賽班斯法案來臨 中國(guó)企業(yè)請(qǐng)關(guān)注安全審計(jì)
筆者自打在金融行業(yè)中扎根,對(duì)于信息安全的關(guān)注,就沒有停止過。近期一些國(guó)有銀行在香港上市,以及美國(guó)搞的賽班斯法案,都讓筆者對(duì)于信息安全的意識(shí)再度緊繃。 事實(shí)上,國(guó)內(nèi)的大型企業(yè)里面,幾乎沒有人真
筆者自打在金融行業(yè)中扎根,對(duì)于信息安全的關(guān)注,就沒有停止過。近期一些國(guó)有銀行在香港上市,以及美國(guó)搞的賽班斯法案,都讓筆者對(duì)于信息安全的意識(shí)再度緊繃。
事實(shí)上,國(guó)內(nèi)的大型企業(yè)里面,幾乎沒有人真正關(guān)心過賽班斯法案的問題。這從一個(gè)側(cè)面反映出,很多企業(yè)對(duì)于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣,不過筆者從幾個(gè)金融機(jī)構(gòu)的信息安全審計(jì)報(bào)告中發(fā)現(xiàn),很多大企業(yè)的問題相當(dāng)嚴(yán)重,且主要集中在網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫(kù)領(lǐng)域。
首先,很少有大企業(yè)考慮過綜合布線中的安全問題,從而導(dǎo)致日后一些設(shè)備做級(jí)聯(lián)的時(shí)候出現(xiàn)問題。最常見的,一些企業(yè)的大廈布線,當(dāng)初規(guī)定一個(gè)房間布20個(gè)點(diǎn),全部走暗盒模式。可能隨著日后業(yè)務(wù)的發(fā)展,某個(gè)房間需要增加幾個(gè)信息點(diǎn),但是結(jié)構(gòu)所限,沒有辦法進(jìn)行布線了,因此很多企業(yè)就會(huì)走級(jí)聯(lián)的設(shè)備,比如臨時(shí)接一個(gè)HUB,接入交換機(jī)端口,把這些設(shè)備級(jí)聯(lián)到HUB上。HUB不支持IP,不能被管理。事實(shí)上,即使再用一臺(tái)交換機(jī)進(jìn)行級(jí)聯(lián),仍然會(huì)有安全隱患。
其次,目前國(guó)內(nèi)的大型企業(yè)中,幾乎沒有部署補(bǔ)丁管理和智能蠕蟲防御系統(tǒng),同時(shí)也無法從監(jiān)控點(diǎn)看清楚全國(guó)范圍內(nèi)所有交換機(jī)的端口業(yè)務(wù)。要知道,這幾大問題是企業(yè)目前最頭疼的。有意思的是,像IBM、艾森哲等一些專業(yè)的IT安全審計(jì)公司向筆者透露,由于很多國(guó)內(nèi)大型企業(yè)在安全制度、網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)管理上問題極多,導(dǎo)致他們甚至無暇顧及更加細(xì)節(jié)的網(wǎng)絡(luò)狀況與安全漏洞。
第三,很多企業(yè)存在為了獲取大單,直接修改數(shù)據(jù)庫(kù)的問題。任何一個(gè)企業(yè)的IT經(jīng)理都不會(huì)允許這么做,但業(yè)務(wù)部門肯定會(huì)把數(shù)據(jù)安全和身邊的利益作對(duì)比。比如一張單子,與業(yè)務(wù)數(shù)據(jù)庫(kù)中設(shè)計(jì)的要求不符,無法進(jìn)入系統(tǒng)。如果營(yíng)業(yè)額只有10萬,可能眼睛都不眨地拒絕;100萬的時(shí)候,可能還是覺得無所謂;1000萬的時(shí)候,經(jīng)理們要考慮了;1個(gè)億,想都不用想,老板就下命令直接改數(shù)據(jù)庫(kù)了。對(duì)此,也許只有百年老店的企業(yè),才能夠解決,而中國(guó)的大企業(yè)還有很長(zhǎng)的路要摸索。
事實(shí)上,國(guó)內(nèi)的大型企業(yè)里面,幾乎沒有人真正關(guān)心過賽班斯法案的問題。這從一個(gè)側(cè)面反映出,很多企業(yè)對(duì)于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣,不過筆者從幾個(gè)金融機(jī)構(gòu)的信息安全審計(jì)報(bào)告中發(fā)現(xiàn),很多大企業(yè)的問題相當(dāng)嚴(yán)重,且主要集中在網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫(kù)領(lǐng)域。
首先,很少有大企業(yè)考慮過綜合布線中的安全問題,從而導(dǎo)致日后一些設(shè)備做級(jí)聯(lián)的時(shí)候出現(xiàn)問題。最常見的,一些企業(yè)的大廈布線,當(dāng)初規(guī)定一個(gè)房間布20個(gè)點(diǎn),全部走暗盒模式。可能隨著日后業(yè)務(wù)的發(fā)展,某個(gè)房間需要增加幾個(gè)信息點(diǎn),但是結(jié)構(gòu)所限,沒有辦法進(jìn)行布線了,因此很多企業(yè)就會(huì)走級(jí)聯(lián)的設(shè)備,比如臨時(shí)接一個(gè)HUB,接入交換機(jī)端口,把這些設(shè)備級(jí)聯(lián)到HUB上。HUB不支持IP,不能被管理。事實(shí)上,即使再用一臺(tái)交換機(jī)進(jìn)行級(jí)聯(lián),仍然會(huì)有安全隱患。
其次,目前國(guó)內(nèi)的大型企業(yè)中,幾乎沒有部署補(bǔ)丁管理和智能蠕蟲防御系統(tǒng),同時(shí)也無法從監(jiān)控點(diǎn)看清楚全國(guó)范圍內(nèi)所有交換機(jī)的端口業(yè)務(wù)。要知道,這幾大問題是企業(yè)目前最頭疼的。有意思的是,像IBM、艾森哲等一些專業(yè)的IT安全審計(jì)公司向筆者透露,由于很多國(guó)內(nèi)大型企業(yè)在安全制度、網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)管理上問題極多,導(dǎo)致他們甚至無暇顧及更加細(xì)節(jié)的網(wǎng)絡(luò)狀況與安全漏洞。
第三,很多企業(yè)存在為了獲取大單,直接修改數(shù)據(jù)庫(kù)的問題。任何一個(gè)企業(yè)的IT經(jīng)理都不會(huì)允許這么做,但業(yè)務(wù)部門肯定會(huì)把數(shù)據(jù)安全和身邊的利益作對(duì)比。比如一張單子,與業(yè)務(wù)數(shù)據(jù)庫(kù)中設(shè)計(jì)的要求不符,無法進(jìn)入系統(tǒng)。如果營(yíng)業(yè)額只有10萬,可能眼睛都不眨地拒絕;100萬的時(shí)候,可能還是覺得無所謂;1000萬的時(shí)候,經(jīng)理們要考慮了;1個(gè)億,想都不用想,老板就下命令直接改數(shù)據(jù)庫(kù)了。對(duì)此,也許只有百年老店的企業(yè),才能夠解決,而中國(guó)的大企業(yè)還有很長(zhǎng)的路要摸索。

責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》