摘要:企業信息安全問題頻發
2019年,預計等保2.0的工作將於七月開始實施,從一定程度表明國家對企業的安全愈來愈重視。近期有許多關於企業信息洩露的新聞報道,例如:“Docker Hub遭入侵,19 萬賬號被洩露”、“高通40個芯片出現漏洞,10億部手機信息可能洩露”等等。
企業發生信息洩露或者網絡攻擊事件不僅會導致企業在公眾中的威望和信任度下降,更會直接影響公眾改變原有選擇傾向,企業的安全問題是關乎企業聲譽、公眾信任感、經濟利益、生死存亡的問題,企業的安全程度將會影響企業的外部競爭力。
企業信息安全問題頻發
在此,大米粒給大家分享五個安全技巧,可一定程度規避企業的信息系統遭受網絡攻擊的風險。
一、搭建健全的安全系統
企業安全系統是由多方面組成,主要工作需要防範威脅發生的可能,以及採取風險降低措施。在規劃實施前,會先進行安全現狀瞭解,主要是通過對主機、應用系統、數據、終端、網絡進行訪談和抽查,發現一些大致和企業共性的問題。
主要是從資產信息收集,然後分析主機、應用、網絡、數據、終端方面存在的一些安全問題,由於此次企業的生產服務器均在雲上,因此也就未考慮物理機房的安全。通過前期的現狀分析,安全建設採用分期建設,主要是根據工作開展的緊迫性和易操作性進行分期規劃。
搭建健全的安全系統
二、權限設置與數據安全監控
許多企業也沒有采取技術手段對管理員訪問進行監控,都需要考慮到控制訪問權限、應用程序訪問、漏洞管理以及審計。
總之,一旦員工進入系統,風險就會大大增加。數據的權限管理非常重要,能否給合適的人分配合適的權限,查看相應的業務數據,直接影響到數據的使用情況和結果。
數據安全監控
三、阻止與監控內部員工威脅
雖然來自外部威脅是一個關鍵問題,但內部威脅同樣危險,足以引起同樣的重視。事實上,研究表明,在多個數據洩露案例中,內部威脅佔比高達75%以上。內部威脅可能來自企業內部的任何人,從心懷不滿的員工到沒有受到網絡安全培訓的員工。因此,建立一套阻止和監控內部威脅的體系非常重要。
四、規範企業設備與網絡安全
企業的信息洩露在很多場景下發生:
Wi-Fi 訪問:從一個面向 SaaS 的移動設備上竊取企業數據。
Bluetooth 訪問:在一個面向 PaaS 的移動設備上竊取企業電子郵件。
丟失的移動設備:對有關 IaaS 運行狀況的數據沒有提供保護。
設備的安全策略由 4 個變量決定:使用什麼樣的操作系統來運行移動設備。雲服務是公有的還是私有的。消費者對操作系統、軟件和硬件有多大的控制權。企業服務器是否用於管理移動設備遠程操作。
規範設備安全
五、強化員工信息安全意識
在當今的黑客眼裡,員工才是企業信息安全最大的短板和漏洞。通過採用包括模擬攻擊在內的持續性安全意識培訓能夠大大降低網絡安全風險。制定季度、年度、或長期的員工網絡與信息安全意識宣教計劃,是工作成功開展的重要一環,一方面根據計劃開展具體工作,另一方面,依據定期評估的結果,實時進行計劃的調整或優化。
強化員工安全意識
總結:網絡安全是一項持續不斷的工作
新型病毒、新的攻擊手段等將不斷使企業業務系統與數據面臨新的網絡安全風險。要真正保持自身企業的網絡安全,用戶必須對其業務系統保持持續的安全監控,並週期性地對應急計劃進行評估與驗證。
總而言之,保證企業網絡安全是一項需要持續不斷付出努力的工作,需要每一位企業員工的認真參與。
閱讀更多 大米粒說安全 的文章
