前不久，美國中央情報局局長約翰·布倫南和國土安全部部長約翰遜的個人電子郵件地址居然被一個十幾歲的小孩子給黑了。這種事情不是第一次，當然也不會是最后一次。在信息安全事件越來越稀松平常的今天，連對入侵技術知之甚少的業余“黑客”都參與進來，“應對網絡安全威脅”也變得任重而道遠。

[[161320]]

在上述事件中，布倫南和約翰遜的個人電子郵件帳戶就是通過非常簡單的手段進行攻破的。該少年假扮成個人信息被泄露的受害者，并使用這些信息請求郵件服務提供商重置密碼，從而獲得這些電子郵件賬戶的無限制訪問權限。

由于該攻擊并沒有對企業或政府系統進行攻擊就輕松獲取到了電子郵件賬戶的訪問權限，從而更加凸顯出網絡安全的重要性以及對更加全面的安全保障的需求。

我們應該意識到，僅僅使用網絡安全工具是無法阻止像布倫南和約翰遜之類事件的發生的。各公司的高管們也必須明白，要減輕安全風險、為你的企業保駕護航，無論是常識性的手段還是網絡安全工具，都需要提供非常全面的方法。

為了幫助各公司掌門人制定出安全場景(框架)和評估系統，建議使用對于人員、流程和系統有意義的標準業務方法，對安全場景中的性能進行組織和管理。建立可視化指示器，對安全狀況進行持續報告，對存在什么、失去什么進行持續跟蹤并發出通知。

下面是一個非常全面的安全場景示例：

* 此示例中的安全狀況基于行業中標準的安全概念

每個企業的安全情況或許各不相同，但這張圖表所說的是與信息安全相關的主要領域。并且，相關的風險都經過了簡化，嵌入到安全場景的有超過100多種基于行業標準的安全框架詳細的控制過程，如NIST 800和ISO 27000。

作為企業的老板，應該詢問安全團隊當前的安全計劃如何解決上述安全場景中的問題，至少應該詢問安全團隊如下問題：

一、風險評估方面

1、是否進行過安全風險評估?

2、公司最重要的安全風險是什么?

3、公司的安全策略是按照風險評估的優先級建立的嗎?如果不是，為什么?

二、人員方面

1、公司是如何組織安全事務的?

2、公司是否有首席安全官(CIO)或首席信息安全官(CISO)?如果有，他們向誰匯報?

3、首席安全官或首席信息安全官是否有因為向組織匯報場所的原因而引起安全泄漏的風險?

4、對新員工有什么樣的安全要求?

5、新員工是否具備與他們工作能力相適應安全防范水準?

6、是否要求員工遵守安全規程?如何遵守?

7、如何開展安全培訓?

8、安全培訓是一次性開展，還是持續開展?

9、員工是否定期了解新的安全風險和威脅?

三、流程方面

1、公司是否有成文的安全規程?遵守情況如何?

2、安全規程是束之高閣，還是投入使用、經常更新?

3、在業務實踐中，如何進行安全規程方面的溝通?

4、是否對安全進行審計?

5、是否有針對第三方應用安全規程的管理流程?

6、網絡信息安全是否已納入公司可持續發展規劃?

7、公司在進行產品和服務采購時，是否正式考慮過安全方面的影響?

8、如果發生了安全事故，會采取什么樣流程?

四、系統方面

1、如何解決重大安全控制和網絡安全控制?

2、是否有可以理解的安全工具描述?

3、系統針對已授權個人是否僅提供必要且必需的訪問?

4、通俗地講，是如何實現針對已授權個人僅提供必要且必需的訪問的?

5、系統授權訪問的方式是否存在風險?

6、誰對物理安全負責?如果不是首席安全官或首席信息安全官，物理安全事務如何與首席安全官或首席信息安全官如何協調一致?

7、如何進行信息安全監測?

以上僅是企業老板應該向其安全團隊詢問的部分問題。

為了企業的網絡信息安全事務切實地得到落實，企業的負責人也應該自學一些基本的安全常識，只有這樣，才能在詢問安全團隊有關企業網絡信息安全狀況時能夠很好的理解他們的解釋;只有這樣，作為企業老板才對自己企業的網絡信息安全防護更有信心;只有這樣，才能更好地收到安全團隊的相關安全匯報;只有這樣，企業才能夠更好地專注于業務的發展，公司的前景才能夠蒸蒸日上。

原文地址：http://www.aqniu.com/neo-points/12899.html