企業(yè)機密數(shù)據(jù)防護由安全管理員控制入手

申請免費試用、咨詢電話：400-8352-114

您的安全人員是值得信賴的?工作是否認真負責(zé)的?是否經(jīng)驗豐富?不管您對安全人員的評價是怎樣，還是讓我們來聽一聽安全專家的親身經(jīng)歷吧，您可能會對安全人員重新進行評價了。

這里有一個這樣的故事，來自于某網(wǎng)絡(luò)公司(管理服務(wù)提供商)的執(zhí)行副總裁Kevin McDonald的親身經(jīng)歷：

他的建筑公司客戶擁有一名負責(zé)安全的高級IT人員，這名安全主管堅持讓該建筑公司的老板確信將各種公司數(shù)據(jù)庫存儲在自己公司會存儲在其他地方更加便宜，因為該公司內(nèi)部已經(jīng)安裝有光纖線路。

您可以料想到這樣一個結(jié)果：員工與其雇主之間將會發(fā)生沖突。而在你發(fā)現(xiàn)這些所謂的“內(nèi)部威脅”前，安全工作人員就已將威脅性的電子郵件發(fā)給該建筑公司的客戶，并且告訴客戶自己掌握著他們的私人信息。

McDonald表示，這名安全工作人員的這種行為基本上斷送了自己的前程，公司花費了六個月的時間才結(jié)束了這名員工造成的影響。在例如美國相對法律健全的國家，只有當員工實施公共性的網(wǎng)上威脅行為并且非法使用公司數(shù)據(jù)時，美國聯(lián)邦調(diào)查局才有權(quán)利對其采取強制手段?？上驀鴥?nèi)的安全威脅又將如何？

現(xiàn)實中，安全部門總是被各種問題所困擾著，從失職的安全人員到不理想的預(yù)算，再到糟糕的工作人員等。以下是安全部門常見的一些問題，并且提供了解決這些問題的對策。

使用安全綜合軟件包

在此時此刻，某公司的某名安全工作人員肯定正在咒罵他們的CTO/CIO，因為他們的CTO/CIO讓他們使用捆綁了全部安全軟件的軟件包。事情一般是這樣的：大型安全廠商的銷售人員會說服高層管理人員，購買一套能夠同時進行桌面防病毒操作、電子郵件安全檢測、入侵檢測和網(wǎng)頁過濾等工作的安全軟件包要更加合理，并且價格便宜。

那么，這樣做到底有什么不好呢?某安全軟件廠商的主管表示，“其實你已經(jīng)將這些安全基礎(chǔ)設(shè)施的關(guān)鍵部分都商品化了，問題在于，在CTO/CIO看來，安全只是一種商品，就像其他應(yīng)用軟件一樣。”

但是沒有任何安全廠商能夠生產(chǎn)出面面俱到的產(chǎn)品，那些購買安全套件的公司確實能夠節(jié)省資金，但是我們不得不承認，這樣做很可能導(dǎo)致各種安全威脅。

如何避免公司可能存在的隱患？

McDonald建議，首先需要培養(yǎng)公司CTO/CIO的安全認識，同時在公司內(nèi)部組織并普及安全知識，讓工作人員和管理層人員都能夠明白安全威脅及如何防范威脅。

專家表示，普及公司員工的安全意識，有助于降低安全威脅發(fā)生幾率，同時可以降低安全預(yù)算的投入。

另外一個辦法就是強制執(zhí)行，美國賓夕法尼亞州政府就是采取的這種方法，在2005年年底Bob Maley出任賓夕法尼亞州首席安全官前，州政府就明確了如何選擇安全產(chǎn)品的標準。

安全認證的含金量

像大多數(shù)IT安全問題一樣，在數(shù)據(jù)安全問題方面，資格認證證書的價值經(jīng)常被質(zhì)疑。

賓夕法尼亞州州政府的首席信息安全官Bob Maley說道，“多年以來，人們前前后后獲得過各種資格認證，他們的名字后面可能會有5個不通的首字母縮寫?！?/P>

但是，這么多資格認證真的有價值嗎?這需要依情況而定。

Marley表示，“老實說，在認證行業(yè)中，有很多認證證書是毫無價值的，即使是毫無經(jīng)驗的人，都可以得到資格認證?！?/P>

某安全廠商表示，“我們聘請的人都有很漂亮的文憑，但是實際生產(chǎn)中與我們的要求相差甚遠。具體說，我們曾經(jīng)聘請過擁有高學(xué)歷和各種證書的人員，結(jié)果發(fā)現(xiàn)這些人甚至都不會連接網(wǎng)絡(luò)，他們擁有理論知識，但是對于實踐操作卻沒有任何概念。”

Maley表示，招聘管理人員時，擁有較多資格證書的人確實能夠讓人印象深刻，并且能夠輕松通過面試。但面試官們應(yīng)該認真閱讀面試人員的簡歷，并核對其經(jīng)驗與資格證書是否相符。

如今琳瑯滿目的認證中，CISSP(認證信息系統(tǒng)安全專業(yè)人員)、CISA(認證信息系統(tǒng)審計人員)以及CISM(認證信息安全管理人員)認證是具有巨大的競爭優(yōu)勢的。

專家表示，擁有CISSP的人通常能夠反應(yīng)出他所謂的“內(nèi)在經(jīng)驗”，因為如果持證者沒有相關(guān)經(jīng)驗的話，是不可能獲得認證證書的。

經(jīng)驗的重要性

對于企業(yè)安全而言，組建一個勤奮而具有開拓性的安全團隊是十分必要的。然而對于如何獲取這些安全團隊的成員，每家公司的認知并不相同，Maley建議，“雇傭那些有前途的新手，對于他們來說，能夠有機會積累網(wǎng)絡(luò)攻擊經(jīng)驗是很重要的事情?！?/P>

對于新手來說，能夠在一些重大事件或項目中獲取寶貴的經(jīng)驗是很開心的事情，Maley補充說。

Anthony Scalzitti，某主要安全軟件公司的安全工程師有著相反的看法，“很多安全公司都堅持雇傭技術(shù)不熟練的員工或者安全新手，如果你的公司正是這種情況，那么你就應(yīng)該限制這些安全人員可能搞砸整個公司的能力，可以讓他們在不太重要的系統(tǒng)工作稱。例如，你可以讓這些人員調(diào)查可疑的日志記錄或者入侵檢測系統(tǒng)報告。”

通常情況下，會有一些安全初學(xué)者認為類似工作是浪費他們的時間，例如審查日志記錄或者行為預(yù)警，做簡單的配置審查或者與其他業(yè)務(wù)部門開會等。

Scalzitti表示，他已經(jīng)成功地讓那些安全新手著手研究出現(xiàn)在媒體中的安全事件，實現(xiàn)這個目的的關(guān)鍵在于讓安全專家們發(fā)現(xiàn)80%的安全事故都是由于簡單的機會主義攻擊造成的。

“在信息安全中，我們給黑客們提供了各種攻擊的機會，他們一般會攻擊容易下手的公司。讓你的安全新手們?nèi)z查那些容易被攻擊的漏洞，這可能需要花費一些時間，但是他們會認識到細節(jié)將決定成敗，簡單的錯誤可能導(dǎo)致巨大的安全威脅?！盨calzitti補充道。

結(jié)語

最后，我們回到最開始的話題，你可以訓(xùn)練那些安全新手，對他們進行督導(dǎo)，給他們提供挑戰(zhàn)機會，但是對于那些真正的不可教的安全人員又完全不是這么回事了，唯一的解決辦法就是最開始的時候就不要雇傭他。（IT專家網(wǎng)）