如今的企業(yè)安全風(fēng)險(xiǎn)已經(jīng)逐漸的復(fù)雜化，單純的黑客攻擊已經(jīng)不是企業(yè)安全風(fēng)險(xiǎn)僅需的防范方面。不論是安全漏洞還是錯(cuò)誤配置，以及社交網(wǎng)站的熱度爆發(fā)、 社會(huì)工程學(xué)黑客的引用，企業(yè)安全風(fēng)險(xiǎn)已經(jīng)復(fù)雜到了一定程度。那么本篇文章就通過解析復(fù)雜網(wǎng)絡(luò)環(huán)境中的企業(yè)安全風(fēng)險(xiǎn)，希望安全管理人員提升安全意識(shí)，做好企業(yè)安全防護(hù)。

企業(yè)安全風(fēng)險(xiǎn)：復(fù)雜即風(fēng)險(xiǎn)

每個(gè)企業(yè)的當(dāng)務(wù)之急就是避免配置錯(cuò)誤和違規(guī)行為，這不僅是為了規(guī)避法律風(fēng)險(xiǎn)、罰款及其他違規(guī)處罰，同時(shí)也是為了維護(hù)企業(yè)的誠(chéng)信、聲譽(yù)和品牌。然而，降低企業(yè)風(fēng)險(xiǎn)現(xiàn)在已成為縱貫多個(gè)層面的課題，需要在多個(gè)層面上制定并實(shí)施相應(yīng)策略——由此產(chǎn)生的復(fù)雜性已成為當(dāng)今企業(yè)面臨的最大難題之一。

當(dāng)今企業(yè)面臨著各種各樣的安全漏洞，防范它們所需要的工具各不相同。這些漏洞主要包括：

· 使網(wǎng)絡(luò)易受其他形式攻擊的網(wǎng)絡(luò)漏洞;

· 數(shù)據(jù)竊取，包括跨網(wǎng)絡(luò)數(shù)據(jù)劫持;

· 導(dǎo)致服務(wù)器、個(gè)人電腦或虛擬應(yīng)用行為失?；虺蔀槠渌纛愋驮搭^的惡意軟件;

· 拒絕服務(wù)(DoS)攻擊，可造成數(shù)據(jù)不可用，或授權(quán)用戶無(wú)法訪問網(wǎng)絡(luò)。

企業(yè)不僅面臨上述威脅，還必須遵從數(shù)量眾多的行業(yè)及監(jiān)管條例：

首先是外部監(jiān)管。企業(yè)必須遵從各種因國(guó)家和地區(qū)而異的客戶隱私條例，除此之外，還有專門針對(duì)特定垂直市場(chǎng)的第三方條例。比如，在美國(guó)，由信用卡公司組成的支付卡行業(yè)(PCI)協(xié)會(huì)分別對(duì)零售商和接受信用卡付款的實(shí)體規(guī)定了消費(fèi)者隱私標(biāo)準(zhǔn)，其中涵蓋IT及網(wǎng)絡(luò)域名。企業(yè)如果違規(guī)，就要接受該協(xié)會(huì)嚴(yán)厲的罰款和其他違規(guī)處罰。

其次是最佳做法標(biāo)準(zhǔn)。許多企業(yè)通過實(shí)施行業(yè)標(biāo)準(zhǔn)的IT安全管理最佳做法(國(guó)際標(biāo)準(zhǔn)化組織(ISO) 27000系列文件中有詳述)來(lái)增強(qiáng)其安全措施。這固然可使企業(yè)建立起適當(dāng)?shù)陌踩雷o(hù)網(wǎng)，以保護(hù)其知識(shí)產(chǎn)權(quán)(IP)、機(jī)密數(shù)據(jù)及客戶信息，同時(shí)為業(yè)務(wù)持續(xù)性計(jì)劃提供支持，但遵循行業(yè)最佳做法卻會(huì)產(chǎn)生一個(gè)新的安全規(guī)則層。

此外，正在潛入企業(yè)內(nèi)部的Web 2.0社交網(wǎng)絡(luò)、需要不斷更新的軟件及安全補(bǔ)丁……也都會(huì)增加企業(yè)的安全復(fù)雜性。

企業(yè)安全風(fēng)險(xiǎn)：社交網(wǎng)絡(luò)

近年來(lái)，Web 2.0技術(shù)使網(wǎng)絡(luò)安全形勢(shì)再起波瀾。一年前，很多企業(yè)可能都沒聽說(shuō)過Twitter、Facebook、YouTube之類的流行社交網(wǎng)絡(luò)，而如今，它們已借合法商業(yè)及營(yíng)銷之名滲透到了企業(yè)網(wǎng)絡(luò)內(nèi)部，雖然目前可能仍然只限于員工個(gè)人使用。

進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部的新通道正在形成。理想情況下，這些通道可用于增強(qiáng)企業(yè)的商業(yè)意識(shí)和改善運(yùn)營(yíng);但另一方面，它們也開辟了行使惡作劇或竊取企業(yè)數(shù)據(jù)的新途徑，為員工向企業(yè)外部泄露敏感信息提供了方便。比如，社交網(wǎng)站就經(jīng)常被用來(lái)發(fā)動(dòng)網(wǎng)絡(luò)釣魚詐騙。

企業(yè)安全風(fēng)險(xiǎn)：移動(dòng)和無(wú)線

傳統(tǒng)的網(wǎng)絡(luò)邊界及其相關(guān)的保護(hù)措施正隨著企業(yè)用戶轉(zhuǎn)向無(wú)線網(wǎng)絡(luò)(包括蜂窩移動(dòng)網(wǎng)絡(luò)和/或 Wi-Fi無(wú)線網(wǎng)絡(luò))而逐漸發(fā)生改變。企業(yè)必須為移動(dòng)設(shè)備提供保護(hù)，加密存儲(chǔ)在移動(dòng)設(shè)備上的機(jī)密數(shù)據(jù)和通過無(wú)線傳輸?shù)馁Y料，以及保護(hù)企業(yè)網(wǎng)絡(luò)、防范移動(dòng)網(wǎng)絡(luò)入侵(如黑客或惡意軟件)，這已成為移動(dòng)設(shè)備管理(MDM)的一個(gè)分支。

總的來(lái)說(shuō)，信息和網(wǎng)絡(luò)技術(shù)的“消費(fèi)化”開辟了(且還將繼續(xù)開辟)大量“進(jìn)出”企業(yè)的新途徑，其中多數(shù)可在戰(zhàn)略上幫助企業(yè)獲益。隨著 Web 2.0 應(yīng)用的演變和移動(dòng)網(wǎng)絡(luò)的興起，安全成了一套動(dòng)態(tài)、不斷變化的規(guī)則，必須予以密切關(guān)注。安全已不再是一種“設(shè)定后即可置之不理”的方針。

企業(yè)安全風(fēng)險(xiǎn)：“緊跟變化”的難題

以上因素營(yíng)造了一個(gè)復(fù)雜、多變的安全環(huán)境，而且該環(huán)境本身就是個(gè)巨大的風(fēng)險(xiǎn)。其復(fù)雜程度更高、安全層數(shù)更多、員工專業(yè)知識(shí)更趨多樣化，必須予以管理和簡(jiǎn)化。來(lái)自軟件和網(wǎng)絡(luò)設(shè)備公司的新軟件補(bǔ)丁、漏洞修補(bǔ)程序和安全更新不斷增加，與時(shí)俱進(jìn)的要求會(huì)迅速造成操作人員的不堪重負(fù)，致使企業(yè)不得不在設(shè)備和軟件方面做出額外投資。此外，萬(wàn)一負(fù)責(zé)基礎(chǔ)架構(gòu)不同部分的 IT 員工，比如安全管理員與應(yīng)用服務(wù)器管理員，未能協(xié)調(diào)好工作，導(dǎo)致一部分部件更新，而另一部分未得到更新，也可能造成安全漏洞。

CIO和其他負(fù)責(zé)IT安全工作的員工應(yīng)考慮的一個(gè)基本問題是：如何準(zhǔn)確創(chuàng)建、實(shí)施、過濾和關(guān)聯(lián)所有這些策略、事件和潛在違規(guī)行為，以便時(shí)刻把握安全形勢(shì)?多管齊下地進(jìn)行風(fēng)險(xiǎn)管理，目標(biāo)就是確保公司始終遵守各項(xiàng)法規(guī)，并消除針對(duì)其知識(shí)產(chǎn)權(quán)及數(shù)據(jù)保密性、完整性和可用性的威脅。

此外，降低風(fēng)險(xiǎn)還需要一套自上而下的管理方法，這種方法根據(jù)來(lái)自上層的管理策略編寫規(guī)則。應(yīng)確保公司各個(gè)層級(jí)都了解這套安全策略，并使之成為企業(yè)文化的一部分。安全應(yīng)成為業(yè)務(wù)運(yùn)作的一個(gè)組成部分。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)