賽班斯法案來臨中國(guó)企業(yè)請(qǐng)關(guān)注安全審計(jì)

2013-10-21 11:05:12 網(wǎng)界網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

筆者自打在金融行業(yè)中扎根，對(duì)于信息安全的關(guān)注，就沒有停止過。近期一些國(guó)有銀行在香港上市，以及美國(guó)搞的賽班斯法案，都讓筆者對(duì)于信息安全的意識(shí)再度緊繃。　　事實(shí)上，國(guó)內(nèi)的大型企業(yè)里面，幾乎沒有人真

筆者自打在金融行業(yè)中扎根，對(duì)于信息安全的關(guān)注，就沒有停止過。近期一些國(guó)有銀行在香港上市，以及美國(guó)搞的賽班斯法案，都讓筆者對(duì)于信息安全的意識(shí)再度緊繃。

　　事實(shí)上，國(guó)內(nèi)的大型企業(yè)里面，幾乎沒有人真正關(guān)心過賽班斯法案的問題。這從一個(gè)側(cè)面反映出，很多企業(yè)對(duì)于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣，不過筆者從幾個(gè)金融機(jī)構(gòu)的信息安全審計(jì)報(bào)告中發(fā)現(xiàn)，很多大企業(yè)的問題相當(dāng)嚴(yán)重，且主要集中在網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫(kù)領(lǐng)域。

　　首先，很少有大企業(yè)考慮過綜合布線中的安全問題，從而導(dǎo)致日后一些設(shè)備做級(jí)聯(lián)的時(shí)候出現(xiàn)問題。最常見的，一些企業(yè)的大廈布線，當(dāng)初規(guī)定一個(gè)房間布20個(gè)點(diǎn)，全部走暗盒模式。可能隨著日后業(yè)務(wù)的發(fā)展，某個(gè)房間需要增加幾個(gè)信息點(diǎn)，但是結(jié)構(gòu)所限，沒有辦法進(jìn)行布線了，因此很多企業(yè)就會(huì)走級(jí)聯(lián)的設(shè)備，比如臨時(shí)接一個(gè)HUB，接入交換機(jī)端口，把這些設(shè)備級(jí)聯(lián)到HUB上。HUB不支持IP，不能被管理。事實(shí)上，即使再用一臺(tái)交換機(jī)進(jìn)行級(jí)聯(lián)，仍然會(huì)有安全隱患。

　　其次，目前國(guó)內(nèi)的大型企業(yè)中，幾乎沒有部署補(bǔ)丁管理和智能蠕蟲防御系統(tǒng)，同時(shí)也無法從監(jiān)控點(diǎn)看清楚全國(guó)范圍內(nèi)所有交換機(jī)的端口業(yè)務(wù)。要知道，這幾大問題是企業(yè)目前最頭疼的。有意思的是，像IBM、艾森哲等一些專業(yè)的IT安全審計(jì)公司向筆者透露，由于很多國(guó)內(nèi)大型企業(yè)在安全制度、網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)管理上問題極多，導(dǎo)致他們甚至無暇顧及更加細(xì)節(jié)的網(wǎng)絡(luò)狀況與安全漏洞。

　　第三，很多企業(yè)存在為了獲取大單，直接修改數(shù)據(jù)庫(kù)的問題。任何一個(gè)企業(yè)的IT經(jīng)理都不會(huì)允許這么做，但業(yè)務(wù)部門肯定會(huì)把數(shù)據(jù)安全和身邊的利益作對(duì)比。比如一張單子，與業(yè)務(wù)數(shù)據(jù)庫(kù)中設(shè)計(jì)的要求不符，無法進(jìn)入系統(tǒng)。如果營(yíng)業(yè)額只有10萬，可能眼睛都不眨地拒絕；100萬的時(shí)候，可能還是覺得無所謂；1000萬的時(shí)候，經(jīng)理們要考慮了；1個(gè)億，想都不用想，老板就下命令直接改數(shù)據(jù)庫(kù)了。對(duì)此，也許只有百年老店的企業(yè)，才能夠解決，而中國(guó)的大企業(yè)還有很長(zhǎng)的路要摸索。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊