公司內部IT安全性風險需要長抓不懈(轉)
公司內部IT安全性風險需要長抓不懈(轉)[@more@] 在IT順從性規則會議上,Dan Verton在其主題報告中說,一個IT組織在保護自身財產的時候都面臨著一場升級的戰鬥,無論侵犯者是否是惡意的。老式的IT外圍防護措施已經無法起到應有的作用。
Verton對觀眾們說,“你的安全性專案、政策以及程式等已經慘不忍睹了,而你卻很可能還矇在鼓裡。你可能在外圍防護方案上花費了數百萬的美金,但是你根本沒有任何的防護帶而言。”
Verton是“內部問題:一個真實的故事”的作者,他說,公司們需要使用特定的技術對安全性程式進行強化,從而阻止內部惡意人士的攻擊,並防備那些由於忠實員工的鬆懈而導致的安全性問題。
無知並不是福
惡意的內部員工的動機是很明顯的,Verton說,他們就是想要竊取資料。
還有一些在安全性政策及程式的外圍工作的員工,他們並沒有惡意,但是卻不瞭解風險情況,從而他們為了工作更加的高效,抑或是為了下載一些色情等東西,就把系統暴露在惡意程式碼的面前,從而產生了資料風險問題。
Verton認為,惡意的內部人士經常來自於公司的IT部門,這是任何CIO都不願意聽到的,但卻是絕對不可以忽視的。
Verton說,“對於這種員工而言,有一定的心理方面的問題值得你認真考慮。他們可能會說,'這家公司並不知道其所作所為。'他們認為自己掌握了你的網路系統。對於這種員工而言,如果你要減少規模或者臨時解僱員工的話,他們是成熟的。如果他們在你的名單中的話,那麼在你進行計劃的時候,這個方面一個考慮的要素。”
Verton說,資料必須加強保護,即使它處於外圍防護帶(例如防火牆)之內的話。他說,公司們不能依賴於嚴格的資料訪問控制。專家說,即使是一種非常強大的外圍安全性策略也不可能完全的保證和維持安全性。
“你擁有一些普通的員工,他們是忠實的,但是他們可能採取了一種不合理的資料處理方式,從而使得整個企業都處於一種無保護的狀態。”例如,他們可能使用基於網路的電子郵件以傳送關於賬戶等的客戶資訊,即使公司的政策要求傳送這種資訊需要透過加密電子郵件。此時,對於那些可以穿透該公司外圍安全性防護的病毒或者木馬程式等就可以獲取這種資訊。
Verton說,“這就要求建立一種企業安全性文化。”
Verton說,公司部門需要採取有效的安全性政策。這意味著,需要鑑定關鍵資料資產,授權網路系統以及裝置等。他們必須將這些政策和程式進行檔案化,從而嚴管資料的訪問以及接收。
他說,組織部門還必須按時的對欺詐性無線訪問點以及未授權的軟體進行掃描。他們必須嚴格有效的監控各種網路功能的使用,例如,網路電子郵件,FTP,即時訊息工具,自動化病毒升級,漏洞掃描以及補丁修復等。他補充說,公司們還應該鑑別和關閉所有不必要的程式,並對安全性設定的變動進行自動化的檢測。
美國的一家主要零售商的安全部門的IT行政者,他說,忠實的內部人員所產生的安全性風險正處於不斷的增長趨勢。他說,這種人員與惡意的內部員工同樣的普遍。
這名行政者說,“現在情況是,技術已經牢固的嵌入商務之中,人們使用技術作為他們日常工作的一部分,他們對此並不進行認真的思考和防護,例如向某個廠家傳送帶有敏感資訊的電子郵件時。”
分析人士說,關注和了解程度的增強可以大大減少非惡意的風險。他說,“從IT的立場來看,唯一的方法就是,設定清晰的政策,以區分正確的以及不合理的工作方式。這是我們公司所認為的值得堅持的一些比較好的策略方法。”
Verton對觀眾們說,“你的安全性專案、政策以及程式等已經慘不忍睹了,而你卻很可能還矇在鼓裡。你可能在外圍防護方案上花費了數百萬的美金,但是你根本沒有任何的防護帶而言。”
Verton是“內部問題:一個真實的故事”的作者,他說,公司們需要使用特定的技術對安全性程式進行強化,從而阻止內部惡意人士的攻擊,並防備那些由於忠實員工的鬆懈而導致的安全性問題。
無知並不是福
惡意的內部員工的動機是很明顯的,Verton說,他們就是想要竊取資料。
還有一些在安全性政策及程式的外圍工作的員工,他們並沒有惡意,但是卻不瞭解風險情況,從而他們為了工作更加的高效,抑或是為了下載一些色情等東西,就把系統暴露在惡意程式碼的面前,從而產生了資料風險問題。
Verton認為,惡意的內部人士經常來自於公司的IT部門,這是任何CIO都不願意聽到的,但卻是絕對不可以忽視的。
Verton說,“對於這種員工而言,有一定的心理方面的問題值得你認真考慮。他們可能會說,'這家公司並不知道其所作所為。'他們認為自己掌握了你的網路系統。對於這種員工而言,如果你要減少規模或者臨時解僱員工的話,他們是成熟的。如果他們在你的名單中的話,那麼在你進行計劃的時候,這個方面一個考慮的要素。”
Verton說,資料必須加強保護,即使它處於外圍防護帶(例如防火牆)之內的話。他說,公司們不能依賴於嚴格的資料訪問控制。專家說,即使是一種非常強大的外圍安全性策略也不可能完全的保證和維持安全性。
“你擁有一些普通的員工,他們是忠實的,但是他們可能採取了一種不合理的資料處理方式,從而使得整個企業都處於一種無保護的狀態。”例如,他們可能使用基於網路的電子郵件以傳送關於賬戶等的客戶資訊,即使公司的政策要求傳送這種資訊需要透過加密電子郵件。此時,對於那些可以穿透該公司外圍安全性防護的病毒或者木馬程式等就可以獲取這種資訊。
Verton說,“這就要求建立一種企業安全性文化。”
Verton說,公司部門需要採取有效的安全性政策。這意味著,需要鑑定關鍵資料資產,授權網路系統以及裝置等。他們必須將這些政策和程式進行檔案化,從而嚴管資料的訪問以及接收。
他說,組織部門還必須按時的對欺詐性無線訪問點以及未授權的軟體進行掃描。他們必須嚴格有效的監控各種網路功能的使用,例如,網路電子郵件,FTP,即時訊息工具,自動化病毒升級,漏洞掃描以及補丁修復等。他補充說,公司們還應該鑑別和關閉所有不必要的程式,並對安全性設定的變動進行自動化的檢測。
美國的一家主要零售商的安全部門的IT行政者,他說,忠實的內部人員所產生的安全性風險正處於不斷的增長趨勢。他說,這種人員與惡意的內部員工同樣的普遍。
這名行政者說,“現在情況是,技術已經牢固的嵌入商務之中,人們使用技術作為他們日常工作的一部分,他們對此並不進行認真的思考和防護,例如向某個廠家傳送帶有敏感資訊的電子郵件時。”
分析人士說,關注和了解程度的增強可以大大減少非惡意的風險。他說,“從IT的立場來看,唯一的方法就是,設定清晰的政策,以區分正確的以及不合理的工作方式。這是我們公司所認為的值得堅持的一些比較好的策略方法。”
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962331/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- java內部類,為什麼需要內部類?Java
- linux需要你的不懈努力Linux
- 公司內部技術分享會:覆盤我的前端成長前端
- 什麼是風險評估?風險評估需要分析哪些內容?
- 虛擬團隊內部和外部的溝通風險
- 長壽公司模式(轉載)模式
- [譯] 職業成長的內部指南
- 國內一線網際網路公司內部面試題庫面試題
- 資料團隊更需要一個“外交部長”
- 什麼是網路安全風險評估?需要評估哪些內容?
- java內部類,區域性內部類,靜態內部類,匿名內部類Java
- 遊久遊戲副董事長紀學鋒辭職:公司面臨退市風險遊戲
- 一個關於風險和投資組合的內部知識分享文件
- node + koa + mysql + vue做一個公司內部需求網站MySqlVue網站
- 公司內部一次關於OOM故障覆盤分享OOM
- git 乾貨系列:(六)公司內部搭建 git 伺服器Git伺服器
- Rafy 領域實體框架 - 公司內部培訓視訊框架
- 國內數一數二的網際網路公司內部面試題庫面試題
- java之內部類(InnerClass)----非靜態內部類、靜態內部類、區域性內部類、匿名內部類Java
- CSS3 圓環內部旋轉效果CSSS3
- oracle內部轉換函式雜談Oracle函式
- 研發內部控制淺談(一)(轉)
- 研發內部控制淺談(二)(轉)
- 研發內部控制淺談(三)(轉)
- 研發內部控制淺談(四)(轉)
- 10-Java內部類——成員內部類、區域性內部類、匿名內部類Java
- java內部類之成員內部類之匿名內部類Java
- js堅持不懈之15:修改html內容和屬性的方法JSHTML
- 區塊鏈安全性:瞭解漏洞並降低風險區塊鏈
- 轉載:ASSM內部儲存研究大揭密SSM
- 用好軟體清理電腦內部垃圾(轉)
- 介紹巢狀類和內部類(轉)巢狀
- java內部類之成員內部類之區域性內部類Java
- Java內部類詳解--匿名內部類Java
- java內部類之成員內部類Java
- 內部類
- 公司內部技術分享之Vue.js和前端工程化Vue.js前端
- 新型威脅:公司內部人員與黑客勾結,出售敏感資訊黑客