日志标签:防范黑客

企业网络安全:防范黑客要从公司高层做起

时间:2011年07月20日作者:小侃评论次数:0

如果一支有电脑行家组建的精锐部队想要黑进你公司的网络,他们很可能会得手。不过,如果就连一个闲得无聊的菜鸟黑客也能攻陷你的系统的话,这就有问题了。而且这个问题的根源并不在于公司的技术薄弱,而在于公司的管理。
以今年四月份开始索尼公司遭受的一系列黑客入侵为 例,标枪战略研究公司(Javelin Strategy & Research)的高级安全性分析师菲尔 布兰克指出,索尼遭受的一系列黑客入侵是由一个叫LulzSec的组织发起的,这个组织带有一些恶作剧性质,他们使用的黑客手法极为简单,连高中生都能掌 握。
黑客袭击事件之后,索尼对负责网络安全的管理人员进行了换血。今年五月,索尼公司任命原索尼全球解决方案(Sony Global Solutions)总裁酒井文明为公司的代理首席信息安全官——这是索尼被“黑”后新增设的一个职位。
布兰克表示,许多公司都已经设立了专门负责信息安全的高级职位,这标志着他们迈出了重要的第一步。虽说这些负责信息安全的管理人员可能无法阻止 技术含量极高的黑客攻击,但起码他们可以避免公司出现低级的安全漏洞。美国电信运营商AT&T的首席信息安全官爱德华 阿莫鲁索表示,信息安全人员重要的工作,可能就是要把信息安全部门和公司的其他部门整合到一起,而这并不是一个简单的任务。
像IT员工一样,信息安全人员也是动辄满口术语和行话,不仅其他部门的员工听不懂,许多高管也摸不着头脑。
不过可能是出于情势所迫,现在高管们对信息安全的术语也是越来越门儿清了。阿莫鲁索说道:“过去6个月里发生了一些网络攻击事件,它们甚至动摇了某些企业的根本。网络安全性问题无疑已经成了一个上升到董事会层面的重大问题。”
任命了负责信息安全的高管后,下一步则是要从每个项目的一开始,就让信息安全团队参与其中。这一点非常重要,尤其是在公司各个互不相干的分支机 构开发新技术的时候。阿莫鲁索表示,信息安全专家常常会在公司的某一个项目里发现漏洞,而他们之前甚至根本不知道这个项目的存在。
不仅公司的管理层要将信息安全视为头等要务,信息安全人员本身也要向管理层做出一些妥协,要尽量使自己传递的信息变得更加有趣易懂。阿莫鲁索表 示:“我们都从IT主管那里收到过长达三页、措辞严肃的备忘录。看完开头两句话,你就不知道它下面说的是什么了。这样是没法让人认清问题的。”
如果执行得力的话,员工的信息安全意识会有助于企业防范一些基本的网络攻击。员工往往会犯一些低级的错误,比如点击了一个外部附件,或是点击了一个陌生的网址,这样一来,黑客就有了接触公司信息的机会。
这些小错也能酿成大祸。一旦黑客侵入系统,他们就可以对系统内某些看似不相关的信息进行编译,比如账户、生日和电子邮件地址等,然后对它们进行 交叉链接,从而发动另一轮相当复杂的攻击。布兰克表示:“过去人们可以决定哪些信息是值得保护的,哪些是不值得保护的,但是现在这种日子已经一去不复返 了。”现在任何信息都需要保护。
布兰克还表示,管理人员可以雇佣一些善意的黑客——也就是所谓的“白客”来指点迷津,以避免系统受到某些并非很复杂的攻击。这样可以使技术人员知道哪些地方有可能出现问题,以免某些恶意的黑客趁虚而入。
当然,没有什么办法能保证所有信息都绝对安全。但企业只需采取简单的措施,就可以避免遭受低水平的攻击。随着基于网络的应用程序以及移动设备在企业中的应用越来越广,信息安全也必将成为管理层经常讨论的问题。

标签:分类:业内新闻