• 关于我们 联系我们
当前位置:安全云安全 → 正文

对抗外部攻击 防止信息外泄 企业资安挑战大

责任编辑:FLORA |来源:企业网D1Net  2011-11-28 09:20:33 本文摘自:digitimes

有关资安的事件层出不穷,相关新闻报导不断,目前常见的资安威胁种类繁多,包括网页安全、资料外泄、P2P软件、钓鱼式垃圾邮件、实时通讯等,甚至影音档案都可能含有恶意程序连结或程序码,可以说是防不胜防。

对企业而言,信息安全威胁不但可能造成资料外泄,导致商业机密流出,影响企业竞争力,还可能造成商誉受损,或衍生交易纠纷,影响企业运行。

但从许多实际发生的资安案例中,却可看出,企业管理阶层对资安威胁带来的危害及损失,往往不够了解,或是不认为会影响自身权利或利益,为了达成企业/组织的营运目的,为股东、员工及客户创造最大利益,领导阶层应将资安投资与企业获利视为经营目标。

对抗外部攻击 企业资安要做好基本功

企业面对的资安威胁日益严重,以来自外部的攻击为例,企业现在面对的黑客,已经不再是新闻或好莱坞电影描述的,一群因为好奇、孤僻、展现功力或一时好玩的学生黑客,而是一群来自四面八方、具专业性、长期具耐心、为数众多的组织型黑客,而且因为互联网的黑色产业链已经形成,黑客可以利用木马程序盗取QQ、网络游戏、银行帐号、信用卡帐号等个人资料,并从中牟取金钱利益,更增加组织型黑客攻击企业的动机。

面对持续不断的资安威胁,企业应从最基本的资安检测做起,以了解当前信息环境的弱点,并加以补强,从评估、检测、报告、修补到追踪,各个环节都要落实,做好基本功之后,才能更有效的执行其它安全防护机制。

如许多主管喜欢透过监视器,查看员工是否专心上班,但在网络上却可以很轻易的找到某些监视系统的安装使用手册,里面甚至包含缺省口令,如果企业疏忽口令管理,黑客就可以很容易的坐在计算机前,透过画面窃取资料。

甚至有企业入口网站在遭入侵后,才发现没有任何备份及备援机制,导致在重建过程中,花了好几天才让入口网站恢复运行,不但影响企业运行,更造成客户的不便,对企业商誉更带来难以估计的损失。

因此,企业应该要建立纵深防御的概念,部署一层层不同的保护措施,如此一来,就不必担心一旦某防御机制被突破,便让入侵者长驱直入、直捣企业核心。无论管理、资料、网站、系统、网络,各个面向都应全部纳入安全考量,而且入侵防护系统(Intrusion Prevention System;IPS)、入侵侦测系统(Intrusion Detection System;IDS)、防火墙、身分认证、网络存取控制(Network Access Control;NAC)……等安全防护机制,亦不可或缺。

防止资料外泄 管控措施要落实

但由于不管设下多么严密的防御,都只能降低资安风险发生的可能,资料外泄的可能性无法降到零,加上个资法修正后,企业必须承担更大的资料外泄责任。事实上,来自内部人员的资安威胁,其实要远大于外部人员。根据美国CSI/FBI的调查,内部泄密对大企业造成的损失,每年平均为270万美元,而外部攻击平均为5万7千美元,差距近50倍,也显示出内部泄密造成的损害,远大于外部攻击。

为了让资料即使外泄,都不会造成企业损失,或承担法律责任,未来有关资料加密的技术,势必将成为资安管理非常重要的环节。如利用目前已广泛用于影片、音乐、游戏、电子书等产品的DRM技术,也可以用于文件控管,让企业信息可以在对的时间,让对的人分享,即使外泄,取得资料的人也无法使用,使用者无论是内部员工、出差、外派人员,或是委外及合作协力厂商,机密文件皆能受到最好的保护。

此外,如何确认存取资料的人是谁?如何确保资料在保存或传输中,不被第三者偷窥或窃取?如何确保资料完整、正确、未被窜改?如何确认资料来源,并避免使用者在事后否认曾交换资料?也都是资安管理非常重要的课题。

为确保资料安全,企业的基本资安需求包括:身分识别(Authentication)、资料保密性(Confidentiality)、资料完整性(Integrity)与不可否认性(Non-Repudiation),而这些需求,只要透过可提供数码信息传递安全服务,如签章、加密等相关应用的PKI,就能获得满足。

此外,帐号与权限管理,以及稽核与日志管理,也都是防止内部泄密的重要管理策略。如帐号与权限管理要按规则做到自动化,人员只要更换部门,帐号权限就会自动改变,以避免特权帐号泛滥。即使是受信任的管理者,也不能长时间使用特权帐号,以免带来资料外泄的风险。

而由于风险难以杜绝,企业更要做好稽核与日志管理,才能找出需要修改的地方,让风险发生的可能性降至最低。企业不能只是注意外患,也要做好内部控管的工作,才能满足法规上的要求,并同时防护实时的新型攻击,

提升资安意识 有效落实资安管理

但资安问题的核心关键,还是在于许多相关单位没有资安意识,如企业高层对于资安的认知不足,法规也落后新进国家太多,以至于企业可以规避责任问题。使用者也必须提高危机意识,建立正确的资安观念,企业必须积极针对员工,进行资安认知教育训练。

事实上,虽然大部分的人都了解资料保护的重要性,但还是有很高比率的员工,会将被规范的客户资料及机密性的公司资料带出办公室,而且就在外工作的员工而言,使用方便性的考量远大于资料隐密性。

因此,公司的资安政策一定要明确,管控措施一定要周全,针对云端技术、行动工作者等日新月异的工作环境变化,企业一定要好好思考,如何在不影响企业与员工的运行习惯下,透过适当的资安投资,兼顾降低风险及企业营运目标,以追求企业运行的最高效益。

关键字:企业核心

本文摘自:digitimes

x 对抗外部攻击 防止信息外泄 企业资安挑战大 扫一扫
分享本文到朋友圈
当前位置:安全云安全 → 正文

对抗外部攻击 防止信息外泄 企业资安挑战大

责任编辑:FLORA |来源:企业网D1Net  2011-11-28 09:20:33 本文摘自:digitimes

有关资安的事件层出不穷,相关新闻报导不断,目前常见的资安威胁种类繁多,包括网页安全、资料外泄、P2P软件、钓鱼式垃圾邮件、实时通讯等,甚至影音档案都可能含有恶意程序连结或程序码,可以说是防不胜防。

对企业而言,信息安全威胁不但可能造成资料外泄,导致商业机密流出,影响企业竞争力,还可能造成商誉受损,或衍生交易纠纷,影响企业运行。

但从许多实际发生的资安案例中,却可看出,企业管理阶层对资安威胁带来的危害及损失,往往不够了解,或是不认为会影响自身权利或利益,为了达成企业/组织的营运目的,为股东、员工及客户创造最大利益,领导阶层应将资安投资与企业获利视为经营目标。

对抗外部攻击 企业资安要做好基本功

企业面对的资安威胁日益严重,以来自外部的攻击为例,企业现在面对的黑客,已经不再是新闻或好莱坞电影描述的,一群因为好奇、孤僻、展现功力或一时好玩的学生黑客,而是一群来自四面八方、具专业性、长期具耐心、为数众多的组织型黑客,而且因为互联网的黑色产业链已经形成,黑客可以利用木马程序盗取QQ、网络游戏、银行帐号、信用卡帐号等个人资料,并从中牟取金钱利益,更增加组织型黑客攻击企业的动机。

面对持续不断的资安威胁,企业应从最基本的资安检测做起,以了解当前信息环境的弱点,并加以补强,从评估、检测、报告、修补到追踪,各个环节都要落实,做好基本功之后,才能更有效的执行其它安全防护机制。

如许多主管喜欢透过监视器,查看员工是否专心上班,但在网络上却可以很轻易的找到某些监视系统的安装使用手册,里面甚至包含缺省口令,如果企业疏忽口令管理,黑客就可以很容易的坐在计算机前,透过画面窃取资料。

甚至有企业入口网站在遭入侵后,才发现没有任何备份及备援机制,导致在重建过程中,花了好几天才让入口网站恢复运行,不但影响企业运行,更造成客户的不便,对企业商誉更带来难以估计的损失。

因此,企业应该要建立纵深防御的概念,部署一层层不同的保护措施,如此一来,就不必担心一旦某防御机制被突破,便让入侵者长驱直入、直捣企业核心。无论管理、资料、网站、系统、网络,各个面向都应全部纳入安全考量,而且入侵防护系统(Intrusion Prevention System;IPS)、入侵侦测系统(Intrusion Detection System;IDS)、防火墙、身分认证、网络存取控制(Network Access Control;NAC)……等安全防护机制,亦不可或缺。

防止资料外泄 管控措施要落实

但由于不管设下多么严密的防御,都只能降低资安风险发生的可能,资料外泄的可能性无法降到零,加上个资法修正后,企业必须承担更大的资料外泄责任。事实上,来自内部人员的资安威胁,其实要远大于外部人员。根据美国CSI/FBI的调查,内部泄密对大企业造成的损失,每年平均为270万美元,而外部攻击平均为5万7千美元,差距近50倍,也显示出内部泄密造成的损害,远大于外部攻击。

为了让资料即使外泄,都不会造成企业损失,或承担法律责任,未来有关资料加密的技术,势必将成为资安管理非常重要的环节。如利用目前已广泛用于影片、音乐、游戏、电子书等产品的DRM技术,也可以用于文件控管,让企业信息可以在对的时间,让对的人分享,即使外泄,取得资料的人也无法使用,使用者无论是内部员工、出差、外派人员,或是委外及合作协力厂商,机密文件皆能受到最好的保护。

此外,如何确认存取资料的人是谁?如何确保资料在保存或传输中,不被第三者偷窥或窃取?如何确保资料完整、正确、未被窜改?如何确认资料来源,并避免使用者在事后否认曾交换资料?也都是资安管理非常重要的课题。

为确保资料安全,企业的基本资安需求包括:身分识别(Authentication)、资料保密性(Confidentiality)、资料完整性(Integrity)与不可否认性(Non-Repudiation),而这些需求,只要透过可提供数码信息传递安全服务,如签章、加密等相关应用的PKI,就能获得满足。

此外,帐号与权限管理,以及稽核与日志管理,也都是防止内部泄密的重要管理策略。如帐号与权限管理要按规则做到自动化,人员只要更换部门,帐号权限就会自动改变,以避免特权帐号泛滥。即使是受信任的管理者,也不能长时间使用特权帐号,以免带来资料外泄的风险。

而由于风险难以杜绝,企业更要做好稽核与日志管理,才能找出需要修改的地方,让风险发生的可能性降至最低。企业不能只是注意外患,也要做好内部控管的工作,才能满足法规上的要求,并同时防护实时的新型攻击,

提升资安意识 有效落实资安管理

但资安问题的核心关键,还是在于许多相关单位没有资安意识,如企业高层对于资安的认知不足,法规也落后新进国家太多,以至于企业可以规避责任问题。使用者也必须提高危机意识,建立正确的资安观念,企业必须积极针对员工,进行资安认知教育训练。

事实上,虽然大部分的人都了解资料保护的重要性,但还是有很高比率的员工,会将被规范的客户资料及机密性的公司资料带出办公室,而且就在外工作的员工而言,使用方便性的考量远大于资料隐密性。

因此,公司的资安政策一定要明确,管控措施一定要周全,针对云端技术、行动工作者等日新月异的工作环境变化,企业一定要好好思考,如何在不影响企业与员工的运行习惯下,透过适当的资安投资,兼顾降低风险及企业营运目标,以追求企业运行的最高效益。

关键字:企业核心

本文摘自:digitimes

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^