當前位置:工程項目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
安全管理九項不花錢的安全措施
如果員工沒有意識到一些潛在的安全隱患,那么就算企業(yè)安全信息系統(tǒng)再昂貴,其功能也會化為泡影。其實只要改進一些平時常被忽略的行為,就很容易避免安全威脅,而且?guī)缀醪挥枚嗷ㄒ环皱X。
許多公司投入很多的資金和人員來建設信息安全系統(tǒng),希望遠離四處潛伏的眾多安全威脅。但如果不小心踩到安全“地雷”,所有這些努力都將化為泡影。安全專家們表示,只要人們意識到了這些潛在的陷阱,就很容易避免安全威脅,而且?guī)缀醪挥枚嗷ㄒ环皱X就能做到。
1. 防止公司機密從指尖滑漏
許多最普遍的安全問題可能起源于一些不起眼的技術習慣。例如,微軟Outlook或其他郵件系統(tǒng)中的電子郵件地址具有“自動填入”功能,員工迅速填寫電子郵件地址時,假如輸入一個同事的名字,郵件地址下拉框中可能會自動出現另一些類似姓名的郵件地址。員工由于不仔細,匆忙中指尖一滑就進行了選擇,郵件便發(fā)給了別人,而他還以為自己的郵件只是發(fā)給了內部的某個同事。很多人可能都遇到過這樣的危險。要是電子郵件中含有關于公司的敏感數據,那么商業(yè)機密就會外泄。
賽門鐵克公司的營銷與產品高級經理Steve Roop表示,如果更多用戶學會禁用微軟Outlook及其他郵件系統(tǒng)中的電子郵件地址“自動填入”功能,就能避免很多起因粗心大意釀成的數據丟失事件。
Roop表示,多達90%的信息泄漏事件與電子郵件方面的一些用戶失誤有關。其實只需要禁止自動填入之類的功能,盡管今后輸入郵件地址時可能會麻煩些,但這起碼可以讓公司免除許多頭痛的泄密事件,而且無需額外成本。
2. 警惕那些你認為靠得住的合作伙伴
Roop認為,另一個常見的安全錯誤出現在這些用戶當中: 他們認為可以把人力資源數據等敏感信息發(fā)送給業(yè)務合作伙伴或者外包服務提供商。要是發(fā)送的信息沒有經過加密,這種危險就更大了。
他說: “人力資源外包服務提供商的人員有可能不會有太強的安全意識,不經意間把電子表格發(fā)到別處,或者把數據存放到不安全的筆記本電腦上,這就是一種安全隱患。”
3. 基于Web的應用可能會招致信息泄漏
McAfee公司的安全研究與溝通經理Dave Marcus認為,導致許多安全問題的一種常見行為包括使用網絡郵件,或者允許員工從公司網絡訪問音樂下載及文件共享服務。
這種基于Web的應用會繞過公司的安全過濾器(網絡郵件就是這樣),或者打開連接到外界的通道,從而給公司內部帶來病毒或者更嚴重的威脅。
如果員工把工作帶回家做,這種風險就會大大增強。Marcus認為,如果他們沒有使用公司VPN而直接傳播郵件,關鍵數據就有可能失竊。
其實CIO只要執(zhí)行安全策略,要求員工在VPN或者加密通道上使用安全郵件客戶軟件(針對電子郵件); 或者禁止用戶把應用程序安裝到工作電腦上,也不允許他們把數據拷貝到可移動介質上,就很容易避免這些問題。另外還應該阻止員工使用電子郵件給自己發(fā)送數據,以免這些未經加密的郵件被半路截取。
4. 思考后再透露密碼及用戶信息
透露密碼和個人數據的往往是內部用戶,而不是外部入侵者。這樣一來,攻擊者可以趁機闖入用戶的計算機及公司網絡,從而為非作歹、破壞聲譽。
Marcus表示,盡管人們已知道威脅來自于網絡釣魚、間諜軟件程序等多方面因素,但還是有許多人在上網時沒有養(yǎng)成防護的習慣,他們根本沒把這些危險和自己聯(lián)系在一起,只圖方便,因此在接到要求后仍愿意透露數據,并未確信自己沒有上當受騙。Marcus說: “人們以為出現在面前的網站就是正當的,這種想法在網絡世界里是很危險的。”
5. 防患于未然
誰都不想遭遇數據泄密事件,專門提供泄密后分析服務和軟件工具的Mandiant公司的首席執(zhí)行官Kevin Mandia忠告,CIO應該對泄密事件發(fā)生后的對策有所準備。一旦果真發(fā)生了信息泄漏,每家公司都可以采取措施來減輕造成的影響。他說,遺憾的是,大多數公司等到為時已晚的時候,才測試甚至制訂響應策略。
Mandia說,系統(tǒng)應記下數據流動情況,包括誰在什么時候訪問數據、哪些應用軟件使用了這些數據,但鮮有公司這么做。他說: “我們看到的最常見錯誤就是,公司請我們過去,我們首先問的是有沒有任何相關文檔。對方往往會提供大量數據,卻沒有正式的文檔。技術人員在這方面做得很差,律師也沒有要求這樣做。所以幾乎無一例外的是,我們過去問公司出了什么情況,對方根本答不上來。”
6. 泄密后的保密工作
許多公司沒有任命某個領導人或者小組來負責響應安全事件、查找重要細節(jié),結果也大大限制了響應事件的能力。在許多公司,這成了推卸責任的借口; 而另一些公司讓太多的人參與泄密事件響應工作,結果這么多的人反而妨礙了相關的調查工作。
Mandia說: “有些公司讓太多的人參與決策過程。我們過去后,得向12個人說明情況,但實際上其中有10個人并沒必要參加。”
另一個常見問題是,許多公司通常沒有針對泄密事件進行保密。這樣一來,員工聽到風聲后,會立即設法保護自身利益,從而加大了調查的難度。
Mandia表示,如果事件牽涉到內部人員,他們知道行蹤敗露后,可能會立即清理掉一些證據(而這些證據原本可以幫助調查人員查明真相),這樣就為確定責任帶來很大麻煩。
7. 裝好安全補丁并不等于高枕無憂
隨著涉及IT和數據安全人士的法規(guī)措施越來越多,許多公司投入大筆資金用于技術性解決方案,以堵住漏洞。但它們通常以為,采用某項技術或者符合某個方面的法規(guī)就能高枕無憂了,事實并非如此。
Security Incite公司的分析師Mike Rothman說: “我看到的最主要問題就是,人們以為采取部署反病毒軟件、打上補丁和運行漏洞掃描之類的簡單措施后,就真正符合要求了。他們并沒有從風險管理的角度來看待問題?!?/P>
不少公司審查了數量有限的安全補丁,得到及格分數后就認為再也不需要加強工作。Rothman說: “人們常常以為,一旦進行了積極審查,就大功告成了。之后,黑客們會證明其實并非如此?!?/P>
8. 安全問題不能“一視同仁”
Rothman表示,公司常常會掉入另一個與法規(guī)遵從有關的安全陷阱: 不管IT系統(tǒng)對公司的安全和成功具有的重要性如何,一律投入同樣的精力或者費用來保護。
他說: “有些人犯的錯誤就是,對所有安全問題‘一視同仁’; 為保護只有五人使用的舊應用系統(tǒng)所投入的時間和資金與為保護所有客戶使用的在線應用系統(tǒng)所投入的一樣多?!?/P>
這種做法浪費了資金,一旦預算花光,以后還會留下更嚴重的問題。Rothman說: “安全人員常常不知道如何優(yōu)先處理重要問題。他們應當關注假設具體某個方面出現泄密會有什么樣的后果,然后再考慮如何設定開支?!?/P>
9. 放棄不該保存的數據
另一種常見情形給安全人士和法規(guī)遵從人士帶來了災難,那就是: 許多處理信用卡和借記卡的公司對保存賬戶信息的交易日志系統(tǒng)不設防,任由這些交易日志開著,這會導致客戶數據泄密。
Roop說: “這些被無意識保存下來的數據可用來偽造信用卡,被黑客或者不懷好意的員工所利用?!盧oop說,連沒有收集信用卡數據的公司也要確保只保存現階段開展業(yè)務所需的信息。他忠告,如果沒有保存信息的明確需要、卻保留了可能被攻擊者利用的信息,那是自找苦吃。如果數據非要保存,應該確保為此制訂了保護措施。(CIO時代網)
- 1“開源”概念相關理論與其應用的探討
- 2“云安全+云保護”三大謎團技術解析
- 3淺析語音識別技術及其發(fā)展
- 4防止企業(yè)數據外泄的五大方法
- 5十種常用的安全問題解決方案
- 6麥肯錫報告:云計算不適于大型企業(yè)
- 7如何優(yōu)化企業(yè)虛擬化環(huán)境并節(jié)省成本
- 8企業(yè)為什么需要災難恢復?
- 9中間件技術相關思想、概念與分類
- 10標準參考:常用的各項信息安全標準
- 11牛志軍:ISMS實施過程常見困惑與應對
- 122009年中國災備行業(yè)12大趨勢
- 13企業(yè)員工離職后的信息安全策略
- 14虛擬化:似乎醒了,實際還在睡
- 15分析:虛擬化服務器是否減少工作量?
- 16經濟危機下企業(yè)信息安全外包漸成趨勢
- 17經濟衰退會推動還是阻礙虛擬化應用
- 18Web安全市場正經歷“蝴蝶效應”
- 19安全演化:從“云計算”到“云安全”
- 20詳解數據庫備份常常遇見的九種狀況
- 21信息安全十大關注確保公司渡過危機
- 22虛擬化和云計算如何改變安全模式
- 23我國電子尋找RFID產業(yè)鏈突破點
- 24Web應用程序管理的幾大策略
- 25從IDF2009看服務器市場風云變幻(二)
- 262009年虛擬化十大預測
- 27協(xié)同OA軟件培訓的目的是讓甲方掌握該軟件
- 28行業(yè)用戶講述刀片服務器實際應用
- 29“中間帶動兩端” 聚焦業(yè)務中間件
- 30解析網絡虛擬化技術的發(fā)展趨勢
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓