当前,网络安全面临的挑战日益严峻,网络安全环境也发生了翻天覆地的变化:社交网络与移动互联网的出现让网络攻击的范围日益增大;PC整体安全性的提高使得攻击由“大面积的撒种、少量收获”的粗放型攻击转向点对点的精准攻击;各种防范措施的不断更新也加快了网络攻击向复杂化、智能化的演变;有组织的网络犯罪与黑客行为日益泛滥,企业和政府组织深受其害。与此同时,网络攻击的技术手段与工具也有很大的改变,网络犯罪分子利用Flame、Stuxnet、Shamoon等恶意软件对企业进行攻击,企业CISO们必须在安全技术上领先于攻击者,做好相关攻击防护,方可保护企业安全无虞。
在知识经济时代,技术创新已经成为企业发展的主要动力。企业所有者也越来越关注创新性技术在企业中的普及应用所带来的影响。诸如BYOD、云计算、全局访问和社交网络这样的创新性技术正在让越来越多的CISO为确保企业数据安全级保护企业重要知识产权而殚精竭虑。
Websense深入分析了当前企业中的安防措施,并就如何防范高级网络攻击为企业提供了可行的5大安全倡议。Websense安全专家指出,这5个安全倡议可以构成一个全面的安全计划,保护企业安全。
1. 充分了解企业业务。尽管这似乎与企业安全并无多大关系,但却应该引起企业足够重视。企业面临的风险和威胁日趋复杂,但多数情况下,人们对便利性的需求却远胜于安全,为了增加盈利而轻视安全问题的例子亦不在少数。为了改变这一现状,CISO们需要积极地参与企业产品与服务的研发过程,并将安全整合到企业发展战略中,促进安全智能转化为商业价值。Websense安全专家提醒企业,虽然企业安全问题的影响越来越大,但欲速则不达,为了实现系统有效的IT安全架构,应该先做好充分计划,这样才可以在增加企业收益的同时,更好地保护企业数据。
2. 正确理解安全角色。企业领导者必须能够为企业安全人员提供先进的安全理念。在当今的安全环境中,企业会将大部分精力耗费在技术发展与创新上,往往会忽略员工本身和安全流程,而这才是企业安全成功实现的根本所在。诚然,关注先进的技术无可厚非,但单纯的技术往往治标不治本。要成功实现全面的IT安全,必须整合进成套的员工管理方法及业务安全操作流程。此外,员工培训也势在必行。从董事会到客户服务,再到企业设备部门,企业需要对所有员工进行纵向及交叉培训,让各部门对彼此在安全防护中的职责与企业相关安全策略有详细的了解,并且可以结合周期性的针对企业进行的安全攻击演习,以检验员工培训的成果。
3. 真正了解信息内容。了解信息的相对价值尤为重要。企业安全人员的最终目标是获取IT安全功能方面的知识,并将其用于企业安全防护中。为了实现从安全操作团队到安全智能团队的过渡,企业必须能够分析现有数据信息,并根据不同需求进行信息转化,为制定保护企业的战略计划提供强有力的支持,最终实现对数据泄露及数据窃取的防护。此外,企业领导团队也必须能够向高管提供明确的信息发送、资料检索能力、上下文以及重要信息的及时报告,帮助管理者实现有效的决策,并且帮助企业节省预算,实现利益最大化。
4. 确立完备管理机制。就定义而言,管理就是明确用户期望、授权并验证性能的能力。管理机制的确立可以通过围绕企业信息安全措施创建一个强大的任务评估机制来实现。这样一来,用户就可以明确地确定IT安全报告所面对的人群以及他们在企业安全中扮演的角色与责任。同时,在此过程中,确保各部门之间的运行调整可以在最大程度上帮助企业各部门更好地了解企业安全架构。
5. 将风险转化为投资计划。最后值得注意的一点是,企业应该充分利用管理模式,将信息安全计划转化为资金投入。董事会想要看到的是企业安全人员采取何种措施来保护企业安全及其取得的成效,而非如何维持现状的。因此,当企业安全人员与高管合作确定任务、优先级和相关计划时,他们的计划才极有可能会被董事会支持,从而帮助企业高管更加了解相关风险、新闻和信息。
Websense安全专家指出,企业安全人员可以在企业中实施这5大安全措施,定义风险、构建安全架构,然后在这两者中间达到一个平衡,为企业安全策略构筑提供强有力的支持。在企业安全措施的实施过程中,任何训练机会都不要错过,这是企业安全人员了解威胁信息并制定相应防护策略的根本所在。Websense中国区技术经理陈纲也表示:“凭借对安全形势和企业安防措施现状的深入了解,Websense一直致力于提供全面的安全服务,帮助企业安全人员挫败日趋复杂的高级网络攻击,为企业数据安全保驾护航。”
