IT须持有的安全观(九):防泄密疏“蚁穴”

作者: TEC 分类: 安全前沿 发布时间: 2013-10-23 13:56 ė 6没有评论

古代,临近黄河岸边有一片村庄,为防止水患,农民筑起了巍峨的长堤。一天有个老农偶尔发现堤中蚂蚁窝猛增了许多,于是很担心这会影响长堤的安全呢?正要回村去报告,老农遇见了他的儿子。儿子听后不以为然地说:那么坚固的长堤,还害怕几只小小蚂蚁吗?随即拉着老农一起下田了。当天晚上风雨交加,黄河水暴涨。咆哮的河水从蚂蚁窝始而渗透,继而喷射,终于冲决长堤,淹没了沿岸的大片村庄和田野。

 

“蚁穴”在哪里?

小小蚁穴,不加防范,也能溃堤,这样的情形在企业信息泄露防护时同样适用。大部分的信息泄露事件,都起因于对一些技术或制度上的小漏洞的忽视。比如在企业中非常普遍的弱密码现象,尽管大家都知道密码太简单容易被破解,但毕竟不是自己的资产,警惕性没那么高,加上长密码难记易忘,弱密码就一直像寄生虫一样始终寄存在企业之中,时时刻刻挑战企业的安全底线。而企业的管理层往往对此却任其自然,没有意识去采取任何措施改善。后果可想而知,信息泄露乃至被拖库如家常便饭般出现,一次又一次地将企业脆弱的信息泄露防护线摧残得体无完肤,惨不忍睹。

 

溢信发现,这些因小失大的信息泄露事故多发生在传统行业中。传统企业在安全生产方面的意识已经非常强烈,关于遵守规章保证安全生产的标语往往贴满整个企业。但是对于信息安全,传统企业的管理者们却表现出了相当程度的不理解、不重视。虽然信息化给传统产业带来了巨大的变化,提高了生产效率,但信息化水仍然不够高,且信息安全对其来说距离更远,更模糊更抽象,更缺乏牢固的意识。

 

“蚁穴”难填?

虽然几乎所有开始信息化的企业都会安装防火墙、杀毒软件等,但这些所谓的标配其实已经成为一种下意识的行为,它们与信息化几乎形成一种连体的关系,与自觉的、理性的信息泄露防护无关。如今信息安全形势早已发生变化,以逐利为目的各种企业内部信息盗取成为信息泄露防护的主要对象。道高一尺,魔高一丈,由恶意竞争、信息贩卖、离职泄密等驱动的各种泄密行为如洪水般从四面八方涌向企业。溢信认为,目前这个信息化车轮正滚滚向前,而信息安全却尚处蹒跚而行的阶段,正是非法信息攫取者获利的红利时代,而出让这种红利的正是企业本身。很多企业管理者并没有看到这些,由此导致企业的信息泄露防护长期处于一种落后的状态。

 

即便如此,也并不是说企业的信息泄露防护需要多么强大、高级的技术,落后是整体上的。实际上大部分的信息失窃事件并不需要多么高深的入侵技术,根据Verizon2012年度数据泄露调查报告,96%的信息泄露事件并不困难。换句话说,大多数失窃事件在攻击前都可以通过基本的防护措施即可避免。可惜的是很多企业并没有意识那些看起来很普通、很细微的基础性信息泄露防护措施的重要性有多大。因此,虽然只要采取不太复杂的措施就能建立起更加有效的防泄密体系,比如为弱密码制定密码复杂度配置,但很多企业并没有这样做。

 

谨小慎微可自足

在西方有这样一个歌谣:钉子缺,蹄铁卸;蹄铁卸,战马蹶;战马蹶,骑士绝;骑士绝,战事折;战事折,国家灭。背后的故事是,英国国王理查三世在平息叛乱时,负责为为国王战马钉掌的铁匠找不到足够的钉子,导致最后一只马掌还缺两只钉子。但战事紧急,理查三世也没有太在意。当他骑马领着他的士兵冲锋陷阵英勇杀敌时,一只马掌突然脱落,战马跌翻,理查也被重重摔在地上,为敌人俘虏,他仰天长啸,悔不当初。相信没有企业愿意落到像理查一样的结局,这决定于企业在面临信息安全威胁时是否做出改变。

 

这个世界上不存在绝对的安全,当然企业也不需要绝对的信息安全,只要将信息风险控制在企业可控的范围内就可以了。而对于这个目标,企业它不需要花费过多的代价就能达到。只要时时刻刻关注自身的安全需求,及时将一些信息安全的小漏洞解决,就能使企业自身的信息泄露防护体系有效运行。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=1363

0

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部