公司內部IT安全性風險需要長抓不懈(轉)

公司內部IT安全性風險需要長抓不懈(轉)[@more@]　　在IT順從性規則會議上，Dan Verton在其主題報告中說，一個IT組織在保護自身財產的時候都面臨著一場升級的戰鬥，無論侵犯者是否是惡意的。老式的IT外圍防護措施已經無法起到應有的作用。

　　Verton對觀眾們說，“你的安全性專案、政策以及程式等已經慘不忍睹了，而你卻很可能還矇在鼓裡。你可能在外圍防護方案上花費了數百萬的美金，但是你根本沒有任何的防護帶而言。”

　　Verton是“內部問題:一個真實的故事”的作者，他說，公司們需要使用特定的技術對安全性程式進行強化，從而阻止內部惡意人士的攻擊，並防備那些由於忠實員工的鬆懈而導致的安全性問題。

　　無知並不是福

　　惡意的內部員工的動機是很明顯的，Verton說，他們就是想要竊取資料。

　　還有一些在安全性政策及程式的外圍工作的員工，他們並沒有惡意，但是卻不瞭解風險情況，從而他們為了工作更加的高效，抑或是為了下載一些色情等東西，就把系統暴露在惡意程式碼的面前，從而產生了資料風險問題。

　　Verton認為，惡意的內部人士經常來自於公司的IT部門，這是任何CIO都不願意聽到的，但卻是絕對不可以忽視的。

　　Verton說，“對於這種員工而言，有一定的心理方面的問題值得你認真考慮。他們可能會說，'這家公司並不知道其所作所為。'他們認為自己掌握了你的網路系統。對於這種員工而言，如果你要減少規模或者臨時解僱員工的話，他們是成熟的。如果他們在你的名單中的話，那麼在你進行計劃的時候，這個方面一個考慮的要素。”

　　Verton說，資料必須加強保護，即使它處於外圍防護帶(例如防火牆)之內的話。他說，公司們不能依賴於嚴格的資料訪問控制。專家說，即使是一種非常強大的外圍安全性策略也不可能完全的保證和維持安全性。

　　“你擁有一些普通的員工，他們是忠實的，但是他們可能採取了一種不合理的資料處理方式，從而使得整個企業都處於一種無保護的狀態。”例如，他們可能使用基於網路的電子郵件以傳送關於賬戶等的客戶資訊，即使公司的政策要求傳送這種資訊需要透過加密電子郵件。此時，對於那些可以穿透該公司外圍安全性防護的病毒或者木馬程式等就可以獲取這種資訊。

　　Verton說，“這就要求建立一種企業安全性文化。”

　　Verton說，公司部門需要採取有效的安全性政策。這意味著，需要鑑定關鍵資料資產，授權網路系統以及裝置等。他們必須將這些政策和程式進行檔案化，從而嚴管資料的訪問以及接收。

　　他說，組織部門還必須按時的對欺詐性無線訪問點以及未授權的軟體進行掃描。他們必須嚴格有效的監控各種網路功能的使用，例如，網路電子郵件，FTP，即時訊息工具，自動化病毒升級，漏洞掃描以及補丁修復等。他補充說，公司們還應該鑑別和關閉所有不必要的程式，並對安全性設定的變動進行自動化的檢測。

　　美國的一家主要零售商的安全部門的IT行政者，他說，忠實的內部人員所產生的安全性風險正處於不斷的增長趨勢。他說，這種人員與惡意的內部員工同樣的普遍。

　　這名行政者說，“現在情況是，技術已經牢固的嵌入商務之中，人們使用技術作為他們日常工作的一部分，他們對此並不進行認真的思考和防護，例如向某個廠家傳送帶有敏感資訊的電子郵件時。”

　　分析人士說，關注和了解程度的增強可以大大減少非惡意的風險。他說，“從IT的立場來看，唯一的方法就是，設定清晰的政策，以區分正確的以及不合理的工作方式。這是我們公司所認為的值得堅持的一些比較好的策略方法。”