美国大型企业是外国政府机构和恐怖主义分子的目标已经不是秘密了。军方和恐怖主义机构把目标对准商业机构只是一个时间问题。实际上，美国国土安全部最近发布警告称，美国股票市场和银行网站可能够遭到互联网攻击。大型企业提供了一个诱人的目标，其潜在的影响力是非常大的。

一、已知的目标和威胁

美国国防部由于财力雄厚使用了世界级的信息安全标准和分层次的控制措施来保护其系统的安全。相反，企业的安全预算有限，而且企业的安全还受到合并与收购的削弱。那些攻破美国国防部网络的黑客很容易攻破商业网络，他们知道这个情况。任何向美国公民提供重要的服务的机构都是潜在的目标。这些例子包括通讯公司、金融机构和财富50强企业。

网络战争的威胁与普通的互联网威胁不同。大多数机构都没有为此做好充分的准备。企业防御一般都把重点放在防止数据被盗窃或者被修改方面。网络战争是要中断重要的基础设施和服务。这就需要把可用性、弹性和事件反应能力结合在一起。预计恶意攻击是由坚定的黑客实施的。这些黑客经过了良好的训练并且有充足的资源。

网络战士的风险-回报率也不同。许多网络战士并不是受利益驱使的。他们使用大量的时间和资源只是为了中断服务和引起混乱。这就是他们惟一的回报。经济破坏是非常大的，能够使一个国家气馁。考虑到美国的军事实力，网络战提供了一种诱人的替代选择。网络战可以从海外实施，遭到报复的机会很小。企业应该认真对待这种威胁。了解当前的网络战威胁，不断评估这种事情的发展。

二、网络战防御

基于互联网的攻击正在变得越来越高级。网络战威胁要求综合的安全防御措施。这些措施包括防御、检测和矫正控制等。一个成功的防御战略重点是识别重要的信息和服务并且为保护这些信息提供分层次的控制。好的企业做法是建立在行动的基础之上的，而不是建立在反应的基础之上的。这就意味着安全计划在保护敏感的数据和重要的服务方面必须有高度的预见性，也就是说修复安全漏洞不让审计人员发现，提高对由于政策和机构之间的差距而存在的一些问题的了解并且协作工作解决这些问题，防止不恰当地引述补偿控制。

最佳做法和可应用的规定具体说明的这个分层次的控制对于保持强大的安全姿态是必要的。确保重要的供应商遵守你的标准。高级管理层必须积极支持这个方法，向安全计划投资并且宣传安全是业务的需求。信息安全专业人员可以通过有效地与高级管理层沟通来提高自己的事业。沟通的方法包括有针对性的熟悉安全的课程，内容包括展示、指标和报告。请求他们全年都提供技术支持。

三、防御网络突破

在大型企业确定一个网络安全范围是困难的。但是，有许多有帮助的最佳做法。开始要在每一个站点对网络和系统实施文件存档。接下来，联系你的互联网服务提供商并且确定可用的IP地址范围。在获得适当的批准之后，在维护周期的时候扫描每一个IP端口。认真检查扫描结果中的安全漏洞和不可靠的系统。最后，监视每一个IP地址范围并且如果一个没有使用的IP地址投入使用就发出警报。

确保所有外部网络接入点都在防火墙和加密的虚拟专用网的控制之下。使用双因素身份识别，通过要求登录账户、口令和身份识别设备来严格控制网络接入。使用网段进一步隔离企业网络的风险。从标准的三层架构开始(网络、应用程序和数据库层)。使用精细的防火墙规则控制入网和出网的通讯。确保每一个系统都在一个适当的网络中(也就是隔离区、外部网和内部网)。在内部和办公室之间也要给网络分段(也就是星形结构(hub-and-spoke)虚拟专用网)。

使用防火墙把敏感的系统与无线网络隔离开来。选择一种轮流使用密钥和使用强大的加密措施防止被攻破的无线结构(如，WPA2 AES-CCMP)。进行驾驶攻击演习以便找出坏蛋的无线接入点。通过在不同厂商生产的和在不同的操作系统上运行的两个防火墙之间加入隔离区来保护网络不受操作系统和防火墙软件安全漏洞的影响。使用应用程序代理防御零日攻击安全漏洞和应用层攻击。

四、网络监视和增强

网络战争也许是非常隐蔽的并且实施几个星期或者几个月的客户攻击。适当地调整入侵检测系统软件。采用一种内容过滤解决方案来检测非法使用敏感的信息，防止敏感的信息泄漏到网络。监视网络性能以检测拒绝服务攻击。另外，黑客利用应用软件的安全漏洞能够渗透防火墙等世界级的基础设施防御层。要熟悉你的商业应用软件的功能。通过指纹图谱技术，黑客将发现哪一个软件正在使用之中。接下来，黑客将下载管理指南，学习获得访问权的方法(如远程接入管理控制台)。

黑客还将寻找已知的安全漏洞，因此，应用程序必须要例行性地使用补丁。最后，在互联网上搜索商业应用软件的增强指南并且进行适当的设置。确保客户代码是根据行业最佳做法制定的，并且要定期进行代码评估。注：管理部门越来越把重点放在应用程序安全方面了(例如，支付卡行业理事会最近增加了强制实施代码审查的规定以及在其PCI数据安全标准中使用一种网络应用程序防火墙)。

五、网络安全系统可用性

可用性不仅仅是业务持续性或者灾难恢复的事情。系统在遭到攻击的时候必须还可以使用。通过采用入侵防御系统对抗实时攻击来应付网络拒绝服务攻击。设置操作系统放弃拒绝服务攻击通讯。检查客户应用程序中的拒绝服务攻击安全漏洞并且采用入侵检测/入侵防御系统功能。最后，在拒绝服务攻击期间要封锁不需要的通讯的时候请联系ISP配合你的工作。

六、政府力量控制

网络战争需要政府加强控制，保护商业机密等保密信息。考虑采用一个空隙或者物理隔离的方法保护敏感的网络。这是防止数据在网络上泄漏的一种绝对的方法。大多数信息安全专业人员一致认为，一个坚定的攻击者将穿透外围防御。纵深防御的原则是根据这个推测实施的。要认真看一下内部控制和我的“内部风险管理指南”。

当建立内部安全标准的时候，考虑US-CCU网络安全监察列表和PCI安全审计程序。这些都是说明性的东西，采用了比ISO 17799和COBIT等普通的信息安全标准更保守的方法。要保护网络基础设施，你可以考虑SANS互联网风暴中心的建议。使用增强的操作系统，如Red Hat公司的SELinux或者Solaris 10。如果必须要使用一个标准的操作系统的话，要根据行业的最佳做法增强这个操作系统。不要忘记在增强事件反应程序中包含网络战争。把安全和IT团队召集在一起讨论恶意团队会采用什么方法使公司的业务瘫痪以及防御、检测和回应的措施。训练应该包括网络战争事件，包括联络ISP和政府代表。

七、了解和利用你的敌人

要成功地防御网络攻击，了解对手并且参与对手的下一个行动是很必要的。网络战士是专业人员并且使用传统的战争的战略和战术。两位中国将军在他们撰写的《没有限制的战争》一书中讨论了现代战争(沙漠风暴之后的战争)。他们提到了美国对系统的依赖并且揭示了8个“超越极限”的战争原则。这些原则也适用于网络战争：

（1）全方位性：包括技术领域在内的战场是没有边界的。普通人和专家可能成为目标。（1）同步性：攻击在不同的位置和同一个时间完成。采用现代高科技手段，这个过程一眨眼功夫就结束了。（2）　有限的目标：当制定目标时，要全面考虑完成这些目标的可行性。不要追逐在时间和空间上没有限制的目标。（3）无限的手段：当攻击作战目标时，作战原则不适用。美国国内战争中焚烧南部就是一个例子。（4）不对称性：不要与敌人面对面地对抗。取而代之的是采用游击战、恐怖主义和网络战争的策略。攻敌不备，抓住弱点。这种力量的使用将导致巨大的心理震撼。（5）最小的消耗：把几类地区的若干类型的战斗支援的优势结合起来组成一个全新的作战方式。在把消耗减少到最小的同时完成作战目标。（6）多方位协调：这个原则是指在不同半球的不同部队之间的协作，以便完成作战目标。在战争领域包括非军事和非战争的因素。（7）调整和控制整个过程：现代的、高科技的手段可能使战争的整个过程非常短，从而意外地使调整和控制战争更加困难。  这两位将军的话是发人深省的。由于外国团体把网络领域看作是一个软目标，把商业行业看作是公平的游戏，在制定防御战略的时候，这些原则都值得考虑。

 八、最后的思考

不要让遵守法规的负担减弱你的机构的安全态势。网络战争只是你加强外围和内部防御的许多理由之一。这里的关键区别是一个坚定的攻击者不怕被逮捕或者被报复。他的回报是破坏和混乱。网络珍珠港事件的可能性是存在的。信息安全专家和美国政府已经预料到了。问题是企业应该认真对待网络战争的威胁并且把它排在预算的优先位置吗?公正的警告...