公司內(nèi)部IT安全性風(fēng)險(xiǎn)需要長抓不懈

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在企業(yè)內(nèi)部安全性風(fēng)險(xiǎn)方面，需要注意兩種類型的員工:一種是有預(yù)謀的進(jìn)行侵犯活動(dòng)，另一種是無心所導(dǎo)致的風(fēng)險(xiǎn)。但是這二者都是非常危險(xiǎn)的。

在上周一舉行的IT順從性規(guī)則會(huì)議上，Dan Verton在其主題報(bào)告中說，一個(gè)IT組織在保護(hù)自身財(cái)產(chǎn)的時(shí)候都面臨著一場(chǎng)升級(jí)的戰(zhàn)斗，無論侵犯者是否是惡意的。老式的IT外圍防護(hù)措施已經(jīng)無法起到應(yīng)有的作用。

Verton對(duì)觀眾們說，“你的安全性項(xiàng)目、政策以及程序等已經(jīng)慘不忍睹了，而你卻很可能還蒙在鼓里。你可能在外圍防護(hù)方案上花費(fèi)了數(shù)百萬的美金，但是你根本沒有任何的防護(hù)帶而言?！?/FONT>

Verton是“內(nèi)部問題:一個(gè)真實(shí)的故事”的作者，他說，公司們需要使用特定的技術(shù)對(duì)安全性程序進(jìn)行強(qiáng)化，從而阻止內(nèi)部惡意人士的攻擊，并防備那些由于忠實(shí)員工的松懈而導(dǎo)致的安全性問題。

無知并不是福

惡意的內(nèi)部員工的動(dòng)機(jī)是很明顯的，Verton說，他們就是想要竊取數(shù)據(jù)。

還有一些在安全性政策及程序的外圍工作的員工，他們并沒有惡意，但是卻不了解風(fēng)險(xiǎn)情況，從而他們?yōu)榱斯ぷ鞲拥母咝?，抑或是為了下載一些色情等東西，就把系統(tǒng)暴露在惡意代碼的面前，從而產(chǎn)生了數(shù)據(jù)風(fēng)險(xiǎn)問題。

Verton認(rèn)為，惡意的內(nèi)部人士經(jīng)常來自于公司的IT部門，這是任何CIO都不愿意聽到的，但卻是絕對(duì)不可以忽視的。

Verton說，“對(duì)于這種員工而言，有一定的心理方面的問題值得你認(rèn)真考慮。他們可能會(huì)說，'這家公司并不知道其所作所為。'他們認(rèn)為自己掌握了你的網(wǎng)絡(luò)系統(tǒng)。對(duì)于這種員工而言，如果你要減少規(guī)?；蛘吲R時(shí)解雇員工的話，他們是成熟的。如果他們?cè)谀愕拿麊沃械脑?，那么在你進(jìn)行計(jì)劃的時(shí)候，這個(gè)方面一個(gè)考慮的要素?！?/FONT>

Verton說，數(shù)據(jù)必須加強(qiáng)保護(hù)，即使它處于外圍防護(hù)帶(例如防火墻)之內(nèi)的話。他說，公司們不能依賴于嚴(yán)格的數(shù)據(jù)訪問控制。專家說，即使是一種非常強(qiáng)大的外圍安全性策略也不可能完全的保證和維持安全性。

“你擁有一些普通的員工，他們是忠實(shí)的，但是他們可能采取了一種不合理的數(shù)據(jù)處理方式，從而使得整個(gè)企業(yè)都處于一種無保護(hù)的狀態(tài)。”例如，他們可能使用基于網(wǎng)絡(luò)的電子郵件以發(fā)送關(guān)于賬戶等的客戶信息，即使公司的政策要求發(fā)送這種信息需要通過加密電子郵件。此時(shí)，對(duì)于那些可以穿透該公司外圍安全性防護(hù)的病毒或者木馬程序等就可以獲取這種信息。

Verton說，“這就要求創(chuàng)建一種企業(yè)安全性文化。”

Verton說，公司部門需要采取有效的安全性政策。這意味著，需要鑒定關(guān)鍵數(shù)據(jù)資產(chǎn)，授權(quán)網(wǎng)絡(luò)系統(tǒng)以及設(shè)備等。他們必須將這些政策和程序進(jìn)行文件化，從而嚴(yán)管數(shù)據(jù)的訪問以及接收。

他說，組織部門還必須按時(shí)的對(duì)欺詐性無線訪問點(diǎn)以及未授權(quán)的軟件進(jìn)行掃描。他們必須嚴(yán)格有效的監(jiān)控各種網(wǎng)絡(luò)功能的使用，例如，網(wǎng)絡(luò)電子郵件，F(xiàn)TP，即時(shí)消息工具，自動(dòng)化病毒升級(jí)，漏洞掃描以及補(bǔ)丁修復(fù)等。他補(bǔ)充說，公司們還應(yīng)該鑒別和關(guān)閉所有不必要的進(jìn)程，并對(duì)安全性設(shè)置的變動(dòng)進(jìn)行自動(dòng)化的檢測(cè)。

美國的一家主要零售商的安全部門的IT行政者，他說，忠實(shí)的內(nèi)部人員所產(chǎn)生的安全性風(fēng)險(xiǎn)正處于不斷的增長趨勢(shì)。他說，這種人員與惡意的內(nèi)部員工同樣的普遍。

這名行政者說，“現(xiàn)在情況是，技術(shù)已經(jīng)牢固的嵌入商務(wù)之中，人們使用技術(shù)作為他們?nèi)粘９ぷ鞯囊徊糠?，他們?duì)此并不進(jìn)行認(rèn)真的思考和防護(hù)，例如向某個(gè)廠家發(fā)送帶有敏感信息的電子郵件時(shí)?！?/FONT>

分析人士說，關(guān)注和了解程度的增強(qiáng)可以大大減少非惡意的風(fēng)險(xiǎn)。他說，“從IT的立場(chǎng)來看，唯一的方法就是，設(shè)置清晰的政策，以區(qū)分正確的以及不合理的工作方式。這是我們公司所認(rèn)為的值得堅(jiān)持的一些比較好的策略方法。”(CCW-CNW)