監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

企業(yè)安全建設(shè)中的首要漏洞是人為操作

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

防火墻+防病毒+防間諜+IPS/IDS+VPN……,越來越多的安全產(chǎn)品被架設(shè)到企業(yè)的網(wǎng)絡(luò)機(jī)房,擔(dān)任起保護(hù)企業(yè)網(wǎng)絡(luò)安全、信息安全的重任。然而看似無懈可擊、固若金湯的安全系統(tǒng)下,安全事故卻依然經(jīng)常發(fā)生。

病毒不會憑空感染,必然是有人誤入“禁地”。

攻擊不會憑空出現(xiàn),除了黑客不斷變幻攻擊手段,必然有人有意無意為黑客開了“方便之門”。

機(jī)密信息不可能自己外泄,必然是有人的行為不當(dāng)導(dǎo)致信息暴露。

因?yàn)樵诎踩ㄔO(shè)的過程中,大部分安全產(chǎn)品都沒有把“人”的因素考慮進(jìn)去。

過去,病毒通常依靠軟盤、光盤傳播,傳播速度慢,擴(kuò)散范圍小。而今,借助網(wǎng)絡(luò)、漏洞傳播的病毒隨時都可能蔓延至全球,更主要的是,現(xiàn)在的病毒更加充分地充分利用了社會工程學(xué)原理,通過各種“利誘”讓用戶染毒上身。

黑客都是利用漏洞來攻擊,但是這個“漏洞”不單單是指未及時修補(bǔ)的系統(tǒng)漏洞,還包括了很多人為造成的“管理方面”的漏洞,比如:訪問帶有誘惑性的網(wǎng)頁導(dǎo)致被植入后門程序,不加控制管理的隨意下載導(dǎo)致木馬感染……不管是有意還是無意,人為產(chǎn)生的“漏洞”已經(jīng)成為黑客攻擊的最佳途徑。

上網(wǎng)行為管理專家陸繼周先生認(rèn)為:“道理其實(shí)很簡單,安全威脅除了利用系統(tǒng)漏洞和安全產(chǎn)品的疏忽,更多的還是要借助社會工程學(xué),借助缺乏安全意識的“人”的上網(wǎng)行為,才得以進(jìn)駐網(wǎng)絡(luò)和系統(tǒng)?!?/P>

因此,安全建設(shè)最大的缺失,就是無法對“人”進(jìn)行有效管理。

事實(shí)上,“人”的行為帶來的,遠(yuǎn)不只安全威脅這么簡單。

以員工的網(wǎng)絡(luò)訪問行為為例,如果不加以控制,就會帶來各種危險。比較常見的包括:

◆ 帶寬被蠶食。企業(yè)帶寬雖然不斷擴(kuò)大,業(yè)務(wù)應(yīng)用卻依然得不到滿足,這就是網(wǎng)絡(luò)資源濫用的直接后果了,因?yàn)椴患酉拗频腜2P下載、在線視頻等就是網(wǎng)絡(luò)帶寬的最大殺手。

◆ 效率被降低。炒股、聊天、購物、游戲等行為,與工作無關(guān)的視頻、語音、圖片、文檔的上傳和下載,必然帶來嚴(yán)重的生產(chǎn)力流失。

◆ 機(jī)密被泄漏。女秘書PK老板的EMC“郵件門”事件、惠普“電話門”事件等,都在告訴我們一個事實(shí):通過外發(fā)郵件、BBS論壇等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來越普遍。企業(yè)/機(jī)構(gòu)賴以生存的機(jī)密信息,很可能會被在職甚至離職員工有意或無意地泄露出去。

在安全體系建設(shè)過程中,除了要對“事”,更要對“人”!

“三分技術(shù)七分管理”,一直是安全領(lǐng)域的至理名言。三分技術(shù),防治的更多的是已知的各種安全威脅;七分管理,則主要針對人,無論是通過各種安全制度約束,還是利用各項(xiàng)技術(shù)對人進(jìn)行管理,目的都是約束“人”的行為,不給安全威脅可乘之機(jī)。

那么,七分管理,您究竟執(zhí)行了幾分?您的安全制度究竟有多少能夠被執(zhí)行?能否制止員工訪問危險的網(wǎng)站或進(jìn)行不當(dāng)?shù)牟僮??能否提前一步阻止機(jī)密信息的外發(fā)?

陸繼周先生介紹說:“利用上網(wǎng)行為管理產(chǎn)品,企業(yè)可以對內(nèi)部“人”的行為進(jìn)行細(xì)致、有效的管理,為員工劃清安全的道路,封閉可能帶來安全隱患的渠道,讓人的行為可控,從而實(shí)現(xiàn)更加安全的目標(biāo)?!?/P>

“制度”雖然在一定程度上具有約束力,但它卻和網(wǎng)絡(luò)的復(fù)雜度成反比。越是復(fù)雜的網(wǎng)絡(luò),就越難對“人”進(jìn)行管理,但也更需要對人進(jìn)行有效管理。根據(jù)IDC 的調(diào)查,目前在歐洲和美國有80%的公司在監(jiān)控員工的在線行為,而在世界500強(qiáng)企業(yè)中,絕大多數(shù)企業(yè)對員工的郵件、MSN等上網(wǎng)行為進(jìn)行監(jiān)控,而且這一舉措得到了法律條文上的支持。例如美國的《薩班斯•奧克斯利法案》和中國公安部第82號令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,都明確規(guī)定了連接到互聯(lián)網(wǎng)上的單位要做到記錄并留存用戶上網(wǎng)信息,并要求聯(lián)網(wǎng)單位要依此規(guī)定落實(shí)記錄留存的技術(shù)措施。

所以,安全防護(hù)的重點(diǎn)應(yīng)該在對“人”的管理。

安全不是可以一勞永逸的事情。即使網(wǎng)絡(luò)中部署了眾多安全產(chǎn)品,即使您層層設(shè)防,只要“人”的問題沒有解決,就不代表您的網(wǎng)絡(luò)是安全的。(CBISMB)

發(fā)布:2007-04-22 09:12    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開發(fā)