讓企業(yè)遠離安全威脅的九大措施

http://www.yibo1263.com　2008/5/7 8:21:38 　來源:網頁教學網　編輯:葉子

　　Mandia說，系統(tǒng)應記下數(shù)據流動情況，包括誰在什么時候訪問數(shù)據、哪些應用軟件使用了這些數(shù)據，但鮮有公司這么做。他說： “我們看到的最常見錯誤就是，公司請我們過去，我們首先問的是有沒有任何相關文檔。對方往往會提供大量數(shù)據，卻沒有正式的文檔。技術人員在這方面做得很差，律師也沒有要求這樣做。所以幾乎無一例外的是，我們過去問公司出了什么情況，對方根本答不上來�！�

　　6. 泄密后的保密工作

　　許多公司沒有任命某個領導人或者小組來負責響應安全事件、查找重要細節(jié)，結果也大大限制了響應事件的能力。在許多公司，這成了推卸責任的借口；而另一些公司讓太多的人參與泄密事件響應工作，結果這么多的人反而妨礙了相關的調查工作。

　　Mandia說： “有些公司讓太多的人參與決策過程。我們過去后，得向12個人說明情況，但實際上其中有10個人并沒必要參加�！�

　　另一個常見問題是，許多公司通常沒有針對泄密事件進行保密。這樣一來，員工聽到風聲后，會立即設法保護自身利益，從而加大了調查的難度。

　　Mandia表示，如果事件牽涉到內部人員，他們知道行蹤敗露后，可能會立即清理掉一些證據（而這些證據原本可以幫助調查人員查明真相），這樣就為確定責任帶來很大麻煩。

　　7. 裝好安全補丁并不等于高枕無憂

　　隨著涉及IT和數(shù)據安全人士的法規(guī)措施越來越多，許多公司投入大筆資金用于技術性解決方案，以堵住漏洞。但它們通常以為，采用某項技術或者符合某個方面的法規(guī)就能高枕無憂了，事實并非如此。

　　Security Incite公司的分析師Mike Rothman說： “我看到的最主要問題就是，人們以為采取部署反病毒軟件、打上補丁和運行漏洞掃描之類的簡單措施后，就真正符合要求了。他們并沒有從風險管理的角度來看待問題�！�

　　不少公司審查了數(shù)量有限的安全補丁，得到及格分數(shù)后就認為再也不需要加強工作。Rothman說： “人們常常以為，一旦進行了積極審查，就大功告成了。之后，黑客們會證明其實并非如此。”

　　8. 安全問題不能”一視同仁“

　　Rothman表示，公司常常會掉入另一個與法規(guī)遵從有關的安全陷阱：不管IT系統(tǒng)對公司的安全和成功具有的重要性如何，一律投入同樣的精力或者費用來保護。

　　他說： “有些人犯的錯誤就是，對所有安全問題‘一視同仁’；為保護只有五人使用的舊應用系統(tǒng)所投入的時間和資金與為保護所有客戶使用的在線應用系統(tǒng)所投入的一樣多。”

　　這種做法浪費了資金，一旦預算花光，以后還會留下更嚴重的問題。Rothman說： “安全人員常常不知道如何優(yōu)先處理重要問題。他們應當關注假設具體某個方面出現(xiàn)泄密會有什么樣的后果，然后再考慮如何設定開支�！�

　　9. 放棄不該保存的數(shù)據

　　另一種常見情形給安全人士和法規(guī)遵從人士帶來了災難，那就是：許多處理信用卡和借記卡的公司對保存賬戶信息的交易日志系統(tǒng)不設防，任由這些交易日志開著，這會導致客戶數(shù)據泄密。

　　Roop說： “這些被無意識保存下來的數(shù)據可用來偽造信用卡，被黑客或者不懷好意的員工所利用�！盧oop說，連沒有收集信用卡數(shù)據的公司也要確保只保存現(xiàn)階段開展業(yè)務所需的信息。他忠告，如果沒有保存信息的明確需要、卻保留了可能被攻擊者利用的信息，那是自找苦吃。如果數(shù)據非要保存，應該確保為此制訂了保護措施。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费