企业机密数据防护 由安全管理员控制入手

      您的安全人员是值得信赖的?工作是否认真负责的?是否经验丰富?不管您对安全人员的评价是怎样,还是让我们来听一听安全专家的亲身经历吧,您可能会对安全人员重新进行评价了。

  这里有一个这样的故事,来自于Alvaka网络公司(管理服务提供商)的执行副总裁Kevin McDonald的亲身经历:

  他的建筑公司客户拥有一名负责安全的高级IT人员,这名安全主管坚持让该建筑公司的老板确信将各种公司数据库存储在自己公司会存储在其他地方更加便宜,因为该公司内部已经安装有光纤线路。

  您可以料想到这样一个结果:员工与其雇主之间将会发生冲突。而在你发现这些所谓的"内部威胁"前,安全工作人员就已将威胁性的电子邮件发给该建筑公司的客户,并且告诉客户自己掌握着他们的私人信息。

  McDonald表示,这名安全工作人员的这种行为基本上断送了自己的前程,公司花费了六个月的时间才结束了这名员工造成的影响。在例如美国相对法律健全的国家,只有当员工实施公共性的网上威胁行为并且非法使用公司数据时,美国联邦调查局才有权利对其采取强制手段。可向国内的安全威胁又将如何?

  现实中,安全部门总是被各种问题所困扰着,从失职的安全人员到不理想的预算,再到糟糕的工作人员等。以下是安全部门常见的一些问题,并且提供了解决这些问题的对策。

  使用安全综合软件包

  在此时此刻,某公司的某名安全工作人员肯定正在咒骂他们的CTO/CIO,因为他们的CTO/CIO让他们使用捆绑了全部安全软件的软件包。事情一般是这样的:大型安全厂商的销售人员会说服高层管理人员,购买一套能够同时进行桌面防病毒操作、电子邮件安全检测、入侵检测和网页过滤等工作的安全软件包要更加合理,并且价格便宜。

  那么,这样做到底有什么不好呢?某安全软件厂商的主管表示,"其实你已经将这些安全基础设施的关键部分都商品化了,问题在于,在CTO/CIO看来,安全只是一种商品,就像其他应用软件一样。"

  但是没有任何安全厂商能够生产出面面俱到的产品,那些购买安全套件的公司确实能够节省资金,但是我们不得不承认,这样做很可能导致各种安全威胁。

  如何避免公司可能存在的隐患?

McDonald建议,首先需要培养公司CTO/CIO的安全认识,同时在公司内部组织并普及安全知识,让工作人员和管理层人员都能够明白安全威胁及如何防范威胁。

  专家表示,普及公司员工的安全意识,有助于降低安全威胁发生几率,同时可以降低安全预算的投入。

  另外一个办法就是强制执行,美国宾夕法尼亚州政府就是采取的这种方法,在2005年年底Bob Maley出任宾夕法尼亚州首席安全官前,州政府就明确了如何选择安全产品的标准。

  安全认证的含金量

  像大多数IT安全问题一样,在数据安全问题方面,资格认证证书的价值经常被质疑。

  宾夕法尼亚州州政府的首席信息安全官Bob Maley说道,"多年以来,人们前前后后获得过各种资格认证,他们的名字后面可能会有5个不通的首字母缩写。"

  但是,这么多资格认证真的有价值吗?这需要依情况而定。

  Marley表示,"老实说,在认证行业中,有很多认证证书是毫无价值的,即使是毫无经验的人,都可以得到资格认证。"

  某安全厂商表示,"我们聘请的人都有很漂亮的文凭,但是实际生产中与我们的要求相差甚远。具体说,我们曾经聘请过拥有高学历和各种证书的人员,结果发现这些人甚至都不会连接网络,他们拥有理论知识,但是对于实践操作却没有任何概念。"

  Maley表示,招聘管理人员时,拥有较多资格证书的人确实能够让人印象深刻,并且能够轻松通过面试。但面试官们应该认真阅读面试人员的简历,并核对其经验与资格证书是否相符。

  如今琳琅满目的认证中,CISSP(认证信息系统安全专业人员)、CISA(认证信息系统审计人员)以及CISM(认证信息安全管理人员)认证是具有巨大的竞争优势的。

  专家表示,拥有CISSP的人通常能够反应出他所谓的"内在经验",因为如果持证者没有相关经验的话,是不可能获得认证证书的。

  经验的重要性

  对于企业安全而言,组建一个勤奋而具有开拓性的安全团队是十分必要的。然而对于如何获取这些安全团队的成员,每家公司的认知并不相同,Maley建议,"雇佣那些有前途的新手,对于他们来说,能够有机会积累网络攻击经验是很重要的事情。"

       对于新手来说,能够在一些重大事件或项目中获取宝贵的经验是很开心的事情,Maley补充说。

  Anthony Scalzitti,某主要安全软件公司的安全工程师有着相反的看法,"很多安全公司都坚持雇佣技术不熟练的员工或者安全新手,如果你的公司正是这种情况,那么你就应该限制这些安全人员可能搞砸整个公司的能力,可以让他们在不太重要的系统工作称。例如,你可以让这些人员调查可疑的日志记录或者入侵检测系统报告。"

  通常情况下,会有一些安全初学者认为类似工作是浪费他们的时间,例如审查日志记录或者行为预警,做简单的配置审查或者与其他业务部门开会等。

  Scalzitti表示,他已经成功地让那些安全新手着手研究出现在媒体中的安全事件,实现这个目的的关键在于让安全专家们发现80%的安全事故都是由于简单的机会主义攻击造成的。

  "在信息安全中,我们给黑客们提供了各种攻击的机会,他们一般会攻击容易下手的公司。让你的安全新手们去检查那些容易被攻击的漏洞,这可能需要花费一些时间,但是他们会认识到细节将决定成败,简单的错误可能导致巨大的安全威胁。"Scalzitti补充道。

  结语

  最后,我们回到最开始的话题,你可以训练那些安全新手,对他们进行督导,给他们提供挑战机会,但是对于那些真正的不可教的安全人员又完全不是这么回事了,唯一的解决办法就是最开始的时候就不要雇佣他。