解析复杂网络环境中的企业安全风险

安全
要想在复杂环境中降低企业安全风险,首先要纵观全局,评估涉及隐私及机密信息的各项数据资产。其实质操作与业务持续性和灾难恢复规划相同,目标均为防止数据失窃、受损或无法访问。

如今的企业安全风险已经逐渐的复杂化,单纯的黑客攻击已经不是企业安全风险仅需的防范方面。不论是安全漏洞还是错误配置,以及社交网站的热度爆发、 社会工程学黑客的引用,企业安全风险已经复杂到了一定程度。那么本篇文章就通过解析复杂网络环境中的企业安全风险,希望安全管理人员提升安全意识,做好企业安全防护。

企业安全风险:复杂即风险

每个企业的当务之急就是避免配置错误和违规行为,这不仅是为了规避法律风险、罚款及其他违规处罚,同时也是为了维护企业的诚信、声誉和品牌。然而,降低企业风险现在已成为纵贯多个层面的课题,需要在多个层面上制定并实施相应策略——由此产生的复杂性已成为当今企业面临的最大难题之一。

当今企业面临着各种各样的安全漏洞,防范它们所需要的工具各不相同。这些漏洞主要包括:

· 使网络易受其他形式攻击的网络漏洞;

· 数据窃取,包括跨网络数据劫持;

· 导致服务器、个人电脑或虚拟应用行为失常或成为其他攻击类型源头的恶意软件;

· 拒绝服务(DoS)攻击,可造成数据不可用,或授权用户无法访问网络。

企业不仅面临上述威胁,还必须遵从数量众多的行业及监管条例:

首先是外部监管。企业必须遵从各种因国家和地区而异的客户隐私条例,除此之外,还有专门针对特定垂直市场的第三方条例。比如,在美国,由信用卡公司组成的支付卡行业(PCI)协会分别对零售商和接受信用卡付款的实体规定了消费者隐私标准,其中涵盖IT及网络域名。企业如果违规,就要接受该协会严厉的罚款和其他违规处罚。

其次是最佳做法标准。许多企业通过实施行业标准的IT安全管理最佳做法(国际标准化组织(ISO) 27000系列文件中有详述)来增强其安全措施。这固然可使企业建立起适当的安全防护网,以保护其知识产权(IP)、机密数据及客户信息,同时为业务持续性计划提供支持,但遵循行业最佳做法却会产生一个新的安全规则层。

此外,正在潜入企业内部的Web 2.0社交网络、需要不断更新的软件及安全补丁……也都会增加企业的安全复杂性。

企业安全风险:社交网络

近年来,Web 2.0技术使网络安全形势再起波澜。一年前,很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络,而如今,它们已借合法商业及营销之名渗透到了企业网络内部,虽然目前可能仍然只限于员工个人使用。

进入企业网络内部的新通道正在形成。理想情况下,这些通道可用于增强企业的商业意识和改善运营;但另一方面,它们也开辟了行使恶作剧或窃取企业数据的新途径,为员工向企业外部泄露敏感信息提供了方便。比如,社交网站就经常被用来发动网络钓鱼诈骗。

企业安全风险:移动和无线

传统的网络边界及其相关的保护措施正随着企业用户转向无线网络(包括蜂窝移动网络和/或 Wi-Fi无线网络)而逐渐发生改变。企业必须为移动设备提供保护,加密存储在移动设备上的机密数据和通过无线传输的资料,以及保护企业网络、防范移动网络入侵(如黑客或恶意软件),这已成为移动设备管理(MDM)的一个分支。

总的来说,信息和网络技术的“消费化”开辟了(且还将继续开辟)大量“进出”企业的新途径,其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起,安全成了一套动态、不断变化的规则,必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。

企业安全风险:“紧跟变化”的难题

以上因素营造了一个复杂、多变的安全环境,而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化,必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加,与时俱进的要求会迅速造成操作人员的不堪重负,致使企业不得不在设备和软件方面做出额外投资。此外,万一负责基础架构不同部分的 IT 员工,比如安全管理员与应用服务器管理员,未能协调好工作,导致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。

CIO和其他负责IT安全工作的员工应考虑的一个基本问题是:如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为,以便时刻把握安全形势?多管齐下地进行风险管理,目标就是确保公司始终遵守各项法规,并消除针对其知识产权及数据保密性、完整性和可用性的威胁。

此外,降低风险还需要一套自上而下的管理方法,这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略,并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。
 

【编辑推荐】

  1. Web专用网站服务器的安全设置
  2. 怎样进行路由器的安全设置
  3. 安全设置策略及自带防火墙介绍
  4. 企业如何对员工进行网络安全培训
  5. 企业如何在复杂环境中降低安全风险

 

责任编辑:张启峰 来源: 计世网
相关推荐

2010-09-26 09:57:41

2019-04-24 13:31:22

2023-03-20 00:05:15

2023-09-25 14:14:27

2021-10-28 18:14:28

应用安全安全管理网络安全

2019-07-24 05:00:54

云安全网络安全攻击

2014-10-09 10:13:38

2011-08-19 09:56:12

云计算安全管理风险控制

2010-12-20 13:39:10

2019-04-02 09:59:48

2019-08-07 06:04:15

网络风险数据泄露漏洞

2013-12-30 11:39:01

虚拟化安全企业安全风险管理

2011-07-11 15:59:19

2012-08-21 11:34:43

2015-05-22 09:27:49

2021-10-11 14:56:41

网络安全数据安全保险

2019-07-04 11:26:11

云计算技术公共云

2010-09-30 15:49:00

2019-08-15 08:07:18

2024-06-18 09:59:46

点赞
收藏

51CTO技术栈公众号