如今的企业安全风险已经逐渐的复杂化,单纯的黑客攻击已经不是企业安全风险仅需的防范方面。不论是安全漏洞还是错误配置,以及社交网站的热度爆发、 社会工程学黑客的引用,企业安全风险已经复杂到了一定程度。那么本篇文章就通过解析复杂网络环境中的企业安全风险,希望安全管理人员提升安全意识,做好企业安全防护。
企业安全风险:复杂即风险
每个企业的当务之急就是避免配置错误和违规行为,这不仅是为了规避法律风险、罚款及其他违规处罚,同时也是为了维护企业的诚信、声誉和品牌。然而,降低企业风险现在已成为纵贯多个层面的课题,需要在多个层面上制定并实施相应策略——由此产生的复杂性已成为当今企业面临的最大难题之一。
当今企业面临着各种各样的安全漏洞,防范它们所需要的工具各不相同。这些漏洞主要包括:
· 使网络易受其他形式攻击的网络漏洞;
· 数据窃取,包括跨网络数据劫持;
· 导致服务器、个人电脑或虚拟应用行为失常或成为其他攻击类型源头的恶意软件;
· 拒绝服务(DoS)攻击,可造成数据不可用,或授权用户无法访问网络。
企业不仅面临上述威胁,还必须遵从数量众多的行业及监管条例:
首先是外部监管。企业必须遵从各种因国家和地区而异的客户隐私条例,除此之外,还有专门针对特定垂直市场的第三方条例。比如,在美国,由信用卡公司组成的支付卡行业(PCI)协会分别对零售商和接受信用卡付款的实体规定了消费者隐私标准,其中涵盖IT及网络域名。企业如果违规,就要接受该协会严厉的罚款和其他违规处罚。
其次是最佳做法标准。许多企业通过实施行业标准的IT安全管理最佳做法(国际标准化组织(ISO) 27000系列文件中有详述)来增强其安全措施。这固然可使企业建立起适当的安全防护网,以保护其知识产权(IP)、机密数据及客户信息,同时为业务持续性计划提供支持,但遵循行业最佳做法却会产生一个新的安全规则层。
此外,正在潜入企业内部的Web 2.0社交网络、需要不断更新的软件及安全补丁……也都会增加企业的安全复杂性。
企业安全风险:社交网络
近年来,Web 2.0技术使网络安全形势再起波澜。一年前,很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络,而如今,它们已借合法商业及营销之名渗透到了企业网络内部,虽然目前可能仍然只限于员工个人使用。
进入企业网络内部的新通道正在形成。理想情况下,这些通道可用于增强企业的商业意识和改善运营;但另一方面,它们也开辟了行使恶作剧或窃取企业数据的新途径,为员工向企业外部泄露敏感信息提供了方便。比如,社交网站就经常被用来发动网络钓鱼诈骗。
企业安全风险:移动和无线
传统的网络边界及其相关的保护措施正随着企业用户转向无线网络(包括蜂窝移动网络和/或 Wi-Fi无线网络)而逐渐发生改变。企业必须为移动设备提供保护,加密存储在移动设备上的机密数据和通过无线传输的资料,以及保护企业网络、防范移动网络入侵(如黑客或恶意软件),这已成为移动设备管理(MDM)的一个分支。
总的来说,信息和网络技术的“消费化”开辟了(且还将继续开辟)大量“进出”企业的新途径,其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起,安全成了一套动态、不断变化的规则,必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。
企业安全风险:“紧跟变化”的难题
以上因素营造了一个复杂、多变的安全环境,而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化,必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加,与时俱进的要求会迅速造成操作人员的不堪重负,致使企业不得不在设备和软件方面做出额外投资。此外,万一负责基础架构不同部分的 IT 员工,比如安全管理员与应用服务器管理员,未能协调好工作,导致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他负责IT安全工作的员工应考虑的一个基本问题是:如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为,以便时刻把握安全形势?多管齐下地进行风险管理,目标就是确保公司始终遵守各项法规,并消除针对其知识产权及数据保密性、完整性和可用性的威胁。
此外,降低风险还需要一套自上而下的管理方法,这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略,并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。
【编辑推荐】
