信息安全沒有在十全十美的方案

文章來源：泛普軟件目前，信息安全的形勢仍然十分嚴峻。新的威脅每天都會出現(xiàn)，并以多種形式發(fā)生，如viruses（病毒）、worms（蠕蟲）、Phishing（網(wǎng)絡(luò)釣魚）、Pharming（網(wǎng)絡(luò)欺詐的又一種形式）、Social engineering（社會工程陷阱）、Identity theft（身份盜竊）等。

這些威脅甚至已擴展到新興技術(shù)領(lǐng)域。例如，VoIP電話網(wǎng)絡(luò)和市政Wi-Fi（Wireless Fidelity，無線保真度，是“小靈通”所采用的技術(shù)）應(yīng)用就存在著被攻擊的潛在威脅。

但是，在過去的幾年里，也出現(xiàn)了先進的安全措施來解決這些問題。安全軟件的處理能力得到不斷提升，同時其應(yīng)用也越來越普遍，它們可以檢測到那些可能在過去潛入系統(tǒng)的、并且已經(jīng)運行了很長時間的攻擊。防火墻技術(shù)、代理服務(wù)器保護、入侵監(jiān)測系統(tǒng)以及其它方案的抗攻擊能力同樣也得到了很大的提高。

由于這些提高，許多人似乎認為完全自動化的安全解決方案已經(jīng)能夠阻攔幾乎所有的攻擊。然而，實際上具有這種觀點的IT管理人員完全是在自我麻痹，使自己得以安心，這將使他們很容易受到形式善變黑客的攻擊。

不存在十全十美的方案

事實上，沒有一個軟件解決方案或者自動化處理能夠比得上通過培訓提高安全保護認識及在工作中提高對安全問題的認識。然而，來自計算機行業(yè)協(xié)會（Computing Technology Industry Association，簡稱CompTIA）的一項新的調(diào)查表明許多公司并沒有認識到在保護數(shù)據(jù)安全、網(wǎng)絡(luò)安全以及技術(shù)基礎(chǔ)設(shè)施安全過程中人為因素所扮演的角色。

很明顯，關(guān)于安全，人們說的是一套，而做的又是一套，沒有做到言行一致。

CompTIA進行了一項著名的、針對信息安全威脅和響應(yīng)的研究，這項研究已經(jīng)持續(xù)了四年。這四年時間里，每年的研究結(jié)果中都會提到這樣一項結(jié)果，那就是大多數(shù)安全漏洞是由于某種內(nèi)在的人為失誤造成的。

本年度研究報告在3月20號那一周公布。在報告中，被調(diào)查的574家公司中有59%的公司指出他們過去的安全漏洞要歸因于人為的失誤。這個數(shù)字比去年有明顯的提高，在去年的報告中有不到一半的安全漏洞是由人為失誤造成的。

這些人為失誤的發(fā)生大多是由于員工沒有嚴格遵守公司內(nèi)部的安全政策和安全程序而造成的。

也許更值得關(guān)注的是安全漏洞并不是偶然、孤立存在的。超過三分之一（大約有35%）的被調(diào)查公司指出在過去的六個月曾遭受到一個或更多的攻擊；而大約有40%的被調(diào)查公司指出在去年他們遭受到至少一次攻擊。這些攻擊的嚴重程度實質(zhì)上已經(jīng)達到了去年研究中所披露的全年水平。

這項研究持續(xù)了四年，其中提到最多的問題就是病毒和蠕蟲攻擊。其次，就是用戶認識缺乏和基于瀏覽器的攻擊這兩方面的安全問題。自這項研究開始時起，用戶認識缺乏的問題就突顯出來，而基于瀏覽器的攻擊可能發(fā)展成一個最普遍的威脅。

對最普遍威脅的研究結(jié)果和被調(diào)查公司的回答基本一致，兩者都指出安全問題的責任主要在于人為的失誤。而這種情況，在那些已經(jīng)組織抵抗這種威脅的被調(diào)查公司中卻大不一樣。

幾乎所有的公司（約占95%）都安裝了抗病毒軟件，而且大多數(shù)被調(diào)查公司（占90%）都配有防火墻或者建立了代理服務(wù)器。其他常用的措施還有災(zāi)難恢復策略、入侵監(jiān)測系統(tǒng)以及寫信息安全策略。

實踐，實踐，再實踐 …

然而，在那些公司中對信息安全的培訓卻不常見。那些被調(diào)查公司中僅有29%的公司認為他們需要信息安全培訓。

顯然，卻別于專門的安全培訓和認證，公司內(nèi)部端用戶安全認識的培訓才是公司安全有機整體的一個重要組成部分，但這在大多數(shù)公司卻沒有得到實現(xiàn)。僅36%的被調(diào)查公司指出他們公司適當?shù)倪M行了這種類型的培訓。而且雖然被調(diào)查公司中有29%的公司指出他們將來在某些情況下將那樣做，但其中足足有35%的公司明確表示目前他們還沒有相應(yīng)的計劃來做這樣的事情。

當向那些沒有制定端用戶安全認識培訓計劃的公司問及為什么不制定這樣的計劃時，最常見的回答就是它不在公司的優(yōu)先考慮事務(wù)之內(nèi)，或者是上層管理者沒有主動支持這件事情。

盡管如此，自從進行端用戶安全認識培訓之后，安全漏洞的數(shù)量已經(jīng)大大減少了，這已得到了廣泛的認同（約占被調(diào)查公司的84%）。

但這種培訓仍存在一定的局限性。公司在這種培訓上僅投入了很少的時間和資金的情況，向端用戶傳達了一個訊息，那就是這種培訓不在公司的優(yōu)先考慮事務(wù)之列。為了克服端用戶的這種認識，公司的領(lǐng)導階層需要設(shè)法提高端用戶對這種培訓將帶來的益處的認識，以及提高對缺少這種培訓將帶來的危險的認識。

研究發(fā)現(xiàn)，這四年來各公司在信息安全解決方案上的開銷基本相同，不管是對產(chǎn)品還是對培訓的開銷。然而仍然存在相當一部分公司（約占10%）指出他們在計算機安全方面基本沒有什么開銷，將近40%的公司在這方面的花銷僅占公司整個技術(shù)預(yù)算的5%。

很明顯，公司所有部門都需要認識到信息安全的重要性，特別是在擁有多點攻擊和數(shù)千員工的大型公司。但是，即使書面的安全政策制定好了，在公司各個部門的執(zhí)行仍然是個問題。

因此，比起技術(shù)進步，安全保證在很大程度上仍然更加依賴于人們的行動和認識。(it168)

發(fā)布：2007-04-22 10:01 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：