企業(yè)安全之戰(zhàn)
????網絡安全隱患已經從單純的病毒入侵發(fā)展到了針對企業(yè)數據和信息的攻擊,,企業(yè)的安全防護重點也相應開始轉移
????作者:李全偉
????企業(yè)在享受網絡技術好處的同時,也時時面臨許多安全隱患。引人注意的是,,企業(yè)安全隱患已經從單純的病毒入侵發(fā)展到針對企業(yè)數據和信息的攻擊,。前者的危害一般可以量化,最嚴重的是造成系統癱瘓,;而后者的危害很可能導致企業(yè)商譽和品牌受損,,后果不堪設想。前不久,,英國一家老牌商業(yè)銀行載有 37 萬名客戶資料的光盤不慎在郵寄過程中遺失,,引起了用戶的恐慌。諸如此類,,金融服務企業(yè)和機構接連不斷地出現客戶資料泄密事件,,給企業(yè)安全拉響了警鐘。 ????商海拼殺,,難免會挨刀,,關鍵是要明白刀來自何方。許多管理者認為,,病毒和黑客是企業(yè)安全的最大威脅,。在兩三年前,或許是這樣,。時至今日,,信息的丟失和被竊已成為企業(yè)面臨的最大安全威脅。據 EPIC 組織(Electronic Privacy Information Center,,一家總部位于華盛頓的電子穩(wěn)私信息中心)統計,,企業(yè)安全方面的威脅有 48% 來自外部,包括病毒,、黑客,、惡意代碼、垃圾郵件等外網威脅,;有 52% 是由內而外的行為,,包括員工的過失、流程的缺陷等內部原因,。在 52% 的來自內部的威脅中,,只有 1% 的行為是個別員工主動作案,,絕大部分是內部無意行為所引起,其中包括員工無意訪問含有病毒代碼的網頁,,而最多的是員工疏忽造成的信息和數據遺失,。 ????目前,企業(yè)的信息和數據遺失情況呈逐步增多趨勢,。ITPCG(IT Policy Compliance Group)的研究報告顯示,,近 7 成的受訪機構平均一年遺失多達 6 次以上的重要數據,。在這項研究的被調查機構中,有 20% 每年遺失數據的次數高達 22 次,。賽門鐵克大中國區(qū)總裁吳錫源說,,現在筆記本電腦和 U 盤在公司中使用廣泛,它們的丟失對企業(yè)安全構成了威脅,。還有一項調查顯示,每 5 家公司中就有 4 家發(fā)生過因筆記本電腦遺失而引起的機密數據丟失,;每兩家公司中就有 1 家發(fā)生過因為 U 盤丟失而導致的數據丟失,。從全球情況看,因 U 盤遺失造成的數據丟失現象越來越多,。 ????來自病毒的危害給企業(yè)造成的損失容易估計,。賽門鐵克中國區(qū)銷售總監(jiān)郭訓平說,病毒主要影響企業(yè)基礎構架(企業(yè) IT 建設基本上分為三個層面:一是基礎構架,,包括電腦,、服務器、網絡設備等硬件產品,;二是應用層面,,主要是在 IT 架構上的應用;三是數據和信息層面),。病毒危害會造成使用者的桌面沒法工作,,乃至系統癱瘓,但對業(yè)務和信息構不成太大的影響,。而企業(yè)的信息和數據一旦丟失,,損失就很大。調查顯示,,企業(yè)每丟失一項用戶數據,,便需要通知客戶重新錄入,,整個過程產生的額外支出為 100 美元,。更重要的是,,由于不小心遺失了客戶的機密資料,企業(yè)很難相信受損失的客戶還能再放心地使用該機構的服務,。在信息發(fā)達的現代社會,得知消息的客戶和潛在客戶會對這家機構產生懷疑,。這些機構一旦失去用戶的信任,受到的打擊可能是致命的,。
????數據破壞頻繁發(fā)生并日趨常規(guī)化,,導致了成本的增加,。因此,企業(yè)負責人越來越將數據丟失防護列為需要考慮的重要問題,。高盛進行的一項安全支出調查表明,50% 以上的企業(yè)安全主管認為,,數據泄露是導致企業(yè)安全支出的主要因素,。 ????關于信息泄露的主要原因,,賽門鐵克公司安全技術和響應部門副總裁史蒂夫·特里林(Steve Trilling)說,首先是計算機和存儲介質的被盜和丟失,。例如,,某人可能將U盤遺落在飛機上,或者是因存儲機密數據的移動硬盤未經加密而失竊,。其次,,一些企業(yè)缺乏適當的安全策略,即便是告訴員工不要隨便將工作文件發(fā)到私人郵箱這樣簡單的事情,,也沒有做到,。 ????正是由于安全問題出現了新變化,企業(yè)安全解決方案也隨之變化,。以前,,一談到企業(yè)安全問題,主要涉及的是保證桌面和基礎構架的安全,,現在則是保證信息和數據的安全,。前面的調查數據說明,要保證信息安全,,并不是說把企業(yè)的“城堡”打造成刀槍不入就完事大吉,,因為堡壘有可能從內部攻破。在四川大地震中,,桑棗中學的經歷可以給企業(yè)管理者提供一定的啟迪,。緊鄰地震損失最為慘烈的北川縣的安縣桑棗中學,全校 2,300 多名學生和教師只用 1 分 36 秒就沖出教室,,跑到安全的操場,,身后是岌岌可危的教學樓,。桑棗中學師生安全脫險,,跟校長葉志平主抓兩件事有關:一是對教學樓的不斷加固,二是從 2005 年開始每學期組織全校師生進行緊急疏散演習,。加固了的教學樓,,無疑為師生的逃生爭取了時間,,而更重要的原因是葉志平防患于未然的避險意識。吳錫源說,,企業(yè)的安全問題,,關鍵還是從首席執(zhí)行官開始,層層樹立安全意識,,把安全管理納入日常的管理經營中,,從戰(zhàn)略層面上加以重視,采取切實可行的安全解決方案,,這樣才能把好企業(yè)安全大門,。 ????在具體措施方面,郭訓平說,,把安全歸為管理問題,,具體思路就不一樣。企業(yè)在做安全規(guī)劃時,,首先要考慮的是確立安全策略,。企業(yè)要明確自己需要的安全級別是什么,然后是在此基礎上,,采取什么樣的安全產品和措施與之配套,。 ????史蒂夫·特里林說,隨存儲數據每年增長 50%,,想要保護所有的信息,,需要付出大量的成本,而且效率極低,。因此,,企業(yè)需要保護的是關鍵信息,從源代碼到用戶信息及員工數據,。關鍵在于平衡風險與機遇,、在于保護數據,無論數據是在靜態(tài)還是在動態(tài)之中,。在進行安全管理前,,企業(yè)首先需要回答幾個簡單卻十分重要的問題:一是企業(yè)擁有哪些敏感信息?二是這些敏感信息存儲在哪里,?三是這些信息在網絡和端點上是如何使用的,?一旦深入了解信息如何被使用,企業(yè)便能夠開始設置策略來降低風險,。 ????具體的方法包括為存儲分級,、歸檔和加密設置。例如,,企業(yè)可以規(guī)定,,員工只有在 U 盤經過加密后才能拷貝數據,。或者,,企業(yè)可以規(guī)定員工不能用電子郵件發(fā)送機密信息,。史蒂夫·特里林認為,所有的企業(yè)負責人必須參與到策略設置中,,不僅僅是首席信息官,還要包括首席財務官,、首席運營官等,,企業(yè)上下所有的主管人員都要參與。畢竟,,如果將安全作為業(yè)務的推動者,,所有參與業(yè)務運營的人也都應當參與安全策略的設置。除此之外,,主管人員的參加,,對推動安全文化的發(fā)展也有至關重要的作用。 ????雖然信息和數據的保護成了企業(yè)安全的重中之重,,但傳統的安全解決方案(包括防病毒軟件,、內容過濾、反垃圾郵件程序等)仍然很重要,。在此基礎上,,企業(yè)應從更全面的角度考慮安全問題,把安全納入管理工作中,,對需要保護的數據進行管理,,真正實現以信息為中心的安全部署。 相關稿件
|
500強情報中心
|
深入財富中文網
|