【51CTO.com快譯自7月15日外電頭條】對(duì)于企業(yè)中的IT管理人員來(lái)說(shuō)，來(lái)自內(nèi)部的威脅是最讓人頭疼的，Web2.0的實(shí)施、法規(guī)遵從以及各項(xiàng)應(yīng)用都密切影響著企業(yè)的安全性。日前，Cisco發(fā)布了半年一度的威脅報(bào)告，對(duì)如何解決這些密切相關(guān)的問(wèn)題給出了常規(guī)建議。

最難以抵御的似乎就是內(nèi)部威脅

這個(gè)問(wèn)題是近期的新聞熱點(diǎn)，一些能源企業(yè)和美國(guó)國(guó)務(wù)院成為了最出名的受害者。

“有三個(gè)原因造成內(nèi)部威脅問(wèn)題越來(lái)越嚴(yán)重，”Cisco高級(jí)研究人員兼首席安全官Patrick Peterson說(shuō)?！笆紫仁墙?jīng)濟(jì)問(wèn)題，許多員工出于絕望而卷入了違法活動(dòng)。第二個(gè)原因是雇主與雇員之間的關(guān)系發(fā)生了變化，員工們現(xiàn)在越來(lái)越不信任他們的雇主。第三個(gè)原因是全球化和外包服務(wù)的擴(kuò)展?！?/P>

針對(duì)這一威脅，Peterson說(shuō)，企業(yè)需要擁有強(qiáng)健的識(shí)別和審計(jì)機(jī)制，但也不能矯枉過(guò)正。他指出，比如蒙大拿州波茲曼市最近要求求職者必須提供出他們?cè)诟鞣N社交網(wǎng)站上的所有賬戶名和密碼，“他們確實(shí)注意到了真正的威脅，但他們執(zhí)行的策略可能是非法的，而且肯定是不必要的”他說(shuō)。

Peterson說(shuō)，企業(yè)必須能夠識(shí)別風(fēng)險(xiǎn)，并且針對(duì)具體的工作職能和業(yè)務(wù)范圍來(lái)應(yīng)用不同的策略?！安豢赡艽嬖谝粋€(gè)一刀切的政策，”他說(shuō)，“我們以前曾多次強(qiáng)調(diào)，你必須要對(duì)風(fēng)險(xiǎn)進(jìn)行充分了解?！?/P>

“然而許多企業(yè)并不把重點(diǎn)放在深入了解風(fēng)險(xiǎn)上，并且沒(méi)有制定如何最小化風(fēng)險(xiǎn)的戰(zhàn)略，這是多么令人吃驚，”P(pán)eterson承認(rèn)現(xiàn)在的事實(shí)是安全策略往往過(guò)于受到遵從性的影響，而不是根據(jù)風(fēng)險(xiǎn)管理來(lái)制定。此前，51CTO.com此前發(fā)表的文章中介紹了實(shí)現(xiàn)風(fēng)險(xiǎn)管理的六大評(píng)估方法，專(zhuān)家也建議，風(fēng)險(xiǎn)評(píng)估的意義在于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)，而風(fēng)險(xiǎn)的處理過(guò)程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對(duì)同類(lèi)的風(fēng)險(xiǎn)因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風(fēng)險(xiǎn)評(píng)估的成本。

Peterson解釋說(shuō)，這意味著他們必須在問(wèn)題出現(xiàn)后才開(kāi)始解決問(wèn)題。任何人都不應(yīng)當(dāng)還在為一個(gè)兩年前就已經(jīng)確定的問(wèn)題費(fèi)力，但在現(xiàn)實(shí)世界中，有許多人還是這樣。

“CSO（首席安全官）們必須發(fā)揮領(lǐng)導(dǎo)作用，看看現(xiàn)實(shí)世界中的風(fēng)險(xiǎn)問(wèn)題，”他說(shuō)。他指出，有些行業(yè)往往要等到問(wèn)題發(fā)展到出現(xiàn)狀況，比如金融服務(wù)行業(yè)的企業(yè)們，他們一般要等到某個(gè)同行因?yàn)榘踩珕?wèn)題而上了報(bào)紙的大標(biāo)題時(shí)，才著手解決問(wèn)題。Peterson說(shuō)當(dāng)發(fā)生這種情況時(shí)，他們至少還應(yīng)該努力找出為什么沒(méi)有在閱讀新聞之前發(fā)現(xiàn)問(wèn)題。

軟件開(kāi)發(fā)將得到保護(hù)

新的軟件開(kāi)發(fā)平臺(tái)可以幫助企業(yè)在開(kāi)發(fā)新應(yīng)用時(shí)管理內(nèi)部威脅的問(wèn)題。IBM發(fā)布了基于云計(jì)算的授權(quán)軟件來(lái)解決這個(gè)問(wèn)題。開(kāi)源項(xiàng)目TeamForge也做出承諾來(lái)幫助企業(yè)處理好這個(gè)問(wèn)題。

Verizon Business在上周宣布了提供一項(xiàng)應(yīng)用安全服務(wù)，能夠幫助企業(yè)管理整個(gè)項(xiàng)目生命周期，甚至改善他們的軟件開(kāi)發(fā)流程。

Peterson說(shuō)這些服務(wù)是的確是企業(yè)需要的。“開(kāi)發(fā)工作變得更加快速?gòu)?fù)雜，現(xiàn)在的風(fēng)險(xiǎn)比以往要高得多，如果你出現(xiàn)錯(cuò)誤，尤其是網(wǎng)絡(luò)應(yīng)用，”他說(shuō)，“壞家伙們的攻擊來(lái)得這么快。”

SaaS和Web 2.0

很多企業(yè)非常關(guān)注Web 2.0，他們應(yīng)該了解它能夠?yàn)樗麄儙?lái)什么，但同時(shí)也不能忽視風(fēng)險(xiǎn)?！鞍踩{和傳染病有很多相似的地方，” Peterson說(shuō)，“尤其是社區(qū)網(wǎng)絡(luò)，有些社區(qū)網(wǎng)簡(jiǎn)直是我的噩夢(mèng)，就好像一位傳染病醫(yī)生看到屋子里的每個(gè)人都在向別人打噴嚏那樣?！?

想要降低風(fēng)險(xiǎn)就要以犧牲性能為代價(jià)。Peterson說(shuō)，他使用過(guò)的最安全的電子郵件服務(wù)還是1987年他在斯坦福大學(xué)讀本科那時(shí)候?！拔铱梢越o學(xué)校里的任何人發(fā)送電子郵件，這比我現(xiàn)在使用的更安全，但它的功能放現(xiàn)在連小兒科都說(shuō)不上了，”他說(shuō)。

社區(qū)網(wǎng)絡(luò)的安全策略必須建立在真實(shí)數(shù)據(jù)的基礎(chǔ)上。如果繼續(xù)隨心所欲，無(wú)論是用戶還是IT部門(mén)最終都會(huì)焦頭爛額。

怎樣進(jìn)行培訓(xùn)

關(guān)于如何進(jìn)行安全培訓(xùn)，Peterson認(rèn)為視頻的力量比文字強(qiáng)大得多，即使是進(jìn)行高級(jí)別的培訓(xùn)。“當(dāng)我拿出視頻，讓他們親眼看看那些瀏覽網(wǎng)頁(yè)的人發(fā)生了什么事，這時(shí)即使是那些已經(jīng)很懂行的安全人員，他們的眼睛也會(huì)發(fā)亮，我知道他們又有了新的理解，”他說(shuō)。

“你不能只說(shuō)‘不要碰爐子，燙手’或者‘小心Windows ActiveX的漏洞’之類(lèi)的空話，你需要實(shí)質(zhì)性的溝通。一旦他們明白‘有些人想要傷害我和企業(yè)’，就已經(jīng)成功了一半，”他說(shuō)。

企業(yè)的安全指導(dǎo)方針不能太長(zhǎng)，要便于記憶，縮短指導(dǎo)方針的方法之一是為特定的工作職能或業(yè)務(wù)范圍分別定制指導(dǎo)方針。另外他補(bǔ)充到，許多安全策略的書(shū)籍都是十多年前寫(xiě)的了，而現(xiàn)在需要關(guān)注的項(xiàng)目增加了很多，但沒(méi)有一項(xiàng)可以刪除。

【編輯推薦】

1. 完全解密企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估
2. 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)用：基礎(chǔ)知識(shí)
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)用：評(píng)估過(guò)程

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Cisco Threat Report Deals With Internal Issues  作者：Alex Goldman