信息安全沒有在十全十美的方案

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

這些威脅甚至已擴(kuò)展到新興技術(shù)領(lǐng)域。例如，VoIP電話網(wǎng)絡(luò)和市政Wi-Fi（Wireless Fidelity，無線保真度，是“小靈通”所采用的技術(shù)）應(yīng)用就存在著被攻擊的潛在威脅。

但是，在過去的幾年里，也出現(xiàn)了先進(jìn)的安全措施來解決這些問題。安全軟件的處理能力得到不斷提升，同時(shí)其應(yīng)用也越來越普遍，它們可以檢測(cè)到那些可能在過去潛入系統(tǒng)的、并且已經(jīng)運(yùn)行了很長(zhǎng)時(shí)間的攻擊。防火墻技術(shù)、代理服務(wù)器保護(hù)、入侵監(jiān)測(cè)系統(tǒng)以及其它方案的抗攻擊能力同樣也得到了很大的提高。

由于這些提高，許多人似乎認(rèn)為完全自動(dòng)化的安全解決方案已經(jīng)能夠阻攔幾乎所有的攻擊。然而，實(shí)際上具有這種觀點(diǎn)的IT管理人員完全是在自我麻痹，使自己得以安心，這將使他們很容易受到形式善變黑客的攻擊。

不存在十全十美的方案

事實(shí)上，沒有一個(gè)軟件解決方案或者自動(dòng)化處理能夠比得上通過培訓(xùn)提高安全保護(hù)認(rèn)識(shí)及在工作中提高對(duì)安全問題的認(rèn)識(shí)。然而，來自計(jì)算機(jī)行業(yè)協(xié)會(huì)（Computing Technology Industry Association，簡(jiǎn)稱CompTIA）的一項(xiàng)新的調(diào)查表明許多公司并沒有認(rèn)識(shí)到在保護(hù)數(shù)據(jù)安全、網(wǎng)絡(luò)安全以及技術(shù)基礎(chǔ)設(shè)施安全過程中人為因素所扮演的角色。

很明顯，關(guān)于安全，人們說的是一套，而做的又是一套，沒有做到言行一致。

CompTIA進(jìn)行了一項(xiàng)著名的、針對(duì)信息安全威脅和響應(yīng)的研究，這項(xiàng)研究已經(jīng)持續(xù)了四年。這四年時(shí)間里，每年的研究結(jié)果中都會(huì)提到這樣一項(xiàng)結(jié)果，那就是大多數(shù)安全漏洞是由于某種內(nèi)在的人為失誤造成的。

本年度研究報(bào)告在3月20號(hào)那一周公布。在報(bào)告中，被調(diào)查的574家公司中有59%的公司指出他們過去的安全漏洞要?dú)w因于人為的失誤。這個(gè)數(shù)字比去年有明顯的提高，在去年的報(bào)告中有不到一半的安全漏洞是由人為失誤造成的。

這些人為失誤的發(fā)生大多是由于員工沒有嚴(yán)格遵守公司內(nèi)部的安全政策和安全程序而造成的。

也許更值得關(guān)注的是安全漏洞并不是偶然、孤立存在的。超過三分之一（大約有35%）的被調(diào)查公司指出在過去的六個(gè)月曾遭受到一個(gè)或更多的攻擊；而大約有40%的被調(diào)查公司指出在去年他們?cè)馐艿街辽僖淮喂簟＿@些攻擊的嚴(yán)重程度實(shí)質(zhì)上已經(jīng)達(dá)到了去年研究中所披露的全年水平。

這項(xiàng)研究持續(xù)了四年，其中提到最多的問題就是病毒和蠕蟲攻擊。其次，就是用戶認(rèn)識(shí)缺乏和基于瀏覽器的攻擊這兩方面的安全問題。自這項(xiàng)研究開始時(shí)起，用戶認(rèn)識(shí)缺乏的問題就突顯出來，而基于瀏覽器的攻擊可能發(fā)展成一個(gè)最普遍的威脅。

對(duì)最普遍威脅的研究結(jié)果和被調(diào)查公司的回答基本一致，兩者都指出安全問題的責(zé)任主要在于人為的失誤。而這種情況，在那些已經(jīng)組織抵抗這種威脅的被調(diào)查公司中卻大不一樣。

幾乎所有的公司（約占95%）都安裝了抗病毒軟件，而且大多數(shù)被調(diào)查公司（占90%）都配有防火墻或者建立了代理服務(wù)器。其他常用的措施還有災(zāi)難恢復(fù)策略、入侵監(jiān)測(cè)系統(tǒng)以及寫信息安全策略。

實(shí)踐，實(shí)踐，再實(shí)踐 …

然而，在那些公司中對(duì)信息安全的培訓(xùn)卻不常見。那些被調(diào)查公司中僅有29%的公司認(rèn)為他們需要信息安全培訓(xùn)。

顯然，卻別于專門的安全培訓(xùn)和認(rèn)證，公司內(nèi)部端用戶安全認(rèn)識(shí)的培訓(xùn)才是公司安全有機(jī)整體的一個(gè)重要組成部分，但這在大多數(shù)公司卻沒有得到實(shí)現(xiàn)。僅36%的被調(diào)查公司指出他們公司適當(dāng)?shù)倪M(jìn)行了這種類型的培訓(xùn)。而且雖然被調(diào)查公司中有29%的公司指出他們將來在某些情況下將那樣做，但其中足足有35%的公司明確表示目前他們還沒有相應(yīng)的計(jì)劃來做這樣的事情。

當(dāng)向那些沒有制定端用戶安全認(rèn)識(shí)培訓(xùn)計(jì)劃的公司問及為什么不制定這樣的計(jì)劃時(shí)，最常見的回答就是它不在公司的優(yōu)先考慮事務(wù)之內(nèi)，或者是上層管理者沒有主動(dòng)支持這件事情。

盡管如此，自從進(jìn)行端用戶安全認(rèn)識(shí)培訓(xùn)之后，安全漏洞的數(shù)量已經(jīng)大大減少了，這已得到了廣泛的認(rèn)同（約占被調(diào)查公司的84%）。

但這種培訓(xùn)仍存在一定的局限性。公司在這種培訓(xùn)上僅投入了很少的時(shí)間和資金的情況，向端用戶傳達(dá)了一個(gè)訊息，那就是這種培訓(xùn)不在公司的優(yōu)先考慮事務(wù)之列。為了克服端用戶的這種認(rèn)識(shí)，公司的領(lǐng)導(dǎo)階層需要設(shè)法提高端用戶對(duì)這種培訓(xùn)將帶來的益處的認(rèn)識(shí)，以及提高對(duì)缺少這種培訓(xùn)將帶來的危險(xiǎn)的認(rèn)識(shí)。

研究發(fā)現(xiàn)，這四年來各公司在信息安全解決方案上的開銷基本相同，不管是對(duì)產(chǎn)品還是對(duì)培訓(xùn)的開銷。然而仍然存在相當(dāng)一部分公司（約占10%）指出他們?cè)谟?jì)算機(jī)安全方面基本沒有什么開銷，將近40%的公司在這方面的花銷僅占公司整個(gè)技術(shù)預(yù)算的5%。

很明顯，公司所有部門都需要認(rèn)識(shí)到信息安全的重要性，特別是在擁有多點(diǎn)攻擊和數(shù)千員工的大型公司。但是，即使書面的安全政策制定好了，在公司各個(gè)部門的執(zhí)行仍然是個(gè)問題。

因此，比起技術(shù)進(jìn)步，安全保證在很大程度上仍然更加依賴于人們的行動(dòng)和認(rèn)識(shí)。(it168)