老黄说安全:安全观之我见——无事不与安全同

发表回复

当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。–海因里希法则

1941年美国的海因里西统计了55万件机械事故,其中死亡、重伤事故1666件,轻伤48334件,其余则为无伤害事故。从而得出一个重要结论,即在机械事故中,死亡、重伤、轻伤和无伤害事故的比例为1:29:300,国际上把这一法则叫事故法则。

再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。

  • 85%的泄露事件并不十分困难的。
  • 只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
  • 高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。
  • 在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。

通过以上两组数据,我们看出在企业安全事故中,那些难度高、概率小、危害大的事故仅仅占很小的一部分,而那些危害轻微,难度小的部分则居大头。为什么会这样?上面的数据已经为我们给出了解释:不遵守安全规则。而对于为何制定的安全策略得不到有力执行,相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理,以为眼下没发生安全事件、没造成危害,就是安全。因此满足于眼前的风平浪静,殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员,尤其是做安全管理的人员,要明确的知道:无事不与安全同。

[……]

查看更多

溢信每周信息防泄露简报-2012第17周

发表回复

又到溢信每周信息防泄露简报时间了,从本期开始,按惯例在每周周五发布的短评,将改在次周的周二至周三发布,以便于更完整的收集上一周的安全新闻与事件素材,还请大家能一如既往的关注!

本周,大家似乎把所有的关注目光都投向了传说中的“皮鞋,一时之间似乎再没有什么能放心食用的。影响巨大的安全事件甚至事故的出现,有时能刺激有关部门作出重要而影响深远的政策改进,就像CSDN的600万客户信息间接催生了个人隐私保护条例的出台一样,希望这次的食品与药品安全危机在收获教训的同时,获得蜕变的契机,而不是无疾而终。

闲话少说,看看过去一周有哪些信息安全相关的新闻和事件发生吧!

[……]

查看更多

老黄说安全:安全观之我见——信息安全是一种生产要素

发表回复

人生活在世界上,必然会有自己的价值观、世界观、人生观等等,这些将决定他的生活层次与状态,做信息安全也是一样的道理。在与客户的接触过程中,不少人曾向我问及对安全的一些看法,那下面就跟大家一起谈谈我的安全观。

[……]

查看更多

应用解析–如何实现企业级数据加密技术

发表回复

数据安全性在未来几年会有一个快速发展的过程。IT近二十年高速发展使得数据的重要性越来越得以接受,并通过各类技术实现数据的高速访问和不间断运行,这点可以从市场上已有的各类数据容灾、备份产品中看出,其中不乏一线存储和专业厂商的旗舰级产品。而在数据安全领域,虽然相关讨论不绝于耳,但相应市场和应用状况较数据可用性产品仍明显地迟缓。

数据加密产品有其应用领域的特殊性,许多行业出于安全性的考虑会有一些相应的产品属性限制,比如限制产品所应用的技术专利或加密算法应当归属在本国国内或通过相应认证。这在一定程度上影响了数据安全类技术的通用性和规模市场效应。不过也正因此,随着国内外日益增多的安全事件,数据加密产品正处于百花齐放的发展阶段。

[……]

查看更多

溢信每周信息防泄露简报-2012第16周

发表回复

4月第二周,每周信息防泄露简报又准时跟大家见面了。本周某日神州统一的那个报纸头条不会天天出现,也与普通的我们无关,作为IT人,我们还是来关注一下有哪些数据安全和信息防泄漏的新闻值得我们一看吧!

[……]

查看更多

溢信每周信息防泄露简报-2012第15周

发表回复

清明时节雨纷纷,最近的天气应了这个说法。过了个清明假期,相信部分读者还在“节后综合症”状态,另外部分度小黄金周假期的同志,此刻更是还在各地美景中流连忘返吧。闲话不多说,安全圈不会停止流动,每天都有新事发生,就让我们看一下2012年第15周,又有哪些信息安全新闻发生吧!

[……]

查看更多

2011年IP-guard功能选择排行榜(下)

发表回复

在上一篇2011年IP-guard功能选择排行榜(上)中,小编为大家介绍了IP-guard最受欢迎十大模块中的前五位“明星”——文档透明加密、移动存储管控、邮件管理、即时通讯管理、文档操作管控,大家似乎觉得意犹未尽。下面,针对资产管理、设备管理、打印管理、应用程序管理、网页浏览管理这5大受客户欢迎的模块,小编再次为大家详细解述。[……]

查看更多

如何将来自IP-guard的邮件加入白名单

发表回复

为了更好的服务IP-guard的广大客户,以及关心IP-guard和内网安全行业的用户,溢信科技自2010年开始,定期制作了一系列的电子邮件。这当中包括IP-guard的信息,如近期的版本升级、功能指引、用法攻略等,也有IP-guard近期与客户的合作动向、内网安全行业的动态等。我们相信这些邮件可以更好的服务于我们的客户,并一直在持续改进邮件的内容。

同时,一直以来有部分用户反映,来自IP-guard的订阅邮件被邮箱提供商放进了垃圾邮件分类,无法正常的收取和阅读。解决这个问题的一个方式,是将IP-guard的发信地址加入你邮箱的白名单。为此,我们搜集了一些常用邮箱白名单的设置方式,希望能对需要的用户有所帮助!

小提示:这些方法对来自其他订阅邮件提供商也同样适用哦!)

[……]

查看更多

金融行业信息之殇与安

发表回复

在众多行业里面,银行、证券等机构掌握的敏感数据较多,属于涉密级别极高的行业。因此,不管是金融监管等机构,还是金融企业自身,对信息安全都有着严格的要求。然而,金融行业信息泄露案例却依然不绝于耳,尤其是“3•15晚会”上揭露的招行、工行、农行等银行内部人员窃取、贩卖客户信息这一消息让人感到惊心。

本该有着严密内控管理的银行却“祸起萧墙”?我们就透过这一起内部泄密事件所暴露出的问题,深入分析金融行业应如何进行内部信息防泄露建设,提高安全防御强度,重塑社会公众对银行、证券等金融机构的信心。

从此次“3•15晚会”曝出的银行泄密事件来看,暴露出来的问题主要有以下几个方面:

1、对信息访问、程序应用等操作权限设置过于宽泛。如银行的员工可随意访问征信系统内的所有数据,还能通过邮件、打印扫描等方式将信息外泄出去;

2、忽视审计。此次事件泄露的信息共3千多份,泄密人员应该不止进行一次操作,但银行却没能通过审计及时发现其中的异常;

3、缺乏内部管理力度。企业没有按照监管机构规定制定相应的内控制度,或者虽然有严密的内控制度却没有严格执行,规章制度形同虚设。

导致上述问题主要有两方面的原因,一方面是这些企业防泄露工作没有形成系统化的流程,信息防泄露工作是一个长期的过程,并不是安装上一些产品就等于拥有了一个真正的安全体系;另一方面是企业对防泄露项目的执行力不足,对于金融行业来说,在安全建设方面都有很大程度的投入,却因没有很好地落实,没能真正解决信息安全问题。

构建完善的信息防泄露体系,需要系统的思路做指导以及良好的执行力加以配合。信息安全管理体系要求(ISO27001)等标准中引入了PDCA工作模式对企业信息安全管理体系进行指导。PDCA是管理学中的一个通用模型,包括P(Plan)—计划;D(Do)—执行;C(Check)—检查;A(Act)—纠正四个步骤,它是有效进行任何一项工作的过程模式。信息防泄露作为企业信息安全工作的一个分支,这一模式同样也适用于信息防泄露项目中。

下面结合金融企业实际应用情况,讲述企业如何参照PDCA进行信息防泄露,形成“主动防御——有的放矢——效果可见——持续改进”的信息防泄露流程,最大限度保障信息安全,并满足国家、金融监管部门对金融企业信息安全建设的要求。[……]

查看更多