企業(yè)網(wǎng)絡(luò)安全管理不能重外輕內(nèi)
信息化時(shí)代,企業(yè)信息化管理在不少企業(yè)中都開(kāi)花結(jié)果了,然而,據(jù)數(shù)據(jù)顯示:網(wǎng)絡(luò)安全管理依然很薄弱,網(wǎng)絡(luò)安全就如同一張薄紙,輕輕一點(diǎn)便會(huì)漏洞百出。究其原因,互普威盾認(rèn)為:主要在網(wǎng)絡(luò)安全體系設(shè)計(jì)中,不少網(wǎng)
信息化時(shí)代,企業(yè)信息化管理在不少企業(yè)中都開(kāi)花結(jié)果了,然而,據(jù)數(shù)據(jù)顯示:網(wǎng)絡(luò)安全管理依然很薄弱,網(wǎng)絡(luò)安全就如同一張薄紙,輕輕一點(diǎn)便會(huì)漏洞百出。究其原因,互普威盾認(rèn)為:主要在網(wǎng)絡(luò)安全體系設(shè)計(jì)中,不少網(wǎng)絡(luò)管理人員犯了一個(gè)方向性的錯(cuò)誤。其實(shí)這些錯(cuò)誤筆者也曾犯過(guò),在此筆者依據(jù)自己曾經(jīng)做過(guò)的調(diào)整經(jīng)驗(yàn),談?wù)勛约旱目捶ǎM軌蚪o正在或者即將準(zhǔn)備網(wǎng)絡(luò)安全管理建設(shè)的企業(yè)有所幫助。
迷失方向一:注重邊界安全,忽視內(nèi)部威脅
筆者在企業(yè)網(wǎng)絡(luò)安全管理這個(gè)領(lǐng)域內(nèi),也是有一定的知名度的。平時(shí)在跟一些網(wǎng)絡(luò)安全管理人員討論企業(yè)網(wǎng)絡(luò)安全話題的時(shí)候,發(fā)現(xiàn)大家更多的是關(guān)注企業(yè)網(wǎng)絡(luò)邊界的安全,而忽視了來(lái)自于企業(yè)內(nèi)部的安全威脅。
但是,根據(jù)有關(guān)權(quán)威部門的統(tǒng)計(jì),企業(yè)網(wǎng)絡(luò)的安全威脅,真正的來(lái)自外部的威脅只占到20%,而80%的網(wǎng)絡(luò)安全威脅事件來(lái)自于企業(yè)內(nèi)部。來(lái)自互聯(lián)網(wǎng)的攻擊,無(wú)論是木馬、黑客還是惡作劇,都是很少,而且,對(duì)企業(yè)造成的影響也不是很大。但是,來(lái)自于企業(yè)內(nèi)部的安全威脅則日益突出。特別是員工隨意把企業(yè)內(nèi)部的機(jī)密信息泄露、甚至轉(zhuǎn)賣給企業(yè)的競(jìng)爭(zhēng)對(duì)手,給企業(yè)造成了很多的損失。現(xiàn)在就有很多類似的官司。如前不久就有一家公司的銷售經(jīng)理離職的時(shí)候,復(fù)制了公司的所有客戶信息與產(chǎn)品信息,離職后自己開(kāi)辦了企業(yè),挖走了公司很多的客戶。也有公司的技術(shù)骨干被企業(yè)的競(jìng)爭(zhēng)對(duì)手挖走,隨著他們的離職,很多技術(shù)資料也被他們帶了過(guò)去,從而引發(fā)了官司。這里雖然也有人員管理上的問(wèn)題,但是電子文檔管理不完善,這也是導(dǎo)致企業(yè)損失的一個(gè)不可推卸的失誤。
為此,筆者認(rèn)為,相對(duì)于企業(yè)外網(wǎng)而言,內(nèi)部的威脅更應(yīng)該引起網(wǎng)絡(luò)安全管理人員的重視。
對(duì)電子文檔進(jìn)行管理,限制無(wú)關(guān)人員的訪問(wèn),特別是對(duì)于電子文檔的復(fù)制、分發(fā)等需要進(jìn)行嚴(yán)格的控制。對(duì)于移動(dòng)設(shè)備存儲(chǔ)進(jìn)行管理,U盤等移動(dòng)設(shè)備由于其體積小、容量大,所以是用來(lái)存儲(chǔ)電子文檔最好的工具之一,所以網(wǎng)絡(luò)安全管理人員需要采用有效的措施來(lái)規(guī)范移動(dòng)存儲(chǔ)設(shè)備的使用,必要的時(shí)候禁用他。
對(duì)于如何應(yīng)對(duì)企業(yè)內(nèi)部的安全威脅,筆者有一下建議:
1、對(duì)電子文檔進(jìn)行安全等級(jí)管理。對(duì)于安全等級(jí)級(jí)別高的電子文檔,如客戶信息、產(chǎn)品研發(fā)信息等等,需要采用加密等手段來(lái)保護(hù)文件的安全。如采用電子文檔透明加密技術(shù),當(dāng)這些機(jī)密文件脫離特定的用戶,環(huán)境等,在其他電腦上都無(wú)法打開(kāi)利用文檔透明加密技術(shù)加密過(guò)的文件。這無(wú)疑是保護(hù)企業(yè)機(jī)密文件安全的一種很好的手段。
2、規(guī)范移動(dòng)存儲(chǔ)設(shè)備的使用。在一般情況下,需要禁止使用移動(dòng)存儲(chǔ)設(shè)備。如我公司現(xiàn)在就是禁止各種移動(dòng)存儲(chǔ)設(shè)備的使用,包括移動(dòng)硬盤、U盤、MP3、外置刻錄光驅(qū)等等,都無(wú)法使用。只要采用設(shè)備控制技術(shù)就可以了。
3、監(jiān)控企業(yè)員工的郵件。除了移動(dòng)存儲(chǔ)設(shè)備外,電子郵件也逐漸在成為企業(yè)信息安全帶頭號(hào)殺手之一。電子郵件由于其隱蔽性高、使用方便等等,已經(jīng)開(kāi)始對(duì)企業(yè)的信息化安全產(chǎn)生了重大的威脅。所以,在有必要的情況下,需要對(duì)企業(yè)重要部門的員工郵件進(jìn)行監(jiān)控。筆者現(xiàn)在的企業(yè),采用的安全規(guī)則是,一般員工的話,都不能發(fā)送外部郵件,只有內(nèi)部員工之間的郵件可以對(duì)發(fā)。而有權(quán)限發(fā)送外部郵件的員工,他們的郵箱都受到監(jiān)控,什么時(shí)候給什么人發(fā)送了什么內(nèi)容的郵件,都可以追蹤到。如此的話,就可以最大限度的減少員工利用電子郵件工具泄露企業(yè)機(jī)密信息。
迷失方向二:西瓜、芝麻都要
在網(wǎng)絡(luò)安全管理中,很多企業(yè)還喜歡面面俱到,只有這么大的胃口,還西瓜、芝麻都想抓在手中。結(jié)果呢,就是揀了西瓜丟了芝麻。
如對(duì)于郵件監(jiān)控來(lái)說(shuō),很多企業(yè)采用的措施是對(duì)于所有的員工都采取監(jiān)控措施。一個(gè)公司幾百名員工,從大到企業(yè)副總、部門經(jīng)理,小到下面的司機(jī),都對(duì)他們進(jìn)行郵件監(jiān)控。可是帶來(lái)的問(wèn)題就是,如何去查看這些監(jiān)控信息。若我們不能及時(shí)過(guò)濾這些監(jiān)控信息的話,則我們采取郵件監(jiān)控措施的話,根本沒(méi)有任何意義。所以,筆者認(rèn)為,在企業(yè)網(wǎng)絡(luò)安全管理中,沒(méi)有必要做到面面俱到,而是應(yīng)該抓重點(diǎn)。
具體的來(lái)說(shuō),筆者有如下建議
一是重服務(wù)器安全,輕單機(jī)安全。企業(yè)的服務(wù)器中,存儲(chǔ)有企業(yè)大量的機(jī)密信息。如文件服務(wù)器存儲(chǔ)有很多企業(yè)的機(jī)密信息,如產(chǎn)品研發(fā)、測(cè)試資料等的功能;再如ERP服務(wù)器中,存有所有的客戶資料、訂單信息、產(chǎn)品物料清單等等。在實(shí)際工作中,我們應(yīng)該鼓勵(lì)用戶把相關(guān)的資料存儲(chǔ)在企業(yè)服務(wù)器中。因?yàn)樵诜?wù)器上,我們可以采取統(tǒng)一的安全策略,如對(duì)相關(guān)信息進(jìn)行及時(shí)備份、采取統(tǒng)一的訪問(wèn)控制策略、利用服務(wù)期訪問(wèn)日志記錄訪問(wèn)信息等等。若管理策略定義的好的話,在服務(wù)器上文件的安全 性比單機(jī)上要高的多。故,在安全管理中,我們應(yīng)該把管理的中心放到這些服務(wù)器中,要采用一切必要的措施,讓員工把信息存儲(chǔ)在文件服務(wù)器上。
二 是對(duì)于信息的安全管理要輕重有別。我們都知道,文件訪問(wèn)的效率與安全往往是背道而馳的。當(dāng)文件安全性級(jí)別高,往往就需要添加很多訪問(wèn)的限制,如需要員工憑用戶名與密碼才能夠訪問(wèn);或者需要用戶通過(guò)特定的途徑才能夠訪問(wèn);或者對(duì)于用戶訪問(wèn)文件的地點(diǎn)有限制等等。一般來(lái)說(shuō),安全級(jí)別越高的文件,其訪問(wèn)更加復(fù)雜,所以,訪問(wèn)效率也就比較低。故我們網(wǎng)絡(luò)安全人員在設(shè)計(jì)安全體系的時(shí)候,需要在安全性與訪問(wèn)效率之間取得均衡。而取得這個(gè)均衡的最好的一個(gè)方法, 就是對(duì)信息實(shí)施“輕重有別”的管理方法。就拿筆者公司為例,企業(yè)員工的考勤信息一般都是公開(kāi)的,所以,對(duì)這個(gè)信息就沒(méi)有必要采用很強(qiáng)的訪問(wèn)控制策略,只需要限制未經(jīng)授權(quán)的用戶更改這個(gè)文件即可。而公司工資信息則是保密的,一般只有員工本人與少數(shù)的幾個(gè)人員才能夠獲悉,所以,對(duì)于工資明細(xì)這個(gè)文件就需要采用 比較嚴(yán)格的訪問(wèn)控制策略,對(duì)于訪問(wèn)的人員、訪問(wèn)的途徑等等都需要進(jìn)行嚴(yán)格的控制。如此的話,才可以實(shí)現(xiàn)企業(yè)的要求。故,對(duì)企業(yè)的信息進(jìn)行如此分級(jí)管理的話,我們就可以把更多的精力放在一些機(jī)密性程度比較高的信息上面;同時(shí),對(duì)于一些機(jī)密程度不高的文件,就可以提高其的訪問(wèn)效率。而不是不管三七二十一,一棒子打死。
三是必要的時(shí)候,把某些部門劃為禁區(qū)。如筆者現(xiàn)在的企業(yè),產(chǎn)品研發(fā)部門是企業(yè)的核心,我們企業(yè)產(chǎn)品的專利數(shù)目在國(guó)內(nèi)企業(yè)中是數(shù)一數(shù) 二的,所以對(duì)于專利的保護(hù)就非常的重視。為了保護(hù)這些產(chǎn)品信息,特別是產(chǎn)品配方、產(chǎn)品測(cè)試資料的安全性,公司采用了虛擬局域網(wǎng)技術(shù),把研發(fā)部門跟財(cái)務(wù)部門劃分成獨(dú)立的網(wǎng)絡(luò),限制其他部門對(duì)于這兩個(gè)部門電腦的訪問(wèn)。如此的話,就把這個(gè)兩個(gè)企業(yè)重要部門隔離開(kāi)來(lái),提高了這些主機(jī)的安全性。這對(duì)于企業(yè)的信息安全起到了很大的保護(hù)作用。所以,筆者建議,在網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候,就需要開(kāi)始企業(yè)網(wǎng)絡(luò)與信息的安全。在有必要的時(shí)候,把一些重要的部門獨(dú)立的保護(hù)起來(lái),從網(wǎng)絡(luò)底 層限制其他用戶對(duì)其的訪問(wèn)。
企業(yè)這么大多一個(gè)信息網(wǎng)絡(luò),存在這么多的安全威脅,而且往往不會(huì)配備很多的網(wǎng)絡(luò)安全人員,一般就一名到兩名。很多企業(yè)還沒(méi)有獨(dú)立的網(wǎng)絡(luò)安全管理人員,都是網(wǎng)絡(luò)管理員在**。所以,在這種背景下,若還要去爭(zhēng)取“面面俱到”的話,則最后的結(jié)果必然是功虧一簣,撿了芝麻,丟了西瓜。故筆者在這里強(qiáng)烈建議,我們?cè)谠O(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全管理體系的時(shí)候,需要輕重有別。大家在考慮問(wèn)題的時(shí)候,可以參考我上面的意見(jiàn)。雖然有些地方可能不是百分之百的準(zhǔn)確,可能還有一些沒(méi)有考慮到的點(diǎn),但是,我相信,這些方法對(duì)于大家從整體上提高網(wǎng)絡(luò)與信息的安全性,是具有非常好的作用。因?yàn)槲椰F(xiàn)在就是這么做的,而且已經(jīng)取得了非常明顯的效果。
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》