十大數據安全“神話”
這是一個需要安全感的時代,同時,這也是一個神話泛濫的時代。對于網絡、數據、安全的認識,我們是否存在著輕信和誤區?當心了,威脅可能就藏在我們自以為安全的情況里——
1.如果我們購買了正確的安全解決方案,那么我們的數據將會得到保護
無論你多么瘋狂的花錢給你的供應商,企業的數據仍然是容易受到攻擊,直到你花與金錢同樣多的心思來培訓人員,同時開發出數據驅動的安全進程和策略。其中對于一個企業立足于一個安全點的最積極的做法是為員工創立一項持續的數據防御訓練。隨后,使用類似基于角色通行的技術,自動的執行措施以及系統審計來執行規定,同時確認如果規定被忽略或者有人反對這種規定會有實實在在的后果。
2.真正的威脅源于組織內部或者外部
當企業過于狹隘地關注于防止數據受到某些特定類型攻擊時,往往會造成對其他類型的攻擊的疏忽。不要執行那些媒體的聳人聽聞的聽起來故事一般的安全計劃,這些計劃都是根據那些過分緊張的報告或者經過很少研究而做出的。持續的將關注的重點放在管理那些眼前的威脅,這樣的結果便是很零散的安全防護,而我們要做的重點是要全面的保護數據的安全。
3.我們已經將數據存儲或者數據安全外包給其他公司,所以我們再也不必擔心有關個人身份信息的安全性
嚴峻的現實是,企業可以將數據存儲或者數據安全外包出去,但是他們無法外包保護數據的責任。如果企業必須遵守的數據保護標準或法規,而且同時其外包合作伙伴未能保護個人資料,那么擁有該數據的公司必定是被視為有責任的。企業必須承擔所有與其相關的費用、處罰甚至是伴隨數據的曝光而引起的法律行動。因此你必須確定你的合作伙伴,無論是國內的還是國外的,都必須認真的對待數據安全,同時完全的理解影響您業務的法規。
4.合格的應用程序現在是安全的,未來也是安全的
認證只有在應用程序被核準的時候才可用。沒有一種認證會永久的有效應。得到認證的應用程序與其他應用程序一樣的需要使用相同的管理方式,定期審查供應商補丁,檢測環境中使用的變化并且審計使用中存在的最高風險。
5.我們知道我們的網絡沒有弱點,因為我們定期的有規律的為我們的應用系統添加所需補丁
補丁能解決已知的漏洞利用但是我們卻無法知曉所有的程序缺陷。有時候那些壞孩子們第一個發現了缺陷但是他們卻無欲將缺陷告知供應商們。供應商們也并不總是能第一時間的為漏洞發布補丁,甚至,他們發布的補丁還可能帶來新的安全漏洞及其他問題。補丁升級策略是公司安全計劃中的重要組成部分,但單獨的利用補丁并不能為你帶來安全的系統。
6.我們不需要為那些讓IT男孩們興奮異常的但實際上概念論證上并不成熟的黑客攻擊手段擔心
你沒有必要為那些理論上可能的尤其是那些需要很高水平才可能實現的黑客攻擊整夜呆在電腦機房里,只為了能成功的處理他們。也就是說,你看待尚處概念論證上的攻擊應該跟你看一部動作電影的預告片一樣,你該知道,這部電影可能會在也可能不會在你家附近的影院上映。身處IT中,你當然需要對安全領域和那些“秘密團體”正在討論的新的、熱的話題始終有所了解,并且需要跟蹤了解那些看起來是要有所作為的威脅。預先警告方可先做防范。
7.如果一個系統符合工業上的數據保護條例相關標準,那么這個系統就是安全的
事實并非如此。條例規定更傾向于處理那些特定的有限的問題,比如為那些需要處理付費卡數據的系統制定安全策略,但是卻不能全面的覆蓋對安全來說非常重要的網絡和應用程序上的問題。制定安全規劃時,遵守條例標準,但不要把這作為公司數據保護措施的中心部分甚至全部。
8.可能的最強的安全措施對所有的商業系統和一個系統的所有部分來說都是很重要的
一級黑客安全防衛標準對一些企業或者一個商業環境中的某些部分來說沒有必要也并不希望。更為明智的做法是從經濟性、可用性和有效性出發將最嚴密的安全措施集中在保護最敏感的信息上。企業應該從他們收集、利用、管理的數據的綜合的價值風險分析以及企業自身的威脅屬性配置出發來定義他們的數據安全策略。
9.開源軟件天生就比專利軟件更具安全性,反過來也是一樣
這兩種軟件開發方法都不能做到開發出的100%的程序是安全的。對程序安全性來說,全面的代碼測試、合理的布局和正確的安全規劃遠比糾纏于程序是以開源軟件還是專利軟件形式開發重要。
10.所有的安全都必須以之前的安全框架為基礎來建立
成功的企業安全策略應該是定期的對安全措施進行回顧和檢測,舊的預定目標可能需要丟棄而需要著手建立新的安全計劃,有時候一些在當時被認為是偉大想法的技術隨著計算環境的改變或那些“秘密團體”取得的突破性進展可能會給安全領域帶來一片漏洞空白區。DES加密技術就是這樣的例子。它一度被認為是安全的,直到一個專業團隊證明它因為它的56位的短密鑰而很容易受到暴力攻擊。安全往往是一個移動中的目標,需要我們愿意為條件的需求而改變我們的注意力。
【編輯推薦】
