企業(yè)機(jī)密數(shù)據(jù)防護(hù)由安全管理員控制入手

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

您的安全人員是值得信賴的?工作是否認(rèn)真負(fù)責(zé)的?是否經(jīng)驗(yàn)豐富?不管您對(duì)安全人員的評(píng)價(jià)是怎樣，還是讓我們來(lái)聽(tīng)一聽(tīng)安全專家的親身經(jīng)歷吧，您可能會(huì)對(duì)安全人員重新進(jìn)行評(píng)價(jià)了。

這里有一個(gè)這樣的故事，來(lái)自于某網(wǎng)絡(luò)公司(管理服務(wù)提供商)的執(zhí)行副總裁Kevin McDonald的親身經(jīng)歷：

他的建筑公司客戶擁有一名負(fù)責(zé)安全的高級(jí)IT人員，這名安全主管堅(jiān)持讓該建筑公司的老板確信將各種公司數(shù)據(jù)庫(kù)存儲(chǔ)在自己公司會(huì)存儲(chǔ)在其他地方更加便宜，因?yàn)樵摴緝?nèi)部已經(jīng)安裝有光纖線路。

您可以料想到這樣一個(gè)結(jié)果：?jiǎn)T工與其雇主之間將會(huì)發(fā)生沖突。而在你發(fā)現(xiàn)這些所謂的“內(nèi)部威脅”前，安全工作人員就已將威脅性的電子郵件發(fā)給該建筑公司的客戶，并且告訴客戶自己掌握著他們的私人信息。

McDonald表示，這名安全工作人員的這種行為基本上斷送了自己的前程，公司花費(fèi)了六個(gè)月的時(shí)間才結(jié)束了這名員工造成的影響。在例如美國(guó)相對(duì)法律健全的國(guó)家，只有當(dāng)員工實(shí)施公共性的網(wǎng)上威脅行為并且非法使用公司數(shù)據(jù)時(shí)，美國(guó)聯(lián)邦調(diào)查局才有權(quán)利對(duì)其采取強(qiáng)制手段?？上驀?guó)內(nèi)的安全威脅又將如何？

現(xiàn)實(shí)中，安全部門(mén)總是被各種問(wèn)題所困擾著，從失職的安全人員到不理想的預(yù)算，再到糟糕的工作人員等。以下是安全部門(mén)常見(jiàn)的一些問(wèn)題，并且提供了解決這些問(wèn)題的對(duì)策。

使用安全綜合軟件包

在此時(shí)此刻，某公司的某名安全工作人員肯定正在咒罵他們的CTO/CIO，因?yàn)樗麄兊腃TO/CIO讓他們使用捆綁了全部安全軟件的軟件包。事情一般是這樣的：大型安全廠商的銷(xiāo)售人員會(huì)說(shuō)服高層管理人員，購(gòu)買(mǎi)一套能夠同時(shí)進(jìn)行桌面防病毒操作、電子郵件安全檢測(cè)、入侵檢測(cè)和網(wǎng)頁(yè)過(guò)濾等工作的安全軟件包要更加合理，并且價(jià)格便宜。

那么，這樣做到底有什么不好呢?某安全軟件廠商的主管表示，“其實(shí)你已經(jīng)將這些安全基礎(chǔ)設(shè)施的關(guān)鍵部分都商品化了，問(wèn)題在于，在CTO/CIO看來(lái)，安全只是一種商品，就像其他應(yīng)用軟件一樣?！?/P>

但是沒(méi)有任何安全廠商能夠生產(chǎn)出面面俱到的產(chǎn)品，那些購(gòu)買(mǎi)安全套件的公司確實(shí)能夠節(jié)省資金，但是我們不得不承認(rèn)，這樣做很可能導(dǎo)致各種安全威脅。

如何避免公司可能存在的隱患？

McDonald建議，首先需要培養(yǎng)公司CTO/CIO的安全認(rèn)識(shí)，同時(shí)在公司內(nèi)部組織并普及安全知識(shí)，讓工作人員和管理層人員都能夠明白安全威脅及如何防范威脅。

專家表示，普及公司員工的安全意識(shí)，有助于降低安全威脅發(fā)生幾率，同時(shí)可以降低安全預(yù)算的投入。

另外一個(gè)辦法就是強(qiáng)制執(zhí)行，美國(guó)賓夕法尼亞州政府就是采取的這種方法，在2005年年底Bob Maley出任賓夕法尼亞州首席安全官前，州政府就明確了如何選擇安全產(chǎn)品的標(biāo)準(zhǔn)。

安全認(rèn)證的含金量

像大多數(shù)IT安全問(wèn)題一樣，在數(shù)據(jù)安全問(wèn)題方面，資格認(rèn)證證書(shū)的價(jià)值經(jīng)常被質(zhì)疑。

賓夕法尼亞州州政府的首席信息安全官Bob Maley說(shuō)道，“多年以來(lái)，人們前前后后獲得過(guò)各種資格認(rèn)證，他們的名字后面可能會(huì)有5個(gè)不通的首字母縮寫(xiě)?！?/P>

但是，這么多資格認(rèn)證真的有價(jià)值嗎?這需要依情況而定。

Marley表示，“老實(shí)說(shuō)，在認(rèn)證行業(yè)中，有很多認(rèn)證證書(shū)是毫無(wú)價(jià)值的，即使是毫無(wú)經(jīng)驗(yàn)的人，都可以得到資格認(rèn)證。”

某安全廠商表示，“我們聘請(qǐng)的人都有很漂亮的文憑，但是實(shí)際生產(chǎn)中與我們的要求相差甚遠(yuǎn)。具體說(shuō)，我們?cè)?jīng)聘請(qǐng)過(guò)擁有高學(xué)歷和各種證書(shū)的人員，結(jié)果發(fā)現(xiàn)這些人甚至都不會(huì)連接網(wǎng)絡(luò)，他們擁有理論知識(shí)，但是對(duì)于實(shí)踐操作卻沒(méi)有任何概念。”

Maley表示，招聘管理人員時(shí)，擁有較多資格證書(shū)的人確實(shí)能夠讓人印象深刻，并且能夠輕松通過(guò)面試。但面試官們應(yīng)該認(rèn)真閱讀面試人員的簡(jiǎn)歷，并核對(duì)其經(jīng)驗(yàn)與資格證書(shū)是否相符。

如今琳瑯滿目的認(rèn)證中，CISSP(認(rèn)證信息系統(tǒng)安全專業(yè)人員)、CISA(認(rèn)證信息系統(tǒng)審計(jì)人員)以及CISM(認(rèn)證信息安全管理人員)認(rèn)證是具有巨大的競(jìng)爭(zhēng)優(yōu)勢(shì)的。

專家表示，擁有CISSP的人通常能夠反應(yīng)出他所謂的“內(nèi)在經(jīng)驗(yàn)”，因?yàn)槿绻肿C者沒(méi)有相關(guān)經(jīng)驗(yàn)的話，是不可能獲得認(rèn)證證書(shū)的。

經(jīng)驗(yàn)的重要性

對(duì)于企業(yè)安全而言，組建一個(gè)勤奮而具有開(kāi)拓性的安全團(tuán)隊(duì)是十分必要的。然而對(duì)于如何獲取這些安全團(tuán)隊(duì)的成員，每家公司的認(rèn)知并不相同，Maley建議，“雇傭那些有前途的新手，對(duì)于他們來(lái)說(shuō)，能夠有機(jī)會(huì)積累網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)是很重要的事情?！?/P>

對(duì)于新手來(lái)說(shuō)，能夠在一些重大事件或項(xiàng)目中獲取寶貴的經(jīng)驗(yàn)是很開(kāi)心的事情，Maley補(bǔ)充說(shuō)。

Anthony Scalzitti，某主要安全軟件公司的安全工程師有著相反的看法，“很多安全公司都堅(jiān)持雇傭技術(shù)不熟練的員工或者安全新手，如果你的公司正是這種情況，那么你就應(yīng)該限制這些安全人員可能搞砸整個(gè)公司的能力，可以讓他們?cè)诓惶匾南到y(tǒng)工作稱。例如，你可以讓這些人員調(diào)查可疑的日志記錄或者入侵檢測(cè)系統(tǒng)報(bào)告?！?/P>

通常情況下，會(huì)有一些安全初學(xué)者認(rèn)為類(lèi)似工作是浪費(fèi)他們的時(shí)間，例如審查日志記錄或者行為預(yù)警，做簡(jiǎn)單的配置審查或者與其他業(yè)務(wù)部門(mén)開(kāi)會(huì)等。

Scalzitti表示，他已經(jīng)成功地讓那些安全新手著手研究出現(xiàn)在媒體中的安全事件，實(shí)現(xiàn)這個(gè)目的的關(guān)鍵在于讓安全專家們發(fā)現(xiàn)80%的安全事故都是由于簡(jiǎn)單的機(jī)會(huì)主義攻擊造成的。

“在信息安全中，我們給黑客們提供了各種攻擊的機(jī)會(huì)，他們一般會(huì)攻擊容易下手的公司。讓你的安全新手們?nèi)z查那些容易被攻擊的漏洞，這可能需要花費(fèi)一些時(shí)間，但是他們會(huì)認(rèn)識(shí)到細(xì)節(jié)將決定成敗，簡(jiǎn)單的錯(cuò)誤可能導(dǎo)致巨大的安全威脅。”Scalzitti補(bǔ)充道。

結(jié)語(yǔ)

最后，我們回到最開(kāi)始的話題，你可以訓(xùn)練那些安全新手，對(duì)他們進(jìn)行督導(dǎo)，給他們提供挑戰(zhàn)機(jī)會(huì)，但是對(duì)于那些真正的不可教的安全人員又完全不是這么回事了，唯一的解決辦法就是最開(kāi)始的時(shí)候就不要雇傭他。（IT專家網(wǎng)）