论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
 文章标题 : 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2007-03-27 09:03 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2018-03-04 21:46
拥有: 15,706.50 安全币

奖励: 21073 安全币
在线: 15470 点
帖子: 1956
据国外媒体报道,不知道是不是FBI的疏忽大意,近几年来160个局已经丢了10台笔记本电脑了,里面都有“敏感或者机密信息”,还有上个月的零售商TJX的二月陈述的闹剧,他们把客户信用卡信息放到了窃贼的手里,收到影响的客户比最初的预想还要多,安全事故屡次成为头版头条,让政府部门十分恼火。

  不幸的是,即使是世界上最安全的技术也不能彻底保护企业免受最大的弱点攻击,那就是企业的——终端用户。安全研究人员反复强调终端用户是对企业安全造成威胁的最大风险。与那些可以打补丁的应用程序,或者可以加强威胁抵御的系统不同的是,终端用户无论是出于天真、不小心,还是恶意的想法,都会不断地将IT资源暴露在严重的安全威胁之下。

  “安全基本上是个人的问题,” Scott Crawford说,他是企业管理联合会的高级分析员。“人类的本性是完全不可预测的,所以当它涉及IT的时候,风险状况就会每天都不断变化。”

  当企业数据变得更加轻便的时候,它们就越容易受到不断进化的威胁的攻击,危险和这些危险所带来的相关成本都在不断增加。如果数据出事的话,可能会导致声誉的损害,补救的开支,罚款,以及其它成本,公司将面临着严重的经济后果。

  由Ponemon学会秘密智囊团进行的,由安全供应商PGP Corporation 和 Vontu Inc.公司资助的一项研究,证明没丢失或者暴露一个记录,它的平均成本是182美元。根据公司的业务,以及记录对企业的重要程度,成本还不止于此。例如,专门为保险和其他行业提供风险管理和虚假客户信息的数据集成供应商ChoicePoint,在宣布他们的系统受到攻击,14万5千名客户的账号受到威胁的消息之后,看到它的市值狂跌7亿2千万美元。

  但是,尽管在数据是如此方便带走的时代对网络信息进行保护是个真正的挑战,那些应用了正确安全技巧和技术的业务可以成功保护他们的资源。这从拥有最好的第一线防御开始:一个有效的可实施的企业安全策略集合,解决了如何以及由谁来访问、存储、传输和处理信息的问题。企业需要与访问这些信息的员工、承包人,以及合作伙伴对策略进行沟通。

  控制的文化

  “你想要做的就是在你的企业核心创建一种安全的文化,” 市场研究公司Heavy Reading 的高级分析师Robert Lerner说。“当你创建的时候,你的企业就立即会安全得多了。”

  Lerner说,对控制所有数据联络点的策略的沟通——不管是进来还是出去——都是真正构成这个安全为核心的文件的基础。要想有效果,这些策略沟通需要持续,而不是像员工上班第一天就收到但是以后永远不再看的员工手册上某一夜的一个表格那样的过去的独角戏。

  实际上,安全教育和持续的策略和程序的巩固都可以为业务提供保护自己的最强有力的武器。Lerner说,那些制订、沟通和加强有效的安全策略的企业不仅可以最小化数据丢失或者暴露的风险,还可以潜在地减少对一些昂贵的安全产品的需求。

  “技术不会解决所有问题,” Lerner说。“但是那不意味着你就不能用其它的控制来取代技术——人为的控制——来保护你的企业。”

  然而,一些企业仍然回避把注意力优先放在制订IT安全策略的问题。这种忧郁有着无数的原因,包括许多业务迄今为止还没有遇到过由于安全漏洞导致重大损失的事实。

  然而,很多企业还单单陶醉在在公司范围内布置IT安全策略来保护数据的前景上面,而这些数据相当真实地在防火墙内外传输。当终端用户在笔记本电脑,或者其它移动设备,或者打印机和存储设备上,在企业网络和互联网上移动数据的时候,IT安全策略是无法涉及所有方面的。

瞄准基础

  但是分析师说,企业没有必要把整个大洋都烧开了来设想和执行成功的安全策略。相反,企业应该注重IT安全的实效,从这里开始根据对最高优先级别和最有价值的资产进行的保护来定义他们的策略。企业管理委员会的Crawford建议可以使用的一种方法就是勾画出那些极少量的,但是如果被滥用了或者偷去了却会对企业自身带来最大风险的信息类型,然后列出保护这些数据的合适的策略。

  Crawford还建议公司从根据信息种类定义安全策略处入手。Crawford说,公司可以从一些信息种类开始,根据这些数据的泄漏将会对业务造成的潜在影响,将严格的策略应用在数据的处理方式上。

  “你不需要让一个信息或者数据安全策略作用在成百上千个精细分类上,” Crawford说。

  相反,Crawford建议,按照对企业的潜在危害的比率来为各个类别制订策略。

  那些可以公开并且不会给企业带来严重危险的信息可以不用特别的处理。

  那些泄漏了就会对企业造成影响,但是还不是十分严重的影响的信息,只需要最小化的控制。

  如果受到攻击会对公司产生严重影响,并且永远不会公开的数据记录,应该有最详细的控制策略来保护。最后,那些只能在公司内部拥有的数据应该彻底的锁住。

  然后根据这些类别,公司就可以列出策略了。例如,所有需要最大保护的数据都应该加密,并且严格限制只能存储在强硬的系统中。

  教育和加强

  当然,如果用户不拥护,并且公司不坚持的话,那么最好的安全策略也是没有价值的。因此,成功依赖于安全企业教育可以访问公司IT资源的员工、承包商和合作伙伴的能力。这其中应该包括直接来自安全企业和上级的笔头和口头的交流。

  自动化是另一个加强这些安全策略的关键工具。无论它是像取消手工操作终端用户电脑上的防病毒软件升级这么简单的,还是复杂的约束哪些数据可以打印或者存储在USB设备上,Crawford说,没有自动化,公司执行安全策略的范围就会变得难以处理。

  有一些种类的安全解决方案可以在策略强制方面扮演重要角色,包括确定类似加密到更加先进种类,例如信息结构,的技术,和可以识别信息记录,并且采取相应的策略来进行保护的分级管理产品。

  然而,虽然这样的安全解决方案在帮助企业在设置和实行企业范围内的信息安全策略方面起到了作用,但是仍然有太多的企业还没有把这些需求列入企业内容。

  “我十分害怕,我觉得即使是真的发生了严重的损失之后,事情也不会有真正的改变,” Heavy Reading的 Lerner说。

  他暗示那些还没实施真正的安全策略的公司正在用他们最重要的东西作赌注——他们的数据——还有他们的未来。他建议那些还没有对因特网使用加以保护策略的企业也需要为他们处理公司信息的方式制订一整套的规范给他的终端用户和管理者们。

  “你可以做的能够保护你的信息的最便宜的事情就是让雇员们负责任,” Lerner说。他补充,这不仅会为企业在出事的时候提供一个替罪羔羊,还可以为他们需要更加精明地使用技术以及更负责任地处理数据的时候提供指南。

  结果是:公司可以降低他们出事的风险,并且维护了一个更加安全的、更有生产效率的商业环境。

  Amy Larsen DeCarlo是个自由作家,具有14年的商业和技术经验。Amy在多家出版社担任职位,包括Data Communications和InformationWeek。她还是2家企业的分析师——Enterprise Management Associates (EMA) 和Current Analysis公司。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-03 16:22 
离线
中级用户

注册: 2007-04-03 13:52
最近: 2017-10-18 15:50
拥有: 511.00 安全币

奖励: 41 安全币
在线: 1450 点
帖子: 69
用户不拥护,并且公司不坚持的话,那么最好的安全策略也是没有价值的

这句话我很赞同。很多公司并没有意识到信息安全的重要性,特别是一旦发生安全事故后面临的风险。即使有意识的建立了一些安全策略文档,但时间长了以后慢慢就不再坚持,或者单纯是为了建立而建立,导致用户抱有抵触情绪而拒不执行。这种安全制度其实是没有用的。


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-05-31 12:12 
离线
新手

注册: 2007-01-24 12:48
最近: 2007-07-16 16:06
拥有: 12.00 安全币

奖励: 0 安全币
在线: 253 点
帖子: 8
主要是人的意识,如果意识到了,其他都好办了!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-07 15:36 
离线
初级用户

注册: 2009-05-07 11:34
最近: 2011-12-30 17:00
拥有: 159.00 安全币

奖励: 32 安全币
在线: 282 点
帖子: 25
怎么快速农安全币呀???


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-10 10:51 
离线
顶级用户

注册: 2009-05-17 11:00
最近: 2013-10-09 09:35
拥有: 9,107.00 安全币

奖励: 11523 安全币
在线: 1721 点
帖子: 684
地址: 苏州
最大的威胁来自于人:
1、无意的:内部员工由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部员工由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
2、蓄意的:不满的或有预谋的内部员工对信息系统进行恶意破坏采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,获取利益或炫耀能力。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-07 16:08 
离线
初级用户

注册: 2009-07-27 11:52
最近: 2016-05-03 09:57
拥有: 38.00 安全币

奖励: 0 安全币
在线: 340 点
帖子: 20
负责任的安全厂商不但要给客户提供安全管理策略,更要提供一种如何将安全策略的实施自动话的工具,比如你告诉客户每台PC都应该按时打补丁,客户其实也知道,只是他做不做,以及怎样做的问题,于是安全厂商发明了一种叫“补丁管理”的产品。目前,至少在中国,卖给客户一个补丁管理的产品起到的效果远比培训他们的员工培养良好的安全意识,按时打补丁之类强的多。安全厂商是不是该想想:与其硬着头皮推安全服务赚昧心钱,不如坐下来认真搞一搞能把各种安全策略自动化实施的工具,这样会不会对客户更负责一些?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-04-08 14:14 
离线
新手

注册: 2010-04-07 21:46
最近: 2010-04-14 17:23
拥有: 36.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 9
看,老外说的多好,如果仅仅想依靠术,而不是以道为基础,那么最终都是一场镜花水月。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-04-08 14:38 
离线
初级用户

注册: 2009-11-16 09:05
最近: 2011-04-21 20:59
拥有: 243.00 安全币

奖励: 10 安全币
在线: 120 点
帖子: 41
感觉在中国,很多企业虽然有意识到IT方面的风险,但是却很少采取相应的措施,特别是对于安全策略的制定以及对员工的安全教育的投入。因为大多数企业都会觉得与其花费大量的精力和财力去搞这些,还不如直接导入一些管理控制工具来的方便,成本也低。虽然这样的想法不能说是错误的,但是工具不是万能的,有些方面是无法完全控制的。因此制定企业的安全策略方针以及培养员工的安全意识还是非常重要的。前者可以为公司业务在开展过程中所遇到的各种安全问题提供参照并对各项活动作出相应的限制。相应的管理人员也能更方便的开展安全管理活动。后者是一个潜移默化的过程,意识的培养是一个漫长的过程但绝不是无用功。只有持之以恒的投入才能得到最大的效果另外,教育也是一门艺术,如果仅仅是完成任务,老和尚念经般的走一下程序的话是起不到什么大的作用,还需要把个人利益和企业利益联系在一起,使得员工产生一定的危机感,才能真正的重视这个问题。不过目前对于大多数国内企业来说还是一个任重而道远的任务。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-04-19 11:04 
离线
中级用户

注册: 2007-12-06 09:50
最近: 2010-06-13 10:07
拥有: 98.90 安全币

奖励: 0 安全币
在线: 234 点
帖子: 83
好文章,我们企业做信息安全就有同感!!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-05-28 17:50 
离线
初级用户

注册: 2010-05-26 15:45
最近: 2012-07-13 15:45
拥有: 182.00 安全币

奖励: 213 安全币
在线: 161 点
帖子: 51
真是经典。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-06-05 13:09 
离线
中级用户

关注按钮

注册: 2010-06-02 12:11
最近: 2017-12-29 16:16
拥有: 1,348.00 安全币

奖励: 2661 安全币
在线: 1216 点
帖子: 112
CISSP中也是这么定义的,事实也是如此
更多的威胁都是自内部产生


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 内忧大于外患 谈企业最大的安全威胁
帖子发表于 : 2010-06-05 13:11 
离线
中级用户

关注按钮

注册: 2010-06-02 12:11
最近: 2017-12-29 16:16
拥有: 1,348.00 安全币

奖励: 2661 安全币
在线: 1216 点
帖子: 112
yijie 写道:
感觉在中国,很多企业虽然有意识到IT方面的风险,但是却很少采取相应的措施,特别是对于安全策略的制定以及对员工的安全教育的投入。因为大多数企业都会觉得与其花费大量的精力和财力去搞这些,还不如直接导入一些管理控制工具来的方便,成本也低。虽然这样的想法不能说是错误的,但是工具不是万能的,有些方面是无法完全控制的。因此制定企业的安全策略方针以及培养员工的安全意识还是非常重要的。前者可以为公司业务在开展过程中所遇到的各种安全问题提供参照并对各项活动作出相应的限制。相应的管理人员也能更方便的开展安全管理活动。后者是一个潜移默化的过程,意识的培养是一个漫长的过程但绝不是无用功。只有持之以恒的投入才能得到最大的效果另外,教育也是一门艺术,如果仅仅是完成任务,老和尚念经般的走一下程序的话是起不到什么大的作用,还需要把个人利益和企业利益联系在一起,使得员工产生一定的危机感,才能真正的重视这个问题。不过目前对于大多数国内企业来说还是一个任重而道远的任务。


不错,我觉得还需要一个过程吧。当安全事故越来越多,影响越来越大的时候
针对它的防御,就会被摆放在更重要的位置


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012