實(shí)際上企業(yè)數(shù)據(jù)泄露不一定都是由于木馬病毒或者黑客入侵所導(dǎo)致的，由于員工的企業(yè)安全意識(shí)低下，企業(yè)敏感數(shù)據(jù)泄露的可能性還是非常大的。面對(duì)企業(yè)數(shù)據(jù)泄露，我們不單單應(yīng)該加強(qiáng)硬件的保護(hù)，還應(yīng)該采取謹(jǐn)慎的態(tài)度實(shí)施安全防護(hù)措施。

企業(yè)數(shù)據(jù)泄露：思考后再透露密碼及用戶信息

透露密碼和個(gè)人數(shù)據(jù)的往往是內(nèi)部用戶，而不是外部入侵者。這樣一來(lái)，攻擊者可以趁機(jī)闖入用戶的計(jì)算機(jī)及公司網(wǎng)絡(luò)，從而為非作歹、破壞聲譽(yù)。

Marcus表示，盡管人們已知道威脅來(lái)自于網(wǎng)絡(luò)釣魚、間諜軟件程序等多方面因素，但還是有許多人在上網(wǎng)時(shí)沒(méi)有養(yǎng)成防護(hù)的習(xí)慣，他們根本沒(méi)把這些危險(xiǎn)和自己聯(lián)系在一起，只圖方便，因此在接到要求后仍愿意透露數(shù)據(jù)，并未確信自己沒(méi)有上當(dāng)受騙。Marcus說(shuō): “人們以為出現(xiàn)在面前的網(wǎng)站就是正當(dāng)?shù)?，這種想法在網(wǎng)絡(luò)世界里是很危險(xiǎn)的。”

企業(yè)數(shù)據(jù)泄露：防患于未然

誰(shuí)都不想遭遇數(shù)據(jù)泄密事件，專門提供泄密后分析服務(wù)和軟件工具的Mandiant公司的首席執(zhí)行官Kevin Mandia忠告，CIO應(yīng)該對(duì)泄密事件發(fā)生后的對(duì)策有所準(zhǔn)備。一旦果真發(fā)

生了信息泄漏，每家公司都可以采取措施來(lái)減輕造成的影響。他說(shuō)，遺憾的是，大多數(shù)公司等到為時(shí)已晚的時(shí)候，才測(cè)試甚至制訂響應(yīng)策略。

Mandia說(shuō)，系統(tǒng)應(yīng)記下數(shù)據(jù)流動(dòng)情況，包括誰(shuí)在什么時(shí)候訪問(wèn)數(shù)據(jù)、哪些應(yīng)用軟件使用了這些數(shù)據(jù)，但鮮有公司這么做。他說(shuō): “我們看到的最常見(jiàn)錯(cuò)誤就是，公司請(qǐng)我們過(guò)去，我們首先問(wèn)的是有沒(méi)有任何相關(guān)文檔。對(duì)方往往會(huì)提供大量數(shù)據(jù)，卻沒(méi)有正式的文檔。技術(shù)人員在這方面做得很差，律師也沒(méi)有要求這樣做。所以幾乎無(wú)一例外的是，我們過(guò)去問(wèn)公司出了什么情況，對(duì)方根本答不上來(lái)。”

企業(yè)數(shù)據(jù)泄露：泄密后的保密工作

許多公司沒(méi)有任命某個(gè)領(lǐng)導(dǎo)人或者小組來(lái)負(fù)責(zé)響應(yīng)安全事件、查找重要細(xì)節(jié)，結(jié)果也大大限制了響應(yīng)事件的能力。在許多公司，這成了推卸責(zé)任的借口; 而另一些公司讓太多的人參與泄密事件響應(yīng)工作，結(jié)果這么多的人反而妨礙了相關(guān)的調(diào)查工作。

Mandia說(shuō): “有些公司讓太多的人參與決策過(guò)程。我們過(guò)去后，得向12個(gè)人說(shuō)明情況，但實(shí)際上其中有10個(gè)人并沒(méi)必要參加。”

另一個(gè)常見(jiàn)問(wèn)題是，許多公司通常沒(méi)有針對(duì)泄密事件進(jìn)行保密。這樣一來(lái)，員工聽(tīng)到風(fēng)聲后，會(huì)立即設(shè)法保護(hù)自身利益，從而加大了調(diào)查的難度。

Mandia表示，如果事件牽涉到內(nèi)部人員，他們知道行蹤敗露后，可能會(huì)立即清理掉一些證據(jù)(而這些證據(jù)原本可以幫助調(diào)查人員查明真相)，這樣就為確定責(zé)任帶來(lái)很大麻煩。
 

【編輯推薦】

1. 密碼破解原因竟是密碼過(guò)簡(jiǎn)
2. 網(wǎng)絡(luò)安全的四大誤區(qū)
3. 數(shù)據(jù)泄漏 避免“點(diǎn)炮”
4. 企業(yè)數(shù)據(jù)安全 MP3成為威脅
5. 面對(duì)社交網(wǎng)站 走鋼絲一般的數(shù)據(jù)保護(hù)