解析復雜網絡環境中的企業安全風險
如今的企業安全風險已經逐漸的復雜化,單純的黑客攻擊已經不是企業安全風險僅需的防范方面。不論是安全漏洞還是錯誤配置,以及社交網站的熱度爆發、 社會工程學黑客的引用,企業安全風險已經復雜到了一定程度。那么本篇文章就通過解析復雜網絡環境中的企業安全風險,希望安全管理人員提升安全意識,做好企業安全防護。
企業安全風險:復雜即風險
每個企業的當務之急就是避免配置錯誤和違規行為,這不僅是為了規避法律風險、罰款及其他違規處罰,同時也是為了維護企業的誠信、聲譽和品牌。然而,降低企業風險現在已成為縱貫多個層面的課題,需要在多個層面上制定并實施相應策略——由此產生的復雜性已成為當今企業面臨的最大難題之一。
當今企業面臨著各種各樣的安全漏洞,防范它們所需要的工具各不相同。這些漏洞主要包括:
· 使網絡易受其他形式攻擊的網絡漏洞;
· 數據竊取,包括跨網絡數據劫持;
· 導致服務器、個人電腦或虛擬應用行為失常或成為其他攻擊類型源頭的惡意軟件;
· 拒絕服務(DoS)攻擊,可造成數據不可用,或授權用戶無法訪問網絡。
企業不僅面臨上述威脅,還必須遵從數量眾多的行業及監管條例:
首先是外部監管。企業必須遵從各種因國家和地區而異的客戶隱私條例,除此之外,還有專門針對特定垂直市場的第三方條例。比如,在美國,由信用卡公司組成的支付卡行業(PCI)協會分別對零售商和接受信用卡付款的實體規定了消費者隱私標準,其中涵蓋IT及網絡域名。企業如果違規,就要接受該協會嚴厲的罰款和其他違規處罰。
其次是最佳做法標準。許多企業通過實施行業標準的IT安全管理最佳做法(國際標準化組織(ISO) 27000系列文件中有詳述)來增強其安全措施。這固然可使企業建立起適當的安全防護網,以保護其知識產權(IP)、機密數據及客戶信息,同時為業務持續性計劃提供支持,但遵循行業最佳做法卻會產生一個新的安全規則層。
此外,正在潛入企業內部的Web 2.0社交網絡、需要不斷更新的軟件及安全補丁……也都會增加企業的安全復雜性。
企業安全風險:社交網絡
近年來,Web 2.0技術使網絡安全形勢再起波瀾。一年前,很多企業可能都沒聽說過Twitter、Facebook、YouTube之類的流行社交網絡,而如今,它們已借合法商業及營銷之名滲透到了企業網絡內部,雖然目前可能仍然只限于員工個人使用。
進入企業網絡內部的新通道正在形成。理想情況下,這些通道可用于增強企業的商業意識和改善運營;但另一方面,它們也開辟了行使惡作劇或竊取企業數據的新途徑,為員工向企業外部泄露敏感信息提供了方便。比如,社交網站就經常被用來發動網絡釣魚詐騙。
企業安全風險:移動和無線
傳統的網絡邊界及其相關的保護措施正隨著企業用戶轉向無線網絡(包括蜂窩移動網絡和/或 Wi-Fi無線網絡)而逐漸發生改變。企業必須為移動設備提供保護,加密存儲在移動設備上的機密數據和通過無線傳輸的資料,以及保護企業網絡、防范移動網絡入侵(如黑客或惡意軟件),這已成為移動設備管理(MDM)的一個分支。
總的來說,信息和網絡技術的“消費化”開辟了(且還將繼續開辟)大量“進出”企業的新途徑,其中多數可在戰略上幫助企業獲益。隨著 Web 2.0 應用的演變和移動網絡的興起,安全成了一套動態、不斷變化的規則,必須予以密切關注。安全已不再是一種“設定后即可置之不理”的方針。
企業安全風險:“緊跟變化”的難題
以上因素營造了一個復雜、多變的安全環境,而且該環境本身就是個巨大的風險。其復雜程度更高、安全層數更多、員工專業知識更趨多樣化,必須予以管理和簡化。來自軟件和網絡設備公司的新軟件補丁、漏洞修補程序和安全更新不斷增加,與時俱進的要求會迅速造成操作人員的不堪重負,致使企業不得不在設備和軟件方面做出額外投資。此外,萬一負責基礎架構不同部分的 IT 員工,比如安全管理員與應用服務器管理員,未能協調好工作,導致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他負責IT安全工作的員工應考慮的一個基本問題是:如何準確創建、實施、過濾和關聯所有這些策略、事件和潛在違規行為,以便時刻把握安全形勢?多管齊下地進行風險管理,目標就是確保公司始終遵守各項法規,并消除針對其知識產權及數據保密性、完整性和可用性的威脅。
此外,降低風險還需要一套自上而下的管理方法,這種方法根據來自上層的管理策略編寫規則。應確保公司各個層級都了解這套安全策略,并使之成為企業文化的一部分。安全應成為業務運作的一個組成部分。
【編輯推薦】
