專題 1
託管式資訊保安服務 揭示企業IT管理新方向 作者為Symantec Hosted Services亞洲區域總監禮頌 (Nigel Mendonca)
數據資料在企業中扮演的角色已不單是提供訊息那麼簡單。只要善加運用、分析有道,數據可
以提煉出智慧、衍生出行之有效的業務策略,進而體現真正的商業力量。也因為這樣,數據保
安成為了企業營運中不可或缺的部分。面對日新月異、層出不窮的資訊安全威脅,企業應如何
應付?
最新的MessageLabs網絡安全報告指出,今年垃圾電郵發放者蓄勢待發,新一輪攻勢如箭在
弦。世界各地垃圾郵件的水平將在短期內激增,而空窗期及殭屍網絡問題又接踵而來。有關報
告更指,香港的垃圾電郵水平達92.1%,中國的病毒活動水平則上升了0.13%,每121.4封電
郵中便有一封含病毒,使其成為區內病毒問題最嚴重的國家。
這意味著企業急需加強資訊保安,避免重要商業資訊外洩、流失或受到破壞。在現今的辦公室
環境中,電郵、互聯網及即時訊息(IM)已成為不可或缺的通訊工具,但同時也為黑客大開中門,
讓垃圾郵件及各類惡意程式伺機入侵。問題是,新一代企業皆講求成本效益及投資回報,加上
經濟持續緊縮,促使企業作出IT投資時倍加謹慎。因此,有愈來愈多企業選用託管式保安服
務(Hosted Security Service),代替自行安裝保安軟件及伺服器。
服務增值
倍添效益
託管式保安服務突破了傳統外判服務的框架,緊貼企業用戶需要。企業毋須安裝及管理任何硬
件設施,所有保安應用皆經網上由服務供應商的數據中心傳送過來。用戶只需登入特別設計的
入門網站,在電腦上按幾個鍵即可享用全面的保安效能。服務水平協議也十分嚴謹,除著重服
務的可用性及穩定性,更提供24 x 7的電話及電郵支援。
服務供應商還會負責保安軟件的升級。用戶選用有關服務後,並不用記掛繁鎖的軟件管理及維
修細節,因為服務商會一一代勞。同時,服務商每天都要處理成千上萬網站要求及電郵,所謂
熟能生巧,自然對最新的病毒特徵和安全威脅趨勢瞭如指掌。
使用託管式保安服務每年只需按用戶量付上固定費用,毋須顧慮硬件成本及軟件牌照費用,也
沒有各種附加服務費「跟尾」,成本效益毋庸置疑。此外,服務商把託管應用傳送給用戶前,
會先行清除惡意程式及過濾垃圾郵件與網絡流程,並執行特定的保安政策。網絡「通道」除去
了雜質,自然變得更暢順無阻,運作起來自然更快捷和更具效率,讓用戶享有更充裕的頻寬。
社交網絡潛藏安全風險
與此同時,現今社交網絡大行其道,與資訊安全問題也息息相關。常聽見有企業嚴禁員工在工
作環境中使用Facebook、Twitter等社交網站,避免影響生產力、耗費網絡資源與頻寬。這種
想法是否合理實屬見仁見智,但有一點可以肯定:員工在辦公時間使用社交網絡到底為公為
私,難以一概而論。例如有不少人都從網上下載合法軟件工具以輔助日常工作,亦有從社交網
絡中覓得營銷商機。
市場研究機構McKinsey數月前發表的一項報告指出,全球一千七百名受訪的企業行政人員
中,有69% 皆表示所屬機構從Web 2.0應用獲益良多,包括提高產品和服務的創意、增進市
場推廣效益,同時吸納更豐富的知識、降低營運成本和增加收益。由此可見,社交網絡、網誌、
網上論壇和入門網站等Web 2.0應用,逐漸成為了行之有效的商業工作。
資安風險迅速蔓延
不過有一點是肯定的:在辦公室內開放使用社交網絡,無疑提高了企業的資訊安全風險,也因
而衍生不少商業問題。首先,有很多公開網站都可能潛藏惡意程式。MessageLab Intelligence
去年第三季的研究顯示,綜觀去年九月份欄截的惡意網域,有33.5%都是前所未見的。惡意程
式蔓延之快由此可見一斑。
其次,員工使用社交網絡時還會產生很多資訊內容,它們有可能被一般掃描或過濾程式忽略,
釀成資安風險;甚至有員工會不自覺把公司的檔案通過即時訊息 (IM) 或社交網絡送出,造成
資訊流失。不得不提當然是日益猖獗的黑客入侵。社交網絡使企業的電腦「大開中門」,任何
資訊可以自由進出,無疑讓網絡罪犯有機可乘。
由社交網絡觸發的資安風險,對企業的法規遵從部署亦造成挑戰。簡單來說,目前有很多國際
法規都要求企業妥善保存關鍵資訊,不容有失;萬一有所流失,便極有可能造成違規及影響商
譽。
政策與技術雙管齊下
要解決上述風險,企業應該從政策與技術兩方面入手。政策方面,應細仔定出員工瀏覽互聯網
的守則,例如哪些網站可以瀏覽、使用權限及程度。比方說,有些企業完全阻止員工用IM,
有些完全開放,有些則准許使用但禁止傳送附件,一切視乎實際需要而定。
技術方面,當然是採用防病毒、防間諜軟件以至全綜合保安應用,在伺服器、網閘以至終端用
戶的層面上落實全面保護,同時確保公司內的桌面電腦、膝上型電腦及流動電腦都得到充分照
顧。另外,企業也可考慮採用URL過濾工具,防止員工瀏覽未經批核的網站;也可引入檔案
過濾功能,隔絕有可能含惡意程式的可疑檔案,阻止它們進入網絡。
有愈來愈多企業選用託管式網絡保安及內容過濾服務,代替自行購買和安裝各種硬件設備,
Symantec
Hosted Services即為一例。此舉不僅更具成本效益,更可省卻系統管理、維修以至軟
件升級和更新的麻煩。企業使用這些功能就好像享用「服務」般簡易,只需登入服務供應商特
設的入門網站,各項功能便手到拿來。
網釣活動日益猖獗
另一方面,「網絡釣魚」(Phishing,簡稱「網釣」) 危機也日趨嚴重。簡單來說,網釣就是網
上詐騙,利用虛假的電郵來刺探電腦用戶的機密數據及知識財產,像銀行戶口及信用卡密碼,
從而滿足種種不軌企圖,例如把信用卡資料販賣給不法份子。
防範網釣的最有效方法,是阻截所有可疑的電郵進入企業網絡。這些電郵可能含有網釣特徵、
受感染附件,或附有通往受感染網頁的鏈結。然而,我們又應該怎樣識別該等惡意電郵並加以
阻截?嶄新的Skeptic預測技術在這方向正可大派用場。該技術能夠不斷「自學」和「自強」–
自動觀察和學習最新的網釣趨勢及技倆,第一時間掌握解網釣攻擊的新特性,做到與時並進,
繼而強化本身的偵測能力,主動出擊緝捕網釣者。Symantec的託管式資訊保安服務正好引入
了這種先進技術。
總括而言,在今天「服務導向」的經濟模式下,企業講求的是快而準、簡而精。任何IT技術
和功能都必須手到拿來和即時可用,用戶也不再希望被繁鎖的技術架構絆手絆腳。託管式保安
服務正好針對這方面的需要,對症下藥,為大、小企業在資訊管理方面除去後顧之憂,讓他們
可以在瞬息萬變、節奏緊迫的商業世界中奮勇衝刺。
專題 2
憑多元化技術在資訊氾濫潮中創造優勢
作者為NetApp公司香港及台灣區總經理 陳劍明
商業市場競爭激烈,企業爭相尋求提升優勢之道,開源節流和資源增值成為兩大重點。,儘管
企業可以努力節省不必要的開支,但有一樣東西始終有增無減,就是商業資訊。
一直以來,企業都為數據激增問題傷腦筋。早在八、九十年代互聯網尚未興起,當時數據增長
速度仍在控制之中,企業大可按比例添加儲存容量;但在資訊氾濫的今天,數據每天以倍數增
長,難以沒完沒了添加容量。因此有很多企業都採用不同措施以遏止數據增長,例如限制員工
電子郵箱的容量,超額即自動刪除舊郵件;又例如要求員工定期以光碟備份數據,然後在主系
統刪除,騰出更多空間存放新數據。
這些方法並非不可行,但始終治標不治本,而且面對極速增長的數據量,完全捉襟見肘,無法
駕馭。那麼企業又應如何在資訊氾濫潮中轉危為機?
從善用資源著手
要解決數據量暴漲的問題可從多方面入手,首先當然是善用資源。其實大家有沒有想過所有儲
存容量是否已被充分善用?一般企業都會把容量配額平均分配給所有員工,但基於工作性質不
同,有些員工可能很快便超額,有些卻經常用不了全部容量。儲存架構中因而出現了很多未獲
善用的「盲點」地帶。
解決方法是在儲存系統上加入智能虛擬化軟件,實現自動化精簡配置。原理好像把容量配額「拉
上補下」,把某時段內未獲善用的容量分給已透支的用戶,做到資源善用。換句話說,這種技
術能讓企業以更少的儲存資源管理更多數據。
與此同時,大家別小覤重覆數據為儲存系統帶來的負擔。假設一個含巨量附件 (如影音檔和
PowerPoint演示檔) 的電郵進入企業郵箱,並同時發給多名用戶。假如大家都沒有把檔案下載
至電腦然後從電郵中刪除,甚至在回覆電郵時一併帶著附件,一傳十、十傳百,相同的巨型檔
案就會不斷複製。新興的智能軟件正可針對這個問題,在儲存和備份數據時把重覆數據刪除,
避備浪費寶貴容量。
以上的情況在現今的企業運作中屢見不鮮,以更少容量處理更多數據(Do More With Less)彷彿
是一種逆向思維,與傳統背道而馳,但同時卻反映了現今企業儲存的重要趨勢 – 精明的企業
客戶再不會因為數據遞增而盲目添加容量,反而會引入軟件技術,透過虛擬化技術善用現有儲
存資源。這樣即使數據不斷增加,卻可購入更少容量,更重要是為纏擾多時的數據氾濫問題劃
上句號。
儲存整合不可或缺
與此同時,儲存整合(Storage Consolidation)是另一個對應付訊氾濫問題的好方法。隨著商業數
據與日俱增,企業用於儲存管理的成本甚至超越了購置儲存設施的成本。因此,有很多大、小
企業都紛紛採用整合策略,務求化繁為簡、降低管理成本,其中伺服器整合及儲存整合是兩大
關鍵範疇 – 前者透過虛擬化技術把多個伺服器融合於單一實體裝置,或把不同的檔案伺服器
融合於單一網絡化儲存裝置;後者則利用網絡化儲存,代替應用系統中的內部或直接附加儲存。
企業實施儲存整合時,往往需要克服不少困難。例如隨著數據要求的增加,企業需要購置額外
的伺服器,以應付新的工作負載;當中涉及繁複的程序,包括進行全系統備份、更換磁碟驅動
器,繼而把數據放回經擴展的伺服器。
另外,數據遷移過程每每涉及風險,而企業IT人員又可能需要接受新的培訓,才懂得操作經
整合的網絡化儲存架構,如儲存區域網絡(SAN)。再者,在直接附加儲存(DAS)環境中,每台
伺服器都需要個別備份,費時失事;SAN架構的昂貴成本當然亦不在話下。在種種因素的相
互影響下,為儲存整合帶來了嚴峻的挑戰。
新儲存技術突破瓶頸
據統計,有很多企業儲存系統的使用率只有三成左右。藉著把不同伺服器中的應用數據合併歸
一,企業可以相應實施中央化數據管理,並集中分配儲存容量,大大提升儲存系統的使用率。
在數據遷移方面,像SnapManager、SnapDrive等先進工具均有助加快數據遷移過程;待數據
完成遷移後,有關配置資料也會得到妥善的更新。
與此同時,儲存基建升級後不一定要大費週章為員工提供操作培訓。例如採用以互聯網協定(IP)
為基礎的SAN,就可以徹底發揮網絡化儲存的優點,因為資訊科技人員或許早已熟悉以太網
(Ethernet)的操作,而現有的千兆以太網(Gigabit Ethernet)的佈線及路由器皆適用於網絡化儲
存,減省了購置昂貴光纖通道交換器的需要。
此外,藉著把DAS整合至網絡化儲存架構,儲存配置(Storage Provisioning)也變得更簡易。因
為實施了中央化儲存管理後,系統管理人員毋須再個別監控每台伺服器的儲存運作,管理大量
伺服器輕而易舉。
目前,以iSCSI為基礎的SAN技術日漸普及,憑藉其簡易特性及低成本優點,企業的資訊科
技人員毋需額外培訓亦能操作自如。最重要是能夠克服儲存整合固有的瓶頸,為企業創優增值。
綜合管理化繁為簡
此外,企業還可引入「綜合數據管理」(Integrated Data Management)策略,利用一些綜合儲存
及數據管理應用系統,作為網絡儲存架構與前端用戶應用之間的橋樑;透過儲存虛擬化及管理
流程自動化技術,讓其他IT管理人員以至不同部門的用戶,都可以存取儲存系統的相關資源,
以及進行特定的數據管理操作,例如建立「度身訂造」的數據快拍概覽、還原因人為失誤而被
意外刪除的資訊,以至建立數據複製本以供系統測試和開發之用等。
實際操作時,用戶可通過入門網站看到與自己部門相關的數據儲存概況、可用資源及容量配置
狀況,並可妥善管理屬於自己的儲存環境,甚至把有關流程自動化。「綜合數據管理」更可跨
越應用系統、伺服器及數據庫的管理層面,改善不同應用環境的運作效率,例如可支援
Exchange、Oracle及SQL伺服器環境,讓企業輕鬆管理有關系統中的巨量數據。
只要能靈活運用以上的策略,實現完善的資訊管理架構,自然在資訊氾濫潮中保持優勢,逆流
而上。