近期有許多關(guān)于企業(yè)信息泄露的新聞報(bào)道�,例如:“Docker Hub遭入侵�,19 萬賬號被泄露”、“高通40個(gè)芯片出現(xiàn)漏洞��,10億部手機(jī)信息可能泄露”等等��。
企業(yè)發(fā)生信息泄露或者網(wǎng)絡(luò)攻擊事件不僅會(huì)導(dǎo)致企業(yè)在公眾中的威望和信任度下降���,更會(huì)直接影響公眾改變原有選擇傾向����,企業(yè)的安全問題是關(guān)乎企業(yè)聲譽(yù)�、公眾信任感、經(jīng)濟(jì)利益���、生死存亡的問題���,企業(yè)的安全程度將會(huì)影響企業(yè)的外部競爭力。
企業(yè)信息安全問題頻發(fā)在此����,大米粒給大家分享五個(gè)安全技巧,可一定程度規(guī)避企業(yè)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)���。
一�、搭建健全的安全系統(tǒng)企業(yè)安全系統(tǒng)是由多方面組成��,主要工作需要防范威脅發(fā)生的可能���,以及采取風(fēng)險(xiǎn)降低措施���。
在規(guī)劃實(shí)施前,會(huì)先進(jìn)行安全現(xiàn)狀了解�,主要是通過對主機(jī)、應(yīng)用系統(tǒng)�、數(shù)據(jù)、終端��、網(wǎng)絡(luò)進(jìn)行訪談和抽查��,發(fā)現(xiàn)一些大致和企業(yè)共性的問題���。
主要是從資產(chǎn)信息收集����,然后分析主機(jī)���、應(yīng)用����、網(wǎng)絡(luò)、數(shù)據(jù)�����、終端方面存在的一些安全問題���,由于此次企業(yè)的生產(chǎn)服務(wù)器均在云上�����,因此也就未考慮物理機(jī)房的安全����。
通過前期的現(xiàn)狀分析�,安全建設(shè)采用分期建設(shè),主要是根據(jù)工作開展的緊迫性和易操作性進(jìn)行分期規(guī)劃���。
搭建健全的安全系統(tǒng)
二��、權(quán)限設(shè)置與數(shù)據(jù)安全監(jiān)控許多企業(yè)也沒有采取技術(shù)手段對管理員訪問進(jìn)行監(jiān)控���,都需要考慮到控制訪問權(quán)限����、應(yīng)用程序訪問�����、漏洞管理以及審計(jì)�。
總之���,一旦員工進(jìn)入系統(tǒng)����,風(fēng)險(xiǎn)就會(huì)大大增加�����。
數(shù)據(jù)的權(quán)限管理非常重要���,能否給合適的人分配合適的權(quán)限�����,查看相應(yīng)的業(yè)務(wù)數(shù)據(jù)�����,直接影響到數(shù)據(jù)的使用情況和結(jié)果���。
數(shù)據(jù)安全監(jiān)控
三����、阻止與監(jiān)控內(nèi)部員工威脅雖然來自外部威脅是一個(gè)關(guān)鍵問題��,但內(nèi)部威脅同樣危險(xiǎn)�����,足以引起同樣的重視����。
事實(shí)上,研究表明����,在多個(gè)數(shù)據(jù)泄露案例中,內(nèi)部威脅占比高達(dá)75%以上�����。
內(nèi)部威脅可能來自企業(yè)內(nèi)部的任何人,從心懷不滿的員工到?jīng)]有受到網(wǎng)絡(luò)安全培訓(xùn)的員工�。
因此,建立一套阻止和監(jiān)控內(nèi)部威脅的體系非常重要�。
四、規(guī)范企業(yè)設(shè)備與網(wǎng)絡(luò)安全企業(yè)的信息泄露在很多場景下發(fā)生:Wi-Fi 訪問:從一個(gè)面向 SaaS 的移動(dòng)設(shè)備上竊取企業(yè)數(shù)據(jù)���。
Bluetooth 訪問:在一個(gè)面向 PaaS 的移動(dòng)設(shè)備上竊取企業(yè)電子郵件。
丟失的移動(dòng)設(shè)備:對有關(guān) IaaS 運(yùn)行狀況的數(shù)據(jù)沒有提供保護(hù)����。
設(shè)備的安全策略由 4 個(gè)變量決定:使用什么樣的操作系統(tǒng)來運(yùn)行移動(dòng)設(shè)備。
云服務(wù)是公有的還是私有的�����。
消費(fèi)者對操作系統(tǒng)����、軟件和硬件有多大的控制權(quán)。
企業(yè)服務(wù)器是否用于管理移動(dòng)設(shè)備遠(yuǎn)程操作�。
規(guī)范設(shè)備安全
五、強(qiáng)化員工信息安全意識在當(dāng)今的黑客眼里�����,員工才是企業(yè)信息安全最大的短板和漏洞。
通過采用包括模擬攻擊在內(nèi)的持續(xù)性安全意識培訓(xùn)能夠大大降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
制定季度��、年度��、或長期的員工網(wǎng)絡(luò)與信息安全意識宣教計(jì)劃����,是工作成功開展的重要一環(huán),一方面根據(jù)計(jì)劃開展具體工作�����,另一方面�,依據(jù)定期評估的結(jié)果,實(shí)時(shí)進(jìn)行計(jì)劃的調(diào)整或優(yōu)化����。
強(qiáng)化員工安全意識總結(jié):網(wǎng)絡(luò)安全是一項(xiàng)持續(xù)不斷的工作新型病毒、新的攻擊手段等將不斷使企業(yè)業(yè)務(wù)系統(tǒng)與數(shù)據(jù)面臨新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�。
要真正保持自身企業(yè)的網(wǎng)絡(luò)安全,用戶必須對其業(yè)務(wù)系統(tǒng)保持持續(xù)的安全監(jiān)控�����,并周期性地對應(yīng)急計(jì)劃進(jìn)行評估與驗(yàn)證。
總而言之���,保證企業(yè)網(wǎng)絡(luò)安全是一項(xiàng)需要持續(xù)不斷付出努力的工作�����,需要每一位企業(yè)員工的認(rèn)真參與���。
