公司內(nèi)部IT安全性風險需要長抓不懈

申請免費試用、咨詢電話：400-8352-114

在企業(yè)內(nèi)部安全性風險方面，需要注意兩種類型的員工:一種是有預謀的進行侵犯活動，另一種是無心所導致的風險。但是這二者都是非常危險的。

在上周一舉行的IT順從性規(guī)則會議上，Dan Verton在其主題報告中說，一個IT組織在保護自身財產(chǎn)的時候都面臨著一場升級的戰(zhàn)斗，無論侵犯者是否是惡意的。老式的IT外圍防護措施已經(jīng)無法起到應(yīng)有的作用。

Verton對觀眾們說，“你的安全性項目、政策以及程序等已經(jīng)慘不忍睹了，而你卻很可能還蒙在鼓里。你可能在外圍防護方案上花費了數(shù)百萬的美金，但是你根本沒有任何的防護帶而言?！?/FONT>

Verton是“內(nèi)部問題:一個真實的故事”的作者，他說，公司們需要使用特定的技術(shù)對安全性程序進行強化，從而阻止內(nèi)部惡意人士的攻擊，并防備那些由于忠實員工的松懈而導致的安全性問題。

無知并不是福

惡意的內(nèi)部員工的動機是很明顯的，Verton說，他們就是想要竊取數(shù)據(jù)。

還有一些在安全性政策及程序的外圍工作的員工，他們并沒有惡意，但是卻不了解風險情況，從而他們?yōu)榱斯ぷ鞲拥母咝?，抑或是為了下載一些色情等東西，就把系統(tǒng)暴露在惡意代碼的面前，從而產(chǎn)生了數(shù)據(jù)風險問題。

Verton認為，惡意的內(nèi)部人士經(jīng)常來自于公司的IT部門，這是任何CIO都不愿意聽到的，但卻是絕對不可以忽視的。

Verton說，“對于這種員工而言，有一定的心理方面的問題值得你認真考慮。他們可能會說，'這家公司并不知道其所作所為。'他們認為自己掌握了你的網(wǎng)絡(luò)系統(tǒng)。對于這種員工而言，如果你要減少規(guī)?；蛘吲R時解雇員工的話，他們是成熟的。如果他們在你的名單中的話，那么在你進行計劃的時候，這個方面一個考慮的要素。”

Verton說，數(shù)據(jù)必須加強保護，即使它處于外圍防護帶(例如防火墻)之內(nèi)的話。他說，公司們不能依賴于嚴格的數(shù)據(jù)訪問控制。專家說，即使是一種非常強大的外圍安全性策略也不可能完全的保證和維持安全性。

“你擁有一些普通的員工，他們是忠實的，但是他們可能采取了一種不合理的數(shù)據(jù)處理方式，從而使得整個企業(yè)都處于一種無保護的狀態(tài)?！崩?，他們可能使用基于網(wǎng)絡(luò)的電子郵件以發(fā)送關(guān)于賬戶等的客戶信息，即使公司的政策要求發(fā)送這種信息需要通過加密電子郵件。此時，對于那些可以穿透該公司外圍安全性防護的病毒或者木馬程序等就可以獲取這種信息。

Verton說，“這就要求創(chuàng)建一種企業(yè)安全性文化?！?/FONT>

Verton說，公司部門需要采取有效的安全性政策。這意味著，需要鑒定關(guān)鍵數(shù)據(jù)資產(chǎn)，授權(quán)網(wǎng)絡(luò)系統(tǒng)以及設(shè)備等。他們必須將這些政策和程序進行文件化，從而嚴管數(shù)據(jù)的訪問以及接收。

他說，組織部門還必須按時的對欺詐性無線訪問點以及未授權(quán)的軟件進行掃描。他們必須嚴格有效的監(jiān)控各種網(wǎng)絡(luò)功能的使用，例如，網(wǎng)絡(luò)電子郵件，F(xiàn)TP，即時消息工具，自動化病毒升級，漏洞掃描以及補丁修復等。他補充說，公司們還應(yīng)該鑒別和關(guān)閉所有不必要的進程，并對安全性設(shè)置的變動進行自動化的檢測。

美國的一家主要零售商的安全部門的IT行政者，他說，忠實的內(nèi)部人員所產(chǎn)生的安全性風險正處于不斷的增長趨勢。他說，這種人員與惡意的內(nèi)部員工同樣的普遍。

這名行政者說，“現(xiàn)在情況是，技術(shù)已經(jīng)牢固的嵌入商務(wù)之中，人們使用技術(shù)作為他們?nèi)粘９ぷ鞯囊徊糠?，他們對此并不進行認真的思考和防護，例如向某個廠家發(fā)送帶有敏感信息的電子郵件時?！?/FONT>

分析人士說，關(guān)注和了解程度的增強可以大大減少非惡意的風險。他說，“從IT的立場來看，唯一的方法就是，設(shè)置清晰的政策，以區(qū)分正確的以及不合理的工作方式。這是我們公司所認為的值得堅持的一些比較好的策略方法?！?CCW-CNW)