在黑客猖獗的今天���,各類重大數(shù)據(jù)泄露事件時(shí)常登上全球范圍內(nèi)各大媒體的頭條�����,引發(fā)社會(huì)各界的廣泛討論��。人們對其所產(chǎn)生的不良影響談?wù)摬恢����,如賬戶安全�����、專利泄密、巨額罰款�����、甚至員工失業(yè)等�,但卻很少在第一時(shí)間去關(guān)注數(shù)據(jù)泄露的過程。
作為全球領(lǐng)先的Web安全�����、數(shù)據(jù)安全��、電子郵件安全�、移動(dòng)安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商,Websense時(shí)刻關(guān)注并認(rèn)真分析了近年來重大泄密事件的各個(gè)細(xì)節(jié)���,總結(jié)出十大安全隱患����,供廣大企業(yè)參考���。
Websense認(rèn)為����,當(dāng)前造成企業(yè)安全防護(hù)體系松動(dòng),并引發(fā)數(shù)據(jù)泄露的隱患可分為業(yè)務(wù)層面及技術(shù)層面����,本文就這兩個(gè)層面簡述如下:
業(yè)務(wù)層面
1�、 缺乏對安全角色的正確理解
人們對便利性的需求遠(yuǎn)勝于安全,為了加速盈利而輕視安全問題的例子不在少數(shù)�。安全防護(hù)其實(shí)是一套自上而下的業(yè)務(wù)解決方案,各企業(yè)的CTO需要積極參與產(chǎn)品及服務(wù)的研發(fā)過程中�,并將安全整合到企業(yè)的發(fā)展戰(zhàn)略中,促進(jìn)安全智能轉(zhuǎn)化為商業(yè)價(jià)值����。
2、 認(rèn)為安全方案達(dá)標(biāo)即萬事大吉
在數(shù)據(jù)安全的監(jiān)管壓力下��,所投入的預(yù)算及考量往往僅為滿足項(xiàng)目的需求����,而不是以保護(hù)數(shù)據(jù)安全為出發(fā)點(diǎn)。而實(shí)際上��,達(dá)到監(jiān)管部門的要求也只是讓系統(tǒng)正常運(yùn)作的基本而已��,黑客們可以通過網(wǎng)絡(luò)跳板或是竊取特權(quán)訪問到企業(yè)的敏感數(shù)據(jù)。如常見的網(wǎng)絡(luò)分段其實(shí)是不堪一擊的��,通過數(shù)字證書盜用�����,入侵者可以輕易的騙取更深層網(wǎng)段用戶的信任�����,方便以周詳?shù)挠?jì)劃套取到更多的機(jī)密信息�。
3、 安全體系更多是圍繞基礎(chǔ)設(shè)施而非數(shù)據(jù)安全
多數(shù)企業(yè)更習(xí)慣于在項(xiàng)目的基礎(chǔ)設(shè)施和業(yè)務(wù)方案中投入精力與預(yù)算��,如安裝殺毒軟件與防火墻等�����,但這沒有真正考慮到當(dāng)前高級(jí)安全威脅帶來的挑戰(zhàn)���,這些手段雖然還能保持一定的作用�����,但卻會(huì)因相對無效性從未來的安全體系中逐漸淡出�。
4、 過于關(guān)注先進(jìn)技術(shù)
誠然��,關(guān)注先進(jìn)的技術(shù)無可厚非��,但單純的技術(shù)往往治標(biāo)不治本�。要成功實(shí)現(xiàn)全面的IT安全,必須整合進(jìn)成套的員工管理方法及業(yè)務(wù)安全操作流程����,作為企業(yè)文化的一部分被長期貫徹����。
5、 未能充分調(diào)用員工的能動(dòng)性
僅僅提升員工對威脅的識(shí)別能力是永遠(yuǎn)不夠的����,許多員工并不了解他們正在使用的數(shù)據(jù)的價(jià)值所在,并錯(cuò)誤地以為數(shù)據(jù)安全是由專人負(fù)責(zé)的��,并未充分認(rèn)識(shí)到自己也是在企業(yè)數(shù)據(jù)安全中的重要角色����。企業(yè)需要對員工進(jìn)行縱向及交叉的培訓(xùn),讓各部門對彼此在安全防護(hù)中職責(zé)和戰(zhàn)略有相互的了解����,并結(jié)合周期性的安全攻擊演習(xí)��,以檢驗(yàn)培訓(xùn)的成果�。
