测试控制界面和一键式的测试方案。

正是由于优质的产品和领先的技术，BreakingPoint 公司自成立以来就与北美、欧洲和亚洲的顶级运营商有着诸多成功的合作经验，帮助他们确保网络安全和性能测试的效果。

针对中国市场，张林辉乐观地表示：“随着中国IT行业的飞速发展，面向网络设备和应用服务器的高性能应用层、性能与安全测试需求的增加，测试服务在中国将拥有广阔的市场。

虽然中国客户有着独特需求，中国市场也有特殊的挑战，甚至连中国网络上运行的协议和欧美市场也有很大的不同。但是由于 BreakingPoint采用了开放的架构，能够快速补充协议，测试时仪表也能第一时间模拟新的协议，因此也一样能够为中国用户提供优质的测试服务。”

“BreakingPoint是业界唯一可以对全系列安全设备提供安全性检测的厂商，愿意与中国运营商共担当，防患于未然，为中国网络的安全、快速运行尽一己之力，为中国网民提供更优质的服务。”张林辉说。

IT基础设施：IT基础设施是实现有效IT内控的支柱。随着信息化的深入，组织的核心应用系统都己构架在IT平台之上。IT基础设施不仅是整 个组织业务的重要支撑，也是对组织运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制，直接关系运营活动的实施。

业务和数据：信息技术的安全性涉及很多方面，但对于组织来说，较为突出的问题就是如何保障业务信息的安全，即保障在应用系统中产生、处理、存储的业务数据的机密性、完整性和可用性。所以，从一定程度上来说，保护数据的安全性，是维护一个有效的IT内控环境的最基本目标。

策略和流程：IT基础设施以及运行其上的应用系统构成了基本的IT环境，共同承担对于企业业务的支撑作用，这个IT环境的运行效力和效率，直 接关系到整个组织运行的效力和效率。因此，如何营造一个体系化的、可审计的、可持续改进的IT内控环境，是IT内控必须考虑的一个重要问题。效力和效率的 提升，从很大程度上取决于组织中“技术”与“人”这两个因素的契合程度，如何以企业业务和合规性为目标，制订一套涵盖方针、策略、制度、流程的安全管理体 系，是提高IT内控水平的关键。

在目前的环境下，有效控制IT资源的难度不断加大，遵从多项法规的复杂性也在增加企业应该如何管理IT基础设施、业务和数据、以及策略和流程 以更低的成本实现IT内控，以便合理控制IT风险，满足对多项法律法规的遵从性，最大程度保障业务运营的效力和效率，以实现IT投资的最大回报。可以采用 如下的方法来建立各企业自己的IT内控体系：

选择一个框架，用于实现对多项法规遵从的IT内控

虽然针对多种要求遵从的IT内控流程大体相同，但如何在控制中管理细节和发现共性或重叠却是一个非常复杂的问题。在多个报告间重复使用控制数 据以及向法规实体交付遵从证据可能需要投入大量的时间和金钱。 但是，只要基于 ISO 27001 或类似经过认可并广为接受的安全框架来应用安全策略，组织就可以使用一套策略规则来帮助其管理整体遵从的内控工作。 为了建立一个可持续的遵从状态，组织已认识到了实施综合全面的控制框架（如 COSO、COBIT 或 ISO 27001）的重要价值。通过采用这样一种控制框架可以简化沟通，与审核人员和监察人员共同验证控制，同时减少所需工作和降低企业成本。

使用自动化流程降低IT内控成本

虽然有许多方法都可以降低IT内控成本，但使用自动化流程和整合众多人工活动的技术却可以显着降低在IT内控方面耗费的时间和金钱。通过有效的 IT 内控体系结构和强健的策略，再加上可以有效管理、维护和报告内控状态的技术解决方案，组织可以降低维持IT内控所需的人力和资金资源。

应用最佳实践，降低IT内控失效风险

由于许多组织都已经投入了大量的资源来实现对各种法规（如《萨班斯-奥克斯利 法案》、国家等级保护政策系列标准和新近颁布的《企业内部控制规范》）的遵从，相当多组织的实践知识和经验有了很大程度的增长。已实现成熟内控的组织机构 经过自身多年内控建设的实践，在IT内控建设和运维中积累了很多宝贵的经验。这些IT内控的宝贵经验将有助于建立所有组织都可以使用的绩效基准，以帮助组 织完善自己的工作，快速建立高效的IT内控体系。

华为赛门铁克秉承华为和赛门铁克两大母公司的在网络和信息安全方面的长期积累，对国内外运营商和行业客户的业务和IT内控需求有深刻理解。可以提供咨询服务和管理套件帮助企业建立高效的IT内控体系，减少运营风险，提高开拓新业务的能力，和增强核心产品与业务的竞争力。

IT内控解决方案主要包括下列的产品和服务：

提供通用的 IT内控框架，在保障业务发展的基础上满足多部法规的合规要求。

以有效简洁的方式来执行和管理 IT 控制，在整个基础设施中提高 IT 控制的有效性和可靠性，从而规避和降低企业面临的IT风险。

自动化IT控制流程，集中 IT 领域的信息，减少管理IT资源所需的时间、费用和人力成本。

华为赛门铁克IT内控流程模型

据了解，本次网御神州与正道科技的联手可谓是安全业务行业的强强联合。其中2007、2008年两年蝉联国内防火墙市场第二、SOC市场第 一，以最快的成长速度成为国内信息安全产业的中坚力量的网御神州已经成为业界的标志性企业。在2008年，网御神州的奥星防火墙成功应用于北京奥运，更是 让业界充分的认可了网御神州的技术水平和服务质量。而此次会议的另一个主角正道科技是华南地区最知名企业之一，此前正道科技已与国际及国内众多着名IT企 业如联想、惠普、IBM等都建立了长期的战略合作关系，无论是实力、规模、还是市场影响力都在业内享受盛名。

当谈到此次合作时，任增强表示，正道科技是网御神州重要合作伙伴。正道科技是广东乃至华南地区最知名的IT企业之一，最重要是，两个公司都非 常看好网络信息安全的市场前景，双方都把网络信息安全业务提高到公司战略业务的高度，对该业务的发展充满信心。不仅如此，网御神州与正道公司都有着相似的 文化，彼此都有联想的情结。网御神州的成绩离不开合作伙伴彼此牢固的信任和全力支持。而正道科技则也十分看重此次合作，总经理曹就业表示，信息安全市场目 前备受关注同时快速增长，这对于渠道来说是一个机会，并充分肯定网御神州“神州大合伙”合作模式以及对渠道政策表示非常认同。

一直以来，网御神州坚持“安全创造价值”的企业理念，始终坚定不移推动自主知识产权建设，追求技术创新与服务升级，稳扎稳打发展成为我国信息 安全产业中的领军民族企业。与此同时，受联想在渠道合作伙伴成功经验的影响，网御神州一向将渠道伙伴建设作为企业发展战略的重中之重，积极与合作伙伴优势 协同、高效配合，从而充分实现共赢发展。

相关业内人士认为，合作后的网御神州和正道科技会对各自的优势进行有效的整合，从而以领先的产品和专业的服务为更多政府部门、企事业单位提供全面可控的信息安全保障，这对于危机中企业的信息安全建设将是一大利好。

抓住危机中的机会，信息安全产业将迎来新的发展机遇。随着本次大会的落幕，网御神州与正道科技的强强联合又迈入新的纪元，为未来彼此在信息安 全产业上获得进一步发展敦实了基础。与此同时，伴随着网御神州“可控安全”理念的推出，势必会为信息安全产业注入新的活力，成为合作伙伴强有力的信心源 泉，从而助推二者共同攀登新的高峰，创造市场业绩的新辉煌。

美国计算机紧急反应组近日透露，上周发现的 IIS6 WebDAV 漏洞已经被用在攻击中，这个由计算机安全专家 Nikolaos Rangos 发现的漏洞可以通过一个伪造的 HTTP 请求，查看并上传文件到 IIS6 服务器，攻击利用了微软处理 Unicode token 过程中的漏洞。

微软在一份声明中表示，尚未听说此类攻击的发生，但他们正在对此进行观察，并将提供安全顾问为用户提供帮助。漏洞只影响那些在 IIS6 中启用了 WebDAV 协议的系统，WebDAV 用来在 Web 上共享文档。

攻击者可以无需授权，查看那服务器的文件，并上传文件到服务器，独立安全专家 Thierry Zoller 确认了 Rangos 的发现，不过 Zoller 表示他还没有发现可以在被攻击服务器上运行任何恶意程序的方法。Zoller 同时表示，IIS5 和 IIS7 目前不受影响，但微软其它使用 WebDAV 技术的产品可能也面临危险。他建议用户在收到微软补丁之前先禁用 WebDAV 协议。

Rangos 在采访中表示，使用了 WebDAV 技术的 Exchange 服务器与 SharePoint 服务器都未受到威胁。

Cisco 也发表了同样的安全警告，他们在一份发表在自己官方网站的安全警告中表示，那些使用了 IIS6 WebDAV 技术，并且站点中有敏感文件的站点管理员应该采取措施，因为攻击代码已经被公布于众。

“在这个相互连接的世界里，威胁无处不在，因此安全防护是企业信息化、互联网中最主要的需求。”《信息安全产品指南》主编Rake Narang表示，“我们很高兴颁给WatchGuard这个2009年优胜奖，希望WatchGuard未来能持续为我们带来可靠的网络安全防护。”

WatchGuard Firebox X Core 系列 – 为不断成长业务提供最佳安全保护

WatchGuard Firebox X Core系列能够提供同类设备中最佳性能和最全面安全保护，同时整合了预防御保护和强大的安全订购，形成了无与伦比的网络防御性能。

Firebox Core系列强大且易于配置并管理，此系列将应用代理器防火墙，VPN,侵入防御，网关防毒，反间谍软件，反垃圾邮件和URL过滤整合到一个设备中进行综合防御，减少了由于多点解决方案管理带来的时间和成本的耗费。

“《信息安全产品指南》对WatchGuard Firebox Core的认可，进一步证明了我们的产品是同类最佳且居于领先地位的。”WatchGuard Technologies负责市场营销的副总裁 Eric Aarrestad表示，“消费者的信赖是WatchGuard能够赢得的至上品质。正是因为消费者的信赖，WatchGuard才能获得这一巨大荣誉， 作为最受信赖解决方案的获奖方获得全球的认可。”

Blue Coat系统公司大中华区执行总监潘道良表示，“为了确保能够主动抵御来自互联网的恶意软件，企业必须重新考虑如何保护自己的网关。Blue Coat的WebPulse云安全服务通过实时输入、基于云技术的内容分析和即时保护，向企业提供一个针对Web2.0世界的URL过滤解决方案。”

Blue Coat WebPulse云安全服务是第一个基于云技术的群监控环境，能够实现动态链接分析，并且每周从全球超过5400万个用户那里接收和处理超过10亿个请 求。当用户遇到新的动态站点和由用户产生的内容时，该服务会建立一个全面的Web概览。这些站点和内容的不断变化使得网络犯罪者更容易的传播恶意软件、钓 鱼网站和其他恶意内容。今天，以数据库为导向的传统URL过滤已经无法跟上威胁的发展速度。借助动态链接分析，Blue Coat WebPulse云安全服务提供的第二代URL过滤能够动态评估新的威胁内容，并确保主动防御。

Blue Coat WebFilter的用户借助WebPulse云安全服务服务可以实现自动保护，并且由ProxyClient软件向远程和移动办公人员提供相应的服务， 这些服务均可通过ProxySG一键选择的方式部署实施。K9 Web Protection 的内置功能同样可以向个人和家庭用户提供基于WebPulse 云安全服务的保护。

互联网本质上是一种全球性、开放性、透明性的无边界网络，互联网面对包括病毒、木马、网络攻击、网络欺诈、不良信息传播在内的各种各样的威 胁。在互联网这样一个虚拟社会里缺乏有效的奖惩措施，且很难对各种行为进行溯源。而且当前的互联网体系结构并不能很好地解决网络脆弱性的本质问题，安全系 统自身的可靠性也没有保证。

网络银行既然是互联网的产物，互联网所带来的一切安全隐患，自然会波及网络银行，影响其信用。除此之外，网银作为基于互联网应用的金融工具， 本身应该具有很强的安全控制和反欺诈攻击能力，以保证每一位用户的切身利益安全。但就目前的情况而言，网银常常被各种欺诈手段攻击，有专家指出常见的网银 欺诈的手段包括克隆银行网站、窃密冒领、网络钓鱼邮件、木马病毒、非法网站等。网银在安全控制方面的能力还比较弱，容易被网银欺诈者所掌握和利用。

在经过十多年的不断发展后，作为我国支付体系的重要组成部分，第三方支付的技术已经相当成熟。第三方支付从原始的收付款工具和电子钱包、支付 平台发展成为服务型的金融工具，已经进入到了第三代网上支付时代。第三代支付产品更加丰富、有特色，更加注重服务，在安全风险控制方面也获得了很大的成 功。

第三方支付企业为了应对欺诈威胁、保护消费者的利益，着重加强在安全和风险控制方面的研究和深入。第三方支付平台不仅具备了高效的防病毒木马 工具和插件，而且第三方支付企业环迅支付还针对网银欺诈推出了自己的反欺诈系统。反欺诈系统针对信用卡交易的欺诈风险，根据每个商户的行业及业务情况定制 个性化的风险控制方法来实现风险控制的最优化。安全性方面，环迅支付作为业内实力超前的公司，2008年率先通过国际金融领域权威认证的PCI-DSS认 证，在同时申报认证的独立第三方支付企业中，环迅支付是通过的唯一一家，这也足以证明环迅支付高等级的安全水平和风险控制能力。

既然第三方支付平台具有很好的安全控制能力和风险控制水平，与银行合作的模式也会有效的改善网络安全支付环境。作为国内最安全的独立第三方支 付厂商，环迅支付与中国建设银行黑龙江齐齐哈尔市分行共同推出从4月1日到6月30日结束为期两个月的“安全用网银，惊喜兑兑换”有奖用户体验活动，活动 期间用户只需根据网站提示，输入自己的“客户联系卡”编号及预留银行的手机号 码、登记会员信息，并根据提示自行支付1元钱，经建设银行齐齐哈尔分行核对信息后，即有机会获得相应的兑换礼品，同时享受网上支付的便捷。银行和第三方支 付企业的合作，不仅能使双方在安全风险控制方面的技术结合互补，提高网上支付的安全，还将吸收第三方支付企业的互联网优势和经验。

银行引入第三方支付平台，不仅可以改善安全问题，还将进一步提升用户的使用体验，促进网银使用的扩大普及。第三代电子支付进入服务型阶段以 来，更加注重尊重用户的感受。随着以人为本观念的深入，强调用户良好的使用体验已经成为了服务型企业越来越重视的追求。第三方支付企业勇于创新，以为用户 推出更多、更好的产品和服务为一切行为的宗旨。环迅支付与建行合作的目的之一就是在用户体验方面做不断地探索和创新，一方面利用银行的传统优势扩大第三方 支付平台的普及和认可，另一方面利用电子支付企业的网络资源优势进一步扩大普及网银的使用，并不断提高其安全控制性。