0731-82286822
您现在的位置:首页 / 关于康为 / 新闻资讯
企事业安全网络分析
时间:2015-07-09 16:51:44  关键字:  浏览量:0

    企业在享受网络技术好处的同时,也时时面临着许多的安全隐患。引人注意的是,企业安全隐患已经从单纯的病毒入侵发展到针对企业数据和信息的攻击。前者的危害一般可以量化,最严重的是造成系统瘫痪;而后者的危害很可能导致企业商誉和品牌受损,后果不堪设想。几年前,湖南一大型重工业公司价值数百万商业机密,导致竞购失利。诸如此类,在行政、研发设计单位和金融服务机构等不断地出现客户资料泄密事件,给企业安全拉响了警钟。

    商海拼杀,难免会挨刀,关键是要明白到来自何方。许多管理者认为,病毒和黑客是企业安全的最大威胁。在两三年前,或许是这样。时至今日,信息的丢失和被窃已成为企业面临的最大安全威胁。据EPIC组织(Electronic Privacy Information Center,一家总部位于华盛顿的电子隐私信息中心)统计,企业安全方面的威胁有48%来自外部,包括病毒、黑客、恶意代码、垃圾邮件等外网威胁;有52%是来自由内而外的行为,包括员工的过失、流程的缺陷等内部原因。在52%的来自内部的威胁中,只有1%的行为是个别员工主动作案,绝大部分是内部无意行为所引起,其中包括员工五一访问含有病毒代码的网页,而最多是员工疏忽造成的信息和数据遗失。

    目前,企业的信息和数据遗失情况呈逐步增多趋势。ITPCG(IT Policy Compliance Group)的研究报告显示,近7成德受访机构平均一年遗失多达6次以上的重要数据。在这项研究的被调查机构中,有20%每年遗失数据的次数高达22次。数据分析,现在笔记本电脑和U盘在公司中使用广泛,它们的丢失对企业安全构成了威胁。还有一项调查显示,每5家公司中就有4家发生过因笔记本电脑遗失而引起的机密数据丢失;每两家公司就有1家发生过因为U盘丢失而导致的数据丢失。从全球情况看,因U盘遗失造成的数据丢失现象越来越多。

    来自病毒的危害给企业造成的损失容易估计,康为技术总监冷正先和联想网御安全工程分析,病毒主要影响企业基础构架(企业IT建设基本上分为三个层面:一是基础构架,包括电脑、服务器、网络设备等硬件产品;二是应用层面,主要是在IT架构上的 应用;三是数据和信息层面)。病毒危害会造成使用者的桌面没法工作,乃至系统瘫痪,但对业务和信息构不成太大的影响。而企业的信息和数据一旦丢失,损失就很大。调查显示,企业没丢失一项用户数据,便需要通知客户重新录入,整个过程的额外支出为100美元。更重要的是,由于不小心遗失了客户的机密资料,企业很难相信受损失的客户还能再放心地使用该机构的服务。在信息发达的现代社会,得知消息的客户和潜在客户会对这家机构产生怀疑。这些机构一旦失去用户的信任,受到的打击可能是致命的。

    数据破坏频繁发生并日趋常规化,导致了成本的增加。因此,企业负责人越来越将丢失防护列为需要考虑的重要问题。高盛进行的一项安全支出调查表明,50%以上的企业安全主管认为,数据泄漏是导致企业安全支出的主要因素。

    关于信息泄漏的主要原因,康为技术分析,首先是计算机和存储介质的被盗和丢失。例如,某人可能将U盘遗落在飞机上,或者是因存储机密数据的移动硬盘未经加密而失窃。其次,一些企业缺乏适当的安全策略,即便是告诉员工不要随便将工作文件发到私人邮箱这样简单的事,也没有做到。

    正是由于安全问题出现了新变化,企业安全解决方案也随之变化。以前,一谈到企业安全问题,主要是涉及的是保证桌面和基础构架的安全,现在则是保证信息和数据的安全。前面的调查数据说明,要保证信息安全,并不是说把企业的“城堡”打造成刀枪不入就完事大吉,因为堡垒有可能从内部攻破。在四川大地震中,桑枣中学的经历可以给企业管理者提供一定的启迪。紧邻地震损失最为惨烈的北川县的安县桑枣中学,全校2300多名学生和教师只用了1分36秒就冲出了教室,跑到安全的操场,身后是岌岌可危的教学楼。桑枣中学师生安全脱险,跟校长叶志平主抓两件事有关:一是对教学楼的不断加固,二是从2005年开始每学期组织全校师生进行紧急疏散演习。加固了的教学楼,无疑为师生的逃生争取了时间,而更重要的原因是叶志平防患于未然的避险意识。企业的安全问题,关键还是从老总开始,层层树立安全意识,把安全管理纳入日常的管理经营中,从战略层面上加以重视,采取切实可行的安全解决方案,这样才能把好企业安全大门。

    在具体措施方面,把安全归为管理问题,具体思路就不一样。企业在做安全规划时,首先要考虑的是确立安全策略。企业要明确自己需要的安全级别是什么,然后是在此基础上,采取什么样的安全产品和措施与之配套。

    随着存储数据每年增长50%,想要保护所有的信息,需要付出大量的成本,而且效率极低。因此,企业需要保护的是关键信息,从源代码到用户信息及员工数据。关键在于平衡风险与机遇、在于保护数据,无论数据是在静态还是动态之中。在进行安全管理前,企业首先需要回答几个简单却十分重要的问题:一是企业拥有哪些敏感信息?二是这些敏感信息存储在哪里?三是这些信息在网络和端点上是如何使用的?一旦深入了解信息如何被使用,企业便能够开始设置策略来降低风险。

    具体的方法包括为存储分级、归档和加密设置。例如,企业可以规定,员工只有在U盘经过加密后才能拷贝数据。或者,企业可以规定员工不能用电子邮件发送机密信息。康为技术冷正先认为,所有的企业负责人必须参与到策略设置中,不仅仅是老板,还要包括财务总监、运营总经理等,企业上下所有的主管人员都要参与。毕竟,如果将安全作为业务的推动者,所有参与业务运营的人也都应当参与安全策略的设置。除此之外,主管人员的参加,对推动安全文化的发展也有至关重要的作用。

    虽然信息和数据的保护成了企业安全的重中之重,单传统的安全解决方案(包括防病毒软件、内容过滤、反垃圾邮件程序等)仍然和重要。在此基础上,企业应从更全面的角度考虑安全问题,把安全纳入管理工作中,对需要保护的数据进行管理,真正实现以信息为中心的安全部署。

    针对湖南地区企事业及行政单位用户来讲,康为技术与联想网御等安全厂商对此也开展了相关重视网络信息安全的知识推广和解决措施。从内网络的基础建设到安全设计,从入口流控到终端内网安全管理,来做咨询→分析→评测→设计→实施→运维一系列人性化服务。技术服务电话:0731-82288151 13574157111。构建绿色上网平台,共创和谐网络时代,康为技术与您同步!

上一篇:人才招聘
下一篇:思科:中国的宽带还不属于公共服务