企业安全

为了防御这些越来越复杂和自动化的攻击工具，企业应该先部署有效和标准的反恶意控制软件，保护自己不受恶意软件的威胁，而控制新恶意软件并不是重点。企业用于防御未来攻击的防御措施也会随时间变化，但是企业必须启动一个安全计划，持续评估这些安全措施是否有效，是否能够对抗最新的攻击。许多攻击工具使用网络钓鱼或受攻击的网站发起攻击。企业可以部署反网络钓鱼工具，降低这种风险；也可以使用基于网络的工具，阻挡恶意软件，防止恶意代码感染受攻击网站的客户端系统。
 
　　由于许多此类工具集过去主要针对于金融机构，所以这些组织还需要采用其他一些特殊防范措施。对金融系统进行强有力检查和平衡，发现和阻止恶意交易，有利于尽早检测出金融领域的攻击，从而减少金融偷盗事件。为了确定恶意攻击，可以将金融系统的访问限制在已知的安全系统上；每当它们连接金融系统时，还需要都它们进行评估。企业可能还要了解基于异常的检测系统，它们可以帮助检测出受攻击的主机或者恶意软件，这些恶意软件带有某些之前的发现特征。
 
　　一定要关注安全工具的最新动态。可惜，通常使用自动化工具的攻击只有在启动之后才会被发现，但是注意最新的攻击工具趋势，有利于了解短期内需要特别关注的攻击模式。
 
　　结束语
 
　　恶意软件、攻击工具和各种自动化网络攻击将继续快速发展，其速度将远远超过人们防御的速度和处理系统的更新速度。恶意软件社区在开发软件时不会很快采用标准的安全软件实践方法，但他们知道，使用强大的软件开发实践开发这些恶意攻击工具能够带来好处。这些工具将变得更复杂，因为攻击带来的利益越来越多。企业必须了解他们所处的风险，并且根据实际情况调整风险容忍和防御力度。

随着信息技术日新月异的发展，近些年来，各企业在信息化应用和要求方面也在逐步提高，信息网络覆盖面也越来越大，网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合，可以实现无纸办公。有效地提高了工作效率，如外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利的同事，各种网络与信息系统安全问题也主见暴露出来。 信息安全是企业的保障，是企业信息系统运作的重要部分，是信息流和资金流的流动过程，其优势体现在信息资源的充分共享和运作方式的高效率上，其安全的重要性不言而喻，一旦出现安全问题，所有的工作等于零。 怎样进行信息安全建设，便是我们面临的又一问题，在前面的文章中，我们已经了解了信息安全建设方法概述，山东省软件评测中心根据多年经验在本文中重点介绍进行信息安全建设的原则，希望能给大家带来帮助。 信息安全建设应遵循以下原则： （1）统一规划。要对信息安全体系建设进行统一的规划，制定信息安全体系框架，明确体系中所包含的内容。同时，还要制定统一的信息安全建设标准和管理规范，使得信息安全体系建设能够遵循一致的标准，管理能够遵循一致的规范。 （2）分步有序实施。信息安全体系的建设，内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行。 （3）技术管理并重。仅有全面的安全技术和机制是远远不够的，安全组织和安全管理也具有同样的重要性。信息安全体系的建设，必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范，指导组织的安全管理工作。 （4）突出安全保障。信息安全体系建设要突出安全保障的重要性，通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性  

信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。 在前面的文章中我们讲到信息安全建设的思想，本期主要介绍信息安全建设的方法，本文就信息安全建设目标做简单表述，希望能给大家带来帮助。 企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行把握。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。如图1信息安全体系规划图所示。 信息安全体系规划图 信息系统安全是一个动态发展的过程，过去依靠技术就可以解决的大部分安全问题，但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的动态发展的有安全保障的渐进过程。因此，目前在安全设备有一定规模的情况下，规范管理就成为了信息安全规划需要关注的核心内容，在信息安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息安全规划的重要内容。信息安全规划需要有规划的依据，这个依据就是组织的信息化战略规划，同时更需要有组织与人员结构的合理布局来保证，没有合适的人员配合工作任何事情都是不可能完成的，因此在安全规划中必须重视对组织结构建立和进行人员合理调配这个关键环节。 信息安全的建设目标，可以用“一个目标、两种手段、三个体系”进行概括。 一个目标。信息安全的建设目标是：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高组织信息系统的整体安全等级，为组织的业务发展提供坚实的信息安全保障。 两种手段。信息安全建设应该包括安全技术与安全管理两种手段。其中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。 三个体系。信息安全建设最终形成3个主要体系，具体包括安全技术管控体系、安全组织管理管控体系、运营保障管控体系。 以上是山东省软件评测中心多年工作总结，不足之处，还望专家学者拍砖指正  

上一篇（http://www.Dengb.com/Article/201307/224103.html）文章我们了解了信息安全规划的重要作用，本文主要讲述信息安全规划需要全局性考虑的几个方面。
一、信息安全规划依托企业信息化战略规划
信息化战略规划是以整个组织的发展目标、发展战略和组织各部门的业务需求为基础，结合行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握，定义出组织信息化建设的远景、使命、目标和战略，规划出组织信息化建设的未来架构，为信息化建设的实施提供一副完整的蓝图，全面系统地指导组织信息化建设的进程。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息安全规划的目标应该与组织信息化的目标是一致的，而且应该比组织信息化的目标更具体明确、更贴近安全。信息安全规划的一切论述都要围绕着这个目标展开和部署。
二、信息安全规划需要围绕技术安全、管理安全、组织安全考虑
信息安全规划的方法可以不同、侧重点可以不同，但是需要围绕技术安全、组织和管理安全、运维安全进行全面的考虑。规划的内容基本上应该涵盖有：确定信息安全的任务、目标、战略以及战略部门和战略人员，并在此基础上制定出物理安全、网络安全、系统安全、运维安全、人员安全的信息安全总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全等。网络安全包括网络拓扑结构安全、网络访问安全等。系统安全包括操作系统安全、应用软件安全、应用策略安全等。运维安全应在控制层面和管理层面保障，包括备份与恢复系统安全、漏洞检查及系统补丁功能、口令管理等。人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。
三、信息安全规划的影响力在信息系统与信息资源
信息安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，因此规划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行，包括蓝图、现状、需求、措施四个方面。首先，对信息系统与信息资源的规划需要从信息化建设的蓝图入手，明确组织信息化发展策略的总体目标和各阶段的实施目标，制定出信息安全的发展目标；第二，对组织的信息化工作现状进行整体的、综合、全面的分析，找出过去工作中的优势与不足；第三，根据信息化建设的目标提出未来几年的需求，这个需求最好可以分解成若干个小的方面，以便于今后的落实与实施；第四，要将实施工作阶段的具体措施与办法文档化，提高规划工作的执行力度。
信息安全规划服务于企业信息化战略目标，信息安全规划做得好，组织信息化工作的实现就有了保障。信息安全规划是组织信息化发展战略的基础性工作，不是可有可无而是非常重要。由于组织信息化的任务与目标不同，所以信息安全规划包括的内容就不同，建设的规模就有很大的差异，因此信息安全规划无法从专业书籍或研究资料中找到非常有针对性的帮助，也不可能给出一个规范化的信息安全规划的模板。在这里提出信息安全规划框架与方法，给出了信息安全规划工作的一种建设原则、建设内容、建设思路，具体规划还需要深入细致地进行本地化的调查与研究。
以上是山东省软件评测中心多年的工作总结，希望能给大家带来帮助，不足之处还望指正。
 

前一篇文章中（http://www.Dengb.com/Article/201307/224101.html），我们明确了信息安全建设的目标，本文讲述信息安全建设规划的必要性，以下是山东省软件评测中心多年经验总结，如有问题，欢迎拍砖。
一、概念
根据用户需求，按照用户网络安全现状进行规划与可行性分析、产品选型、投资预算等信息安全建设的方案设计。
二、信息安全规划的意义
信息安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息安全的总体目标是物理安全、网络安全、主机安全、应用安全、数据安全与安全管理的总和。信息安全的最终目的是确保组织信息的机密性、完整性和可用性，以及组织对于信息资源的控制。
信息安全规划是以组织信息化战略规划为指导，以组织的信息资源规划为基础，全面完整地规划信息系统应用和相关信息架构，确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约下，让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。信息安全规划不应只是规划未来几个月，而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。信息安全规划比单独购买信息安全产品更重要，只有信息安全的整体部署有计划、有方向、有目的、有配合，才能构成真正意义上的信息安全。
三、 信息安全规划的范围
信息安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想，信息安全规划需要从管理、组织和技术等多方面进行综合考虑，所涉及到的应该是综合管理、技术规范、运行维护等多个层面的控制措施。
信息系统安全是一个动态发展的过程，过去依靠技术就可以解决大部分安全问题，但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的动态发展的有安全保障的渐进过程。因此，目前在安全设备有一定规模的情况下，规范管理就成为了信息安全规划需要关注的核心内容，在信息安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息安全规划的重要内容。信息安全规划需要有规划的依据，这个依据就是组织的信息化战略规划，同时更需要有组织与人员结构的合理布局来保证，没有合适的人员配合工作任何事情都是不可能完成的，因此在安全规划中必须重视对组织结构建立和进行人员合理调配这个关键环节
 

随着信息安全事件的不断发生，信息安全的重要性呈指数增长的趋势。过去几年来，网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗、公开可获得的黑客工具等事件日益复杂，病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势，许多企业投入大量资金购买安全设备、系统软件和系统服务来应对，但是，往往得不到预期的风险管理的效果。
山东省软件评测中心根据多年经验，总结出了信息安全在规划、建设、运维方面的一些见解与方法，本期重点讲述信息安全的思想，希望能给大家带来帮助。
一、信息安全概念
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
二、信息安全现状
信息安全及风险管理重技术、轻管理。大多数组织的管理着都以树立了不同程度的安全和风险意识，但是信息资产所面临的严重性认识不足，仅局限在IT方面的安全，缺少合理的信息安全方针来指导组织的信息安全管理工作，在安全规划、风险、应急、安全教育培训、系统评估方面采用静态管理，出了问题再补救，缺少全局管理方法。
实际上，解决信息安全问题的根本措施是需要结合企业网络和业务实际，通过正确的方法，建立一套适合企业的信息安全体系，并在企业中持续的运行、改进。以下将为企业在信息化建设过程中，如何更好的应对信息安全问题提供一些思路和方法。
三、信息安全重要性
信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。
我国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展。除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我国通信传输中的信息。
在20世纪后50年中，从社会所属计算机中了解一个社会的内幕，正变得越来越容易。不管是机构还是个人，正把日益繁多的事情托付给计算机来完成，敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，所有这一切，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。
传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的
 

“棱镜门”事件后，越来越多的企业更关注自身的信息安全，并通过强效武器—加密软件来升级自身的防御力。但是临阵磨枪的匆忙部署，往往会使加密项目出现各种问题，反而影响部署进度和效果。我们从内网安全管理企业溢信科技处了解到，不少企业很多企业网管员、IT经理等被上级临时要求在企业准备部署加密，时间上的匆忙和信息的不足，造成很多如缺乏系统规划、产品选型经验不足、部署方案可行性不够等问题出现，其实加密部署有一套详尽规范的流程可学，不如学好这五步，让加密部署效果事半功倍。

如果企业没有提前准备，不知道到底应当如何恰当地响应灾难，势必会造成巨大损失。所以应采取措 施改善现有计划来保证业务在灾难发生时能够连续运行。
 
　　业务影响分析
 
　　企业需要明白要保护并备份哪些类型的设备、应用程序、数据等，理解有哪些系统对企业最为生死攸关，还要知道在IT系统不可用时主要业务会发生哪些问题，还要理解丢失数据会造成的影响。你还需要决定系统和“宕机时间”（停机时间）之间的相互关系。
 
　　彻底测试灾难恢复计划
 
　　然后你需要从头到尾地进行测试，真正完整地执行计划的全部步骤，这意味着人员向恢复数据中心集合，带来新硬件，加载新软件和应用，从正在使用的任何备份介质上恢复数据，然后让终端用户登录，并尝试访问应用程序。
 
　　然后，你需要决定此计划是否满足你的恢复时间目标（所允许的最长停机时间），你要确定一个系统在真正不损害企业业务的前提下的离线时间。我们建议企业查找“痛点”，这有助于决定一个项目是否应当添加到灾难恢复计划中。企业可以在测试开始之前或在测试过程中轻松地发现“痛点”，这比发生问题后才去修复“痛点”要有效得多。
 
　　本地实施？异地进行？
 
　　灾难恢复计划的另一个关键部分是，在自己进行灾难恢复还是外包。企业内部进行灾难恢复需要有内部资源，而外包需要想想：“我们企业和IT需求的变化太快，以致于无法考虑长期的灾难恢复合约吗？”
 
　　对于不能存放在异地或第三方环境中的数据分类，企业必须拥有这类数据的恢复数据中心。在这里，决策的关键是判定在特定企业行业中有什么合规问题。
 
　　数据恢复专家
 
　　有时即使最好的灾难恢复计划也可能失效，那么应该拥有一个第三方的专家随时待命，用最少的“宕机”时间使数据回归系统
 

随着越来越多的新安全风险的威胁，确保企业数据安全和完整也逐渐变得重要。身份认证管理软件对访问不同数据的用户进行管理，帮助企业确保数据安全。
　　认证管理保证了跨越多个系统的用户身份的一致性。该技术自动化战略性的IT任务，结合用户权限和用户身份的限制，允许员工只访问自己权限以内的数据。目的是通过确保资源的稳定性从而维护企业安全。另外，随着云计算越来越多地深入到数据中心管理，基于云计算的系统面临新的挑战。
　　政府的规章制度要求企业对用户的身份进行审计，以确保与动作一致。但是最近，身份管理由于其他原因变得更加重要。在过去的几年里，移动设备的使用已经激增，员工使用云资源在不同的设备上工作的现象已经变得普遍。身份管理系统允许员工在多个设备上使用相同的身份。
　　全面的身份管理系统还可以处理可扩展性问题。在一个小型企业中，追踪每个员工的帐号并不是一件具有挑战性的工作。但是随着设备和员工数量的增加，追踪帐号使用就变得非常困难。
云中的身份管理更加复杂
　　技术趋势是周期性的，身份管理就是一个完美的例子，一切旧的又变成新的。
　　很多年前，我在一家大型保险公司工作。当时我们有一台服务器，存储了所有的东西。但是随着我们终端用户的增加，该服务器很快就不够用了，我们不得不将资源移到新的服务器上。
　　那时，每个服务器有自己的权限机制，每个用户需要多个用户帐号——每个服务器都得有一个。如果用户需要重置密码，每个服务器上的密码也都要重置。这种分离的用户帐户是一个巨大的管理负担。
　　最后，微软的活动目录和Novell目录服务等技术帮助我们解决了这些问题。即使在现在，活动目录允许用户拥有单独的一套证书，在整个组织中都可以使用。
　　问题是，组织经常结合使用已有的资源和云资源，这又会产生多个帐号问题。尽管有例外（如微软Office 365），但大多数云应用和组织中的本地活动目录不同步。例如，我的云备份和我的本地活动目录不同步。云计费应用程序也不例外。常见的情况是，终端用户通过活动目录帐号访问本地资源，同时也拥有独立的云应用帐号。
　　这就产生了一些问题。首先，随着组织使用越来越多的云应用，需要记住的用户名和密码的数量也暴涨。尽管有人认为分离的帐号能够改善整体的安全性，但真正的经验表明，每个用户积累的一套认证信息不得不将记录下来保存，从而产生了安全风险。
　　分离帐号产生的另外一个问题是，增加管理负担。设立新的用户帐号会变成一个耗费时间的过程，因为每个用户的云应用必须另外单独设立。同样，密码设置也变得复杂，比如，用户说不清楚到底哪个密码需要重置。
　　为了解决这些问题，认证管理提供给用户一套可以普遍使用的单独的认证。虽然减少用户认证的数量能够摆脱烦人的认证管理现状，重要的是要记住，更多的是认证管理，而不仅仅是提供给最终用户single sign-on功能。
活动目录的限制
　　很多组织使用活动目录作为认证用户的首要机制，因此考虑什么样的活动目录能够用于身份管理系统是有意义的。
　　一般来说，活动目录可以提供用户认证和资源的访问控制（比如，活动目录内部资源和应用组策略安全的资源）。活动目录帐号允许访问网络共享文件或本地应用。
　　活动目录认证还提供外部资源的访问控制。Windows Server允许创建联合信任，允许一个活动目录森林信任另一个。如果活动目录和另外的资源比如云应用之间没有信任关系，然后它没有为资源执行身份验证的权限。这种的信任关系在一个组织中的终端用户需要访问另个收购的组织网络中的资源的情况下很有帮助。这些类型的特性无需更改多个系统就可以对用户进行验证。这种集中认证对管理员来说是一种福利，因为它消除了成倍的手工任务。
　　这是两部分系列中的第一部分。敬请期待第二部分
 

 　　我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。计算机和网络技术具有复杂性和多样性，使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看，主要存在以下三个方面的隐患。   　　1 企业缺少信息安全管理制度   　　企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程，涉及到计算机技术和网络技术以及管理等方方面面，同时，随着信息系统的延伸和新兴技术集成应用升级换代，它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理，不断制定和调整安全策略，只有这样，才能在享受企业信息系统便利高效的同时，把握住信息系统安全的大门。   　　2 员工缺少安全管理的责任心   　　一个企业的信息系统是企业全体人员参与的，不考虑全员参与的信息安全方案，恰恰忽视信息安全中最关键的因素――人，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中，发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部，而不是来自企业外部的黑客等攻击者，安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为，目前还没有成熟的、全面的解决，对于来自企业信息内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在。   　　3 信息系统缺乏信息安全技术   　　计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，网络硬件、软件系统多数依靠进口，由此可造成企业信息安全的隐患，现在黑客的攻击并不是为了破坏底层系统，而是为了入侵应用，窃取数据，带有明显的商业目的，许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全

在有限的预算内，改进安全技术的最好办法是什么？我们想要更新一些较老的技术，并转移到SIEM（安全信息事件管理）或者其他威胁数据关联产品，但面对紧张的IT安全预算，这很难实现。我们也有考虑一些开源产品，那么，在使用免费和开源安全工具与购买商业安全产品之间，如何作出最佳选择呢？   　　从来没有信息安全团队告诉我，他们得到了他们想要的预算。现在，大家似乎都谨遵“少花钱多办事”的宗旨。所幸的是，当你的预算很紧张时，有很多可行的开源工具可用来替换商业工具。对于选择商业产品还是开源工具，并没有经过检验证明的可靠办法。需要记住一些事情。：   　　开源安全工具通常只能在技术上与商业产品“媲美”。主要的区别是配置和升级的简便性。开源工具有着陡峭的学习曲线，并且变化很快，而商业工具有用户友好型配置界面，并提供服务支持。   　　如果你的安全团队缺乏配置和维护开源工具所需的技能，考虑使用商业工具。另外，在高风险环境中，我也建议使用商业工具，因为这种环境中支持和正常运行时间非常关键，除非你的安全团队能够提供相同的支持水平，否则应该使用商业工具。我通常混合使用商业工具和开源工具来加强我的防御，这不仅提供了纵深防御（攻击者必须渗透多个防御层），还允许我的团队在低风险环境中学习开源工具。   　　在你的开源安全工具候选名单中，应该考虑添加这些出色的开源工具：OSSIM是最受欢迎开源SIEM之一，它也是很成熟的工具。追溯到2003年，它支持几乎任何网络设备的日志格式，并能够与开源IDS和漏洞评估工具很好地集成。它还提供一个升级路径，如果你需要更多支持的话，你可以将其升级到商业版本。如果你没有时间配置像OOSIM这么复杂的工具，Security Onion是另一个不错的工具，Security Onion是基于Ubuntu的Linux发行版，包含构建分布式IDS/IPS传感器网络（流入中央数据库）所需的一切。虽然它不能从现有网络设备中导入日志，但它是使用开源或者专有工具构建中央警告系统的最快的工具。