最新欄目文章加載中。,。,。
最新欄目文章加載中。,。,。
企業(yè)安全之戰(zhàn)
????網(wǎng)絡(luò)安全隱患已經(jīng)從單純的病毒入侵發(fā)展到了針對企業(yè)數(shù)據(jù)和信息的攻擊,,企業(yè)的安全防護(hù)重點也相應(yīng)開始轉(zhuǎn)移 ????作者:李全偉 ????企業(yè)在享受網(wǎng)絡(luò)技術(shù)好處的同時,,也時時面臨許多安全隱患。引人注意的是,,企業(yè)安全隱患已經(jīng)從單純的病毒入侵發(fā)展到針對企業(yè)數(shù)據(jù)和信息的攻擊,。前者的危害一般可以量化,最嚴(yán)重的是造成系統(tǒng)癱瘓,;而后者的危害很可能導(dǎo)致企業(yè)商譽和品牌受損,,后果不堪設(shè)想。前不久,,英國一家老牌商業(yè)銀行載有 37 萬名客戶資料的光盤不慎在郵寄過程中遺失,,引起了用戶的恐慌。諸如此類,,金融服務(wù)企業(yè)和機(jī)構(gòu)接連不斷地出現(xiàn)客戶資料泄密事件,,給企業(yè)安全拉響了警鐘。 ????商海拼殺,,難免會挨刀,,關(guān)鍵是要明白刀來自何方。許多管理者認(rèn)為,,病毒和黑客是企業(yè)安全的最大威脅,。在兩三年前,或許是這樣,。時至今日,,信息的丟失和被竊已成為企業(yè)面臨的最大安全威脅。據(jù) EPIC 組織(Electronic Privacy Information Center,,一家總部位于華盛頓的電子穩(wěn)私信息中心)統(tǒng)計,,企業(yè)安全方面的威脅有 48% 來自外部,包括病毒、黑客,、惡意代碼,、垃圾郵件等外網(wǎng)威脅;有 52% 是由內(nèi)而外的行為,,包括員工的過失,、流程的缺陷等內(nèi)部原因。在 52% 的來自內(nèi)部的威脅中,,只有 1% 的行為是個別員工主動作案,,絕大部分是內(nèi)部無意行為所引起,其中包括員工無意訪問含有病毒代碼的網(wǎng)頁,,而最多的是員工疏忽造成的信息和數(shù)據(jù)遺失,。 ????目前,企業(yè)的信息和數(shù)據(jù)遺失情況呈逐步增多趨勢,。ITPCG(IT Policy Compliance Group)的研究報告顯示,,近 7 成的受訪機(jī)構(gòu)平均一年遺失多達(dá) 6 次以上的重要數(shù)據(jù)。在這項研究的被調(diào)查機(jī)構(gòu)中,,有 20% 每年遺失數(shù)據(jù)的次數(shù)高達(dá) 22 次,。賽門鐵克大中國區(qū)總裁吳錫源說,現(xiàn)在筆記本電腦和 U 盤在公司中使用廣泛,,它們的丟失對企業(yè)安全構(gòu)成了威脅,。還有一項調(diào)查顯示,每 5 家公司中就有 4 家發(fā)生過因筆記本電腦遺失而引起的機(jī)密數(shù)據(jù)丟失,;每兩家公司中就有 1 家發(fā)生過因為 U 盤丟失而導(dǎo)致的數(shù)據(jù)丟失,。從全球情況看,,因 U 盤遺失造成的數(shù)據(jù)丟失現(xiàn)象越來越多,。 ????來自病毒的危害給企業(yè)造成的損失容易估計,。賽門鐵克中國區(qū)銷售總監(jiān)郭訓(xùn)平說,,病毒主要影響企業(yè)基礎(chǔ)構(gòu)架(企業(yè) IT 建設(shè)基本上分為三個層面:一是基礎(chǔ)構(gòu)架,,包括電腦,、服務(wù)器,、網(wǎng)絡(luò)設(shè)備等硬件產(chǎn)品;二是應(yīng)用層面,,主要是在 IT 架構(gòu)上的應(yīng)用,;三是數(shù)據(jù)和信息層面)。病毒危害會造成使用者的桌面沒法工作,乃至系統(tǒng)癱瘓,,但對業(yè)務(wù)和信息構(gòu)不成太大的影響。而企業(yè)的信息和數(shù)據(jù)一旦丟失,,損失就很大,。調(diào)查顯示,企業(yè)每丟失一項用戶數(shù)據(jù),,便需要通知客戶重新錄入,,整個過程產(chǎn)生的額外支出為 100 美元。更重要的是,,由于不小心遺失了客戶的機(jī)密資料,,企業(yè)很難相信受損失的客戶還能再放心地使用該機(jī)構(gòu)的服務(wù)。在信息發(fā)達(dá)的現(xiàn)代社會,,得知消息的客戶和潛在客戶會對這家機(jī)構(gòu)產(chǎn)生懷疑,。這些機(jī)構(gòu)一旦失去用戶的信任,受到的打擊可能是致命的,。
 ????數(shù)據(jù)破壞頻繁發(fā)生并日趨常規(guī)化,,導(dǎo)致了成本的增加。因此,,企業(yè)負(fù)責(zé)人越來越將數(shù)據(jù)丟失防護(hù)列為需要考慮的重要問題,。高盛進(jìn)行的一項安全支出調(diào)查表明,50% 以上的企業(yè)安全主管認(rèn)為,,數(shù)據(jù)泄露是導(dǎo)致企業(yè)安全支出的主要因素,。 ????關(guān)于信息泄露的主要原因,賽門鐵克公司安全技術(shù)和響應(yīng)部門副總裁史蒂夫·特里林(Steve Trilling)說,,首先是計算機(jī)和存儲介質(zhì)的被盜和丟失,。例如,某人可能將U盤遺落在飛機(jī)上,,或者是因存儲機(jī)密數(shù)據(jù)的移動硬盤未經(jīng)加密而失竊,。其次,一些企業(yè)缺乏適當(dāng)?shù)陌踩呗?,即便是告訴員工不要隨便將工作文件發(fā)到私人郵箱這樣簡單的事情,,也沒有做到。 ????正是由于安全問題出現(xiàn)了新變化,,企業(yè)安全解決方案也隨之變化,。以前,一談到企業(yè)安全問題,,主要涉及的是保證桌面和基礎(chǔ)構(gòu)架的安全,,現(xiàn)在則是保證信息和數(shù)據(jù)的安全,。前面的調(diào)查數(shù)據(jù)說明,要保證信息安全,,并不是說把企業(yè)的“城堡”打造成刀槍不入就完事大吉,因為堡壘有可能從內(nèi)部攻破,。在四川大地震中,,桑棗中學(xué)的經(jīng)歷可以給企業(yè)管理者提供一定的啟迪。緊鄰地震損失最為慘烈的北川縣的安縣桑棗中學(xué),,全校 2,300 多名學(xué)生和教師只用 1 分 36 秒就沖出教室,,跑到安全的操場,身后是岌岌可危的教學(xué)樓,。桑棗中學(xué)師生安全脫險,,跟校長葉志平主抓兩件事有關(guān):一是對教學(xué)樓的不斷加固,二是從 2005 年開始每學(xué)期組織全校師生進(jìn)行緊急疏散演習(xí),。加固了的教學(xué)樓,,無疑為師生的逃生爭取了時間,而更重要的原因是葉志平防患于未然的避險意識,。吳錫源說,,企業(yè)的安全問題,關(guān)鍵還是從首席執(zhí)行官開始,,層層樹立安全意識,,把安全管理納入日常的管理經(jīng)營中,從戰(zhàn)略層面上加以重視,,采取切實可行的安全解決方案,,這樣才能把好企業(yè)安全大門。 ????在具體措施方面,,郭訓(xùn)平說,,把安全歸為管理問題,具體思路就不一樣,。企業(yè)在做安全規(guī)劃時,,首先要考慮的是確立安全策略。企業(yè)要明確自己需要的安全級別是什么,,然后是在此基礎(chǔ)上,,采取什么樣的安全產(chǎn)品和措施與之配套,。 ????史蒂夫·特里林說,,隨存儲數(shù)據(jù)每年增長 50%,想要保護(hù)所有的信息,,需要付出大量的成本,,而且效率極低,。因此,企業(yè)需要保護(hù)的是關(guān)鍵信息,,從源代碼到用戶信息及員工數(shù)據(jù),。關(guān)鍵在于平衡風(fēng)險與機(jī)遇、在于保護(hù)數(shù)據(jù),,無論數(shù)據(jù)是在靜態(tài)還是在動態(tài)之中,。在進(jìn)行安全管理前,企業(yè)首先需要回答幾個簡單卻十分重要的問題:一是企業(yè)擁有哪些敏感信息,?二是這些敏感信息存儲在哪里,?三是這些信息在網(wǎng)絡(luò)和端點上是如何使用的?一旦深入了解信息如何被使用,,企業(yè)便能夠開始設(shè)置策略來降低風(fēng)險,。 ????具體的方法包括為存儲分級、歸檔和加密設(shè)置,。例如,,企業(yè)可以規(guī)定,員工只有在 U 盤經(jīng)過加密后才能拷貝數(shù)據(jù),?;蛘撸髽I(yè)可以規(guī)定員工不能用電子郵件發(fā)送機(jī)密信息,。史蒂夫·特里林認(rèn)為,,所有的企業(yè)負(fù)責(zé)人必須參與到策略設(shè)置中,不僅僅是首席信息官,,還要包括首席財務(wù)官,、首席運營官等,企業(yè)上下所有的主管人員都要參與,。畢竟,,如果將安全作為業(yè)務(wù)的推動者,所有參與業(yè)務(wù)運營的人也都應(yīng)當(dāng)參與安全策略的設(shè)置,。除此之外,,主管人員的參加,對推動安全文化的發(fā)展也有至關(guān)重要的作用,。 ????雖然信息和數(shù)據(jù)的保護(hù)成了企業(yè)安全的重中之重,,但傳統(tǒng)的安全解決方案(包括防病毒軟件、內(nèi)容過濾,、反垃圾郵件程序等)仍然很重要,。在此基礎(chǔ)上,企業(yè)應(yīng)從更全面的角度考慮安全問題,,把安全納入管理工作中,,對需要保護(hù)的數(shù)據(jù)進(jìn)行管理,,真正實現(xiàn)以信息為中心的安全部署。 相關(guān)稿件
|
|
500強情報中心
|
深入財富中文網(wǎng)
|
