在黑客猖獗的今天,各類重大數(shù)據(jù)泄露事件時常登上全球范圍內(nèi)各大媒體的頭條,引發(fā)社會各界的廣泛討論。人們對其所產(chǎn)生的不良影響談?wù)摬恢梗缳~戶安全、專利泄密、巨額罰款、甚至員工失業(yè)等,但卻很少在第一時間去關(guān)注數(shù)據(jù)泄露的過程。
作為全球領(lǐng)先的Web安全、數(shù)據(jù)安全、電子郵件安全、移動安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商,Websense時刻關(guān)注并認(rèn)真分析了近年來重大泄密事件的各個細(xì)節(jié),總結(jié)出十大安全隱患,供廣大企業(yè)參考。
Websense認(rèn)為,當(dāng)前造成企業(yè)安全防護(hù)體系松動,并引發(fā)數(shù)據(jù)泄露的隱患可分為業(yè)務(wù)層面及技術(shù)層面,本文就這兩個層面簡述如下:
業(yè)務(wù)層面
1、 缺乏對安全角色的正確理解
人們對便利性的需求遠(yuǎn)勝于安全,為了加速盈利而輕視安全問題的例子不在少數(shù)。安全防護(hù)其實(shí)是一套自上而下的業(yè)務(wù)解決方案,各企業(yè)的CTO需要積極參與產(chǎn)品及服務(wù)的研發(fā)過程中,并將安全整合到企業(yè)的發(fā)展戰(zhàn)略中,促進(jìn)安全智能轉(zhuǎn)化為商業(yè)價(jià)值。
2、 認(rèn)為安全方案達(dá)標(biāo)即萬事大吉
在數(shù)據(jù)安全的監(jiān)管壓力下,所投入的預(yù)算及考量往往僅為滿足項(xiàng)目的需求,而不是以保護(hù)數(shù)據(jù)安全為出發(fā)點(diǎn)。而實(shí)際上,達(dá)到監(jiān)管部門的要求也只是讓系統(tǒng)正常運(yùn)作的基本而已,黑客們可以通過網(wǎng)絡(luò)跳板或是竊取特權(quán)訪問到企業(yè)的敏感數(shù)據(jù)。如常見的網(wǎng)絡(luò)分段其實(shí)是不堪一擊的,通過數(shù)字證書盜用,入侵者可以輕易的騙取更深層網(wǎng)段用戶的信任,方便以周詳?shù)挠?jì)劃套取到更多的機(jī)密信息。
3、 安全體系更多是圍繞基礎(chǔ)設(shè)施而非數(shù)據(jù)安全
多數(shù)企業(yè)更習(xí)慣于在項(xiàng)目的基礎(chǔ)設(shè)施和業(yè)務(wù)方案中投入精力與預(yù)算,如安裝殺毒軟件與防火墻等,但這沒有真正考慮到當(dāng)前高級安全威脅帶來的挑戰(zhàn),這些手段雖然還能保持一定的作用,但卻會因相對無效性從未來的安全體系中逐漸淡出。
4、 過于關(guān)注先進(jìn)技術(shù)
誠然,關(guān)注先進(jìn)的技術(shù)無可厚非,但單純的技術(shù)往往治標(biāo)不治本。要成功實(shí)現(xiàn)全面的IT安全,必須整合進(jìn)成套的員工管理方法及業(yè)務(wù)安全操作流程,作為企業(yè)文化的一部分被長期貫徹。
5、 未能充分調(diào)用員工的能動性
僅僅提升員工對威脅的識別能力是永遠(yuǎn)不夠的,許多員工并不了解他們正在使用的數(shù)據(jù)的價(jià)值所在,并錯誤地以為數(shù)據(jù)安全是由專人負(fù)責(zé)的,并未充分認(rèn)識到自己也是在企業(yè)數(shù)據(jù)安全中的重要角色。企業(yè)需要對員工進(jìn)行縱向及交叉的培訓(xùn),讓各部門對彼此在安全防護(hù)中職責(zé)和戰(zhàn)略有相互的了解,并結(jié)合周期性的安全攻擊演習(xí),以檢驗(yàn)培訓(xùn)的成果。
技術(shù)層面
1、 新舊技術(shù)之間的融合問題
企業(yè)所面臨的最大挑戰(zhàn)之一就是如何在現(xiàn)有的基礎(chǔ)設(shè)施上融入新興的技術(shù),以提升安全體系的等級。為了與新興技術(shù)相匹配,許多企業(yè)將基礎(chǔ)設(shè)施作為發(fā)展的重點(diǎn),卻忽略了所要保護(hù)的數(shù)據(jù)本身,也沒有意識到一些先進(jìn)的技術(shù)很可能導(dǎo)致部署的不一致,白白耗費(fèi)大量時間、人力與財(cái)力,反而留下了安全隱患。
2、 移動與云計(jì)算將弱化基礎(chǔ)設(shè)施的作用
在移動互聯(lián)及云計(jì)算高度發(fā)展的今天,數(shù)據(jù)可能出現(xiàn)在任何位置。這也是企業(yè)必須將關(guān)注重心由基礎(chǔ)設(shè)施轉(zhuǎn)為數(shù)據(jù)的另一個重要原因,移動化及數(shù)據(jù)增值正弱化在基礎(chǔ)設(shè)施中在多層架構(gòu)中的安防效果,加大基礎(chǔ)設(shè)施的建設(shè)力度并不能對云數(shù)據(jù)提供相匹配的安全保障。
3、 傳統(tǒng)安全解決方案沒有完全跟上各類威脅的快速演變
即便擁有充足的預(yù)算,新技術(shù)的落實(shí)與安全解決方案的開發(fā)都很難與威脅的演變同步,二者之間的差距使得多數(shù)的解決方案在用戶覆蓋上有所不足。如何覆蓋移動用戶、顧及https與私有VPN的盲點(diǎn)、以行為分析擺脫對簽名技術(shù)的過度依賴,才是真正需要預(yù)算投入的地方。
4、 多數(shù)安全系統(tǒng)沒有自主學(xué)習(xí)能力
在傳統(tǒng)的安全技術(shù)下,攻擊者可以通過改變代碼的方式繞過安全監(jiān)測,讓防火墻和反病毒解決方案失效。若系統(tǒng)不能實(shí)時升級以應(yīng)對新的亂碼攻擊,就會留下許多極易被利用的漏洞。
5、 缺乏整合是大多數(shù)企業(yè)的致命弱點(diǎn)
多少情況下,網(wǎng)絡(luò)上附加的安全功能并不是越多越好,他們在功能性上的重疊不會讓系統(tǒng)變得更為強(qiáng)大,相反會因?yàn)椴荒芄蚕肀舜说男畔⒍速M(fèi)資源。企業(yè)需要一些新的途徑部署統(tǒng)一的控制面板,在實(shí)現(xiàn)對安全項(xiàng)目高度統(tǒng)合管理的同時,將各自的安全智能相整合,實(shí)時收集相關(guān)數(shù)據(jù),供安全團(tuán)隊(duì)作出明智的決策。
從安全操作團(tuán)隊(duì)過渡到安全智能團(tuán)隊(duì),企業(yè)需要擁有分析信息及轉(zhuǎn)化結(jié)果的能力,為制訂保護(hù)企業(yè)的戰(zhàn)略計(jì)劃提供強(qiáng)有力的支持,最終實(shí)現(xiàn)對數(shù)據(jù)泄露及竊取的安全防護(hù)。而Websense TRITON技術(shù)將所有威脅防御和數(shù)據(jù)泄露防護(hù)的關(guān)鍵部件整合為一個緊密結(jié)合的內(nèi)容安全系統(tǒng)。它將Web安全、電子郵件安全、移動安全和DLP(數(shù)據(jù)泄漏防護(hù))防御集成為統(tǒng)一的安全智能管理控制臺,既可部署在企業(yè)級設(shè)備上,又可以部署在云端服務(wù)器上,而將二者混合部署時也能發(fā)揮強(qiáng)大的能量。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:拓步ERP資訊:Websense揭示安全隱患呼吁增強(qiáng)安防意識
本文網(wǎng)址:http://m.hanmeixuan.com/html/news/1051518272.html
相關(guān)文章
