前不久,美国中央情报局局长约翰·布伦南和国土安全部部长约翰逊的个人电子邮件地址居然被一个十几岁的小孩子给黑了。这种事情不是较早次,当然也不会是较后一次。在信息安全事件越来越稀松平常的今天,连对入侵技术知之甚少的业余“黑客”都参与进来,“应对网络安全威胁”也变得任重而道远。
在上述事件中,布伦南和约翰逊的个人电子邮件帐户就是通过非常简单的手段进行攻破的。该少年假扮成个人信息被泄露的受害者,并使用这些信息请求邮件服务提供商重置密码,从而获得这些电子邮件账户的无限制访问权限。
由于该攻击并没有对企业或政府系统进行攻击就轻松获取到了电子邮件账户的访问权限,从而更加凸显出网络安全的重要性以及对更加全面的安全保障的需求。
我们应该意识到,仅仅使用网络安全工具是无法阻止像布伦南和约翰逊之类事件的发生的。各公司的高管们也必须明白,要减轻安全风险、为你的企业保驾护航,无论是常识性的手段还是网络安全工具,都需要提供非常全面的方法。
为了帮助各公司掌门人制定出安全场景(框架)和评估系统,建议使用对于人员、流程和系统有意义的标准业务方法,对安全场景中的性能进行组织和管理。建立可视化指示器,对安全状况进行持续报告,对存在什么、失去什么进行持续跟踪并发出通知。
下面是一个非常全面的安全场景示例:
* 此示例中的安全状况基于行业中标准的安全概念
每个企业的安全情况或许各不相同,但这张图表所说的是与信息安全相关的主要领域。并且,相关的风险都经过了简化,嵌入到安全场景的有超过100多种基于行业标准的安全框架详细的控制过程,如NIST 800和ISO 27000。
作为企业的老板,应该询问安全团队当前的安全计划如何解决上述安全场景中的问题,至少应该询问安全团队如下问题:
一、风险评估方面
1、是否进行过安全风险评估?
2、公司较重要的安全风险是什么?
3、公司的安全策略是按照风险评估的优先级建立的吗?如果不是,为什么?
二、人员方面
1、公司是如何组织安全事务的?
2、公司是否有首席安全官(CIO)或首席信息安全官(CISO)?如果有,他们向谁汇报?
3、首席安全官或首席信息安全官是否有因为向组织汇报场所的原因而引起安全泄漏的风险?
4、对新员工有什么样的安全要求?
5、新员工是否具备与他们工作能力相适应安全防范水准?
6、是否要求员工遵守安全规程?如何遵守?
7、如何开展安全培训?
8、安全培训是一次性开展,还是持续开展?
9、员工是否定期了解新的安全风险和威胁?
三、流程方面
1、公司是否有成文的安全规程?遵守情况如何?
2、安全规程是束之高阁,还是投入使用、经常更新?
3、在业务实践中,如何进行安全规程方面的沟通?
4、是否对安全进行审计?
5、是否有针对第三方应用安全规程的管理流程?
6、网络信息安全是否已纳入公司可持续发展规划?
7、公司在进行产品和服务采购时,是否正式考虑过安全方面的影响?
8、如果发生了安全事故,会采取什么样流程?
四、系统方面
1、如何解决重大安全控制和网络安全控制?
2、是否有可以理解的安全工具描述?
3、系统针对已授权个人是否仅提供必要且必需的访问?
4、通俗地讲,是如何实现针对已授权个人仅提供必要且必需的访问的?
5、系统授权访问的方式是否存在风险?
6、谁对物理安全负责?如果不是首席安全官或首席信息安全官,物理安全事务如何与首席安全官或首席信息安全官如何协调一致?
7、如何进行信息安全监测?
以上仅是企业老板应该向其安全团队询问的部分问题。
为了企业的网络信息安全事务切实地得到落实,企业的负责人也应该自学一些基本的安全常识,只有这样,才能在询问安全团队有关企业网络信息安全状况时能够很好的理解他们的解释;只有这样,作为企业老板才对自己企业的网络信息安全防护更有信心;只有这样,才能更好地收到安全团队的相关安全汇报;只有这样,企业才能够更好地专注于业务的发展,公司的前景才能够蒸蒸日上。
