安全管理九項(xiàng)不花錢(qián)的安全措施

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

如果員工沒(méi)有意識(shí)到一些潛在的安全隱患，那么就算企業(yè)安全信息系統(tǒng)再昂貴，其功能也會(huì)化為泡影。其實(shí)只要改進(jìn)一些平時(shí)常被忽略的行為，就很容易避免安全威脅，而且?guī)缀醪挥枚嗷ㄒ环皱X(qián)。

許多公司投入很多的資金和人員來(lái)建設(shè)信息安全系統(tǒng)，希望遠(yuǎn)離四處潛伏的眾多安全威脅。但如果不小心踩到安全“地雷”，所有這些努力都將化為泡影。安全專(zhuān)家們表示，只要人們意識(shí)到了這些潛在的陷阱，就很容易避免安全威脅，而且?guī)缀醪挥枚嗷ㄒ环皱X(qián)就能做到。

1. 防止公司機(jī)密從指尖滑漏

許多最普遍的安全問(wèn)題可能起源于一些不起眼的技術(shù)習(xí)慣。例如，微軟Outlook或其他郵件系統(tǒng)中的電子郵件地址具有“自動(dòng)填入”功能，員工迅速填寫(xiě)電子郵件地址時(shí)，假如輸入一個(gè)同事的名字，郵件地址下拉框中可能會(huì)自動(dòng)出現(xiàn)另一些類(lèi)似姓名的郵件地址。員工由于不仔細(xì)，匆忙中指尖一滑就進(jìn)行了選擇，郵件便發(fā)給了別人，而他還以為自己的郵件只是發(fā)給了內(nèi)部的某個(gè)同事。很多人可能都遇到過(guò)這樣的危險(xiǎn)。要是電子郵件中含有關(guān)于公司的敏感數(shù)據(jù)，那么商業(yè)機(jī)密就會(huì)外泄。

賽門(mén)鐵克公司的營(yíng)銷(xiāo)與產(chǎn)品高級(jí)經(jīng)理Steve Roop表示，如果更多用戶(hù)學(xué)會(huì)禁用微軟Outlook及其他郵件系統(tǒng)中的電子郵件地址“自動(dòng)填入”功能，就能避免很多起因粗心大意釀成的數(shù)據(jù)丟失事件。

Roop表示，多達(dá)90%的信息泄漏事件與電子郵件方面的一些用戶(hù)失誤有關(guān)。其實(shí)只需要禁止自動(dòng)填入之類(lèi)的功能，盡管今后輸入郵件地址時(shí)可能會(huì)麻煩些，但這起碼可以讓公司免除許多頭痛的泄密事件，而且無(wú)需額外成本。

2. 警惕那些你認(rèn)為靠得住的合作伙伴

Roop認(rèn)為，另一個(gè)常見(jiàn)的安全錯(cuò)誤出現(xiàn)在這些用戶(hù)當(dāng)中： 他們認(rèn)為可以把人力資源數(shù)據(jù)等敏感信息發(fā)送給業(yè)務(wù)合作伙伴或者外包服務(wù)提供商。要是發(fā)送的信息沒(méi)有經(jīng)過(guò)加密，這種危險(xiǎn)就更大了。

他說(shuō)： “人力資源外包服務(wù)提供商的人員有可能不會(huì)有太強(qiáng)的安全意識(shí)，不經(jīng)意間把電子表格發(fā)到別處，或者把數(shù)據(jù)存放到不安全的筆記本電腦上，這就是一種安全隱患?！?/P>

3. 基于Web的應(yīng)用可能會(huì)招致信息泄漏

McAfee公司的安全研究與溝通經(jīng)理Dave Marcus認(rèn)為，導(dǎo)致許多安全問(wèn)題的一種常見(jiàn)行為包括使用網(wǎng)絡(luò)郵件，或者允許員工從公司網(wǎng)絡(luò)訪問(wèn)音樂(lè)下載及文件共享服務(wù)。

這種基于Web的應(yīng)用會(huì)繞過(guò)公司的安全過(guò)濾器（網(wǎng)絡(luò)郵件就是這樣），或者打開(kāi)連接到外界的通道，從而給公司內(nèi)部帶來(lái)病毒或者更嚴(yán)重的威脅。

如果員工把工作帶回家做，這種風(fēng)險(xiǎn)就會(huì)大大增強(qiáng)。Marcus認(rèn)為，如果他們沒(méi)有使用公司VPN而直接傳播郵件，關(guān)鍵數(shù)據(jù)就有可能失竊。

其實(shí)CIO只要執(zhí)行安全策略，要求員工在VPN或者加密通道上使用安全郵件客戶(hù)軟件（針對(duì)電子郵件）; 或者禁止用戶(hù)把應(yīng)用程序安裝到工作電腦上，也不允許他們把數(shù)據(jù)拷貝到可移動(dòng)介質(zhì)上，就很容易避免這些問(wèn)題。另外還應(yīng)該阻止員工使用電子郵件給自己發(fā)送數(shù)據(jù)，以免這些未經(jīng)加密的郵件被半路截取。

4. 思考后再透露密碼及用戶(hù)信息

透露密碼和個(gè)人數(shù)據(jù)的往往是內(nèi)部用戶(hù)，而不是外部入侵者。這樣一來(lái)，攻擊者可以趁機(jī)闖入用戶(hù)的計(jì)算機(jī)及公司網(wǎng)絡(luò)，從而為非作歹、破壞聲譽(yù)。

Marcus表示，盡管人們已知道威脅來(lái)自于網(wǎng)絡(luò)釣魚(yú)、間諜軟件程序等多方面因素，但還是有許多人在上網(wǎng)時(shí)沒(méi)有養(yǎng)成防護(hù)的習(xí)慣，他們根本沒(méi)把這些危險(xiǎn)和自己聯(lián)系在一起，只圖方便，因此在接到要求后仍愿意透露數(shù)據(jù)，并未確信自己沒(méi)有上當(dāng)受騙。Marcus說(shuō)： “人們以為出現(xiàn)在面前的網(wǎng)站就是正當(dāng)?shù)?，這種想法在網(wǎng)絡(luò)世界里是很危險(xiǎn)的?！?/P>

5. 防患于未然

誰(shuí)都不想遭遇數(shù)據(jù)泄密事件，專(zhuān)門(mén)提供泄密后分析服務(wù)和軟件工具的Mandiant公司的首席執(zhí)行官Kevin Mandia忠告，CIO應(yīng)該對(duì)泄密事件發(fā)生后的對(duì)策有所準(zhǔn)備。一旦果真發(fā)生了信息泄漏，每家公司都可以采取措施來(lái)減輕造成的影響。他說(shuō)，遺憾的是，大多數(shù)公司等到為時(shí)已晚的時(shí)候，才測(cè)試甚至制訂響應(yīng)策略。

Mandia說(shuō)，系統(tǒng)應(yīng)記下數(shù)據(jù)流動(dòng)情況，包括誰(shuí)在什么時(shí)候訪問(wèn)數(shù)據(jù)、哪些應(yīng)用軟件使用了這些數(shù)據(jù)，但鮮有公司這么做。他說(shuō)： “我們看到的最常見(jiàn)錯(cuò)誤就是，公司請(qǐng)我們過(guò)去，我們首先問(wèn)的是有沒(méi)有任何相關(guān)文檔。對(duì)方往往會(huì)提供大量數(shù)據(jù)，卻沒(méi)有正式的文檔。技術(shù)人員在這方面做得很差，律師也沒(méi)有要求這樣做。所以幾乎無(wú)一例外的是，我們過(guò)去問(wèn)公司出了什么情況，對(duì)方根本答不上來(lái)?！?/P>

6. 泄密后的保密工作

許多公司沒(méi)有任命某個(gè)領(lǐng)導(dǎo)人或者小組來(lái)負(fù)責(zé)響應(yīng)安全事件、查找重要細(xì)節(jié)，結(jié)果也大大限制了響應(yīng)事件的能力。在許多公司，這成了推卸責(zé)任的借口； 而另一些公司讓太多的人參與泄密事件響應(yīng)工作，結(jié)果這么多的人反而妨礙了相關(guān)的調(diào)查工作。

Mandia說(shuō)： “有些公司讓太多的人參與決策過(guò)程。我們過(guò)去后，得向12個(gè)人說(shuō)明情況，但實(shí)際上其中有10個(gè)人并沒(méi)必要參加?！?/P>

另一個(gè)常見(jiàn)問(wèn)題是，許多公司通常沒(méi)有針對(duì)泄密事件進(jìn)行保密。這樣一來(lái)，員工聽(tīng)到風(fēng)聲后，會(huì)立即設(shè)法保護(hù)自身利益，從而加大了調(diào)查的難度。

Mandia表示，如果事件牽涉到內(nèi)部人員，他們知道行蹤敗露后，可能會(huì)立即清理掉一些證據(jù)（而這些證據(jù)原本可以幫助調(diào)查人員查明真相），這樣就為確定責(zé)任帶來(lái)很大麻煩。

7. 裝好安全補(bǔ)丁并不等于高枕無(wú)憂

隨著涉及IT和數(shù)據(jù)安全人士的法規(guī)措施越來(lái)越多，許多公司投入大筆資金用于技術(shù)性解決方案，以堵住漏洞。但它們通常以為，采用某項(xiàng)技術(shù)或者符合某個(gè)方面的法規(guī)就能高枕無(wú)憂了，事實(shí)并非如此。

Security Incite公司的分析師Mike Rothman說(shuō)： “我看到的最主要問(wèn)題就是，人們以為采取部署反病毒軟件、打上補(bǔ)丁和運(yùn)行漏洞掃描之類(lèi)的簡(jiǎn)單措施后，就真正符合要求了。他們并沒(méi)有從風(fēng)險(xiǎn)管理的角度來(lái)看待問(wèn)題?！?/P>

不少公司審查了數(shù)量有限的安全補(bǔ)丁，得到及格分?jǐn)?shù)后就認(rèn)為再也不需要加強(qiáng)工作。Rothman說(shuō)： “人們常常以為，一旦進(jìn)行了積極審查，就大功告成了。之后，黑客們會(huì)證明其實(shí)并非如此。”

8. 安全問(wèn)題不能“一視同仁”

Rothman表示，公司常常會(huì)掉入另一個(gè)與法規(guī)遵從有關(guān)的安全陷阱： 不管IT系統(tǒng)對(duì)公司的安全和成功具有的重要性如何，一律投入同樣的精力或者費(fèi)用來(lái)保護(hù)。

他說(shuō)： “有些人犯的錯(cuò)誤就是，對(duì)所有安全問(wèn)題‘一視同仁’； 為保護(hù)只有五人使用的舊應(yīng)用系統(tǒng)所投入的時(shí)間和資金與為保護(hù)所有客戶(hù)使用的在線應(yīng)用系統(tǒng)所投入的一樣多。”

這種做法浪費(fèi)了資金，一旦預(yù)算花光，以后還會(huì)留下更嚴(yán)重的問(wèn)題。Rothman說(shuō)： “安全人員常常不知道如何優(yōu)先處理重要問(wèn)題。他們應(yīng)當(dāng)關(guān)注假設(shè)具體某個(gè)方面出現(xiàn)泄密會(huì)有什么樣的后果，然后再考慮如何設(shè)定開(kāi)支?！?/P>

9. 放棄不該保存的數(shù)據(jù)

另一種常見(jiàn)情形給安全人士和法規(guī)遵從人士帶來(lái)了災(zāi)難，那就是： 許多處理信用卡和借記卡的公司對(duì)保存賬戶(hù)信息的交易日志系統(tǒng)不設(shè)防，任由這些交易日志開(kāi)著，這會(huì)導(dǎo)致客戶(hù)數(shù)據(jù)泄密。

Roop說(shuō)： “這些被無(wú)意識(shí)保存下來(lái)的數(shù)據(jù)可用來(lái)偽造信用卡，被黑客或者不懷好意的員工所利用?！盧oop說(shuō)，連沒(méi)有收集信用卡數(shù)據(jù)的公司也要確保只保存現(xiàn)階段開(kāi)展業(yè)務(wù)所需的信息。他忠告，如果沒(méi)有保存信息的明確需要、卻保留了可能被攻擊者利用的信息，那是自找苦吃。如果數(shù)據(jù)非要保存，應(yīng)該確保為此制訂了保護(hù)措施。（CIO時(shí)代網(wǎng)）