【51CTO.com快譯自7月15日外電頭條】對于企業(yè)中的IT管理人員來說，來自內(nèi)部的威脅是最讓人頭疼的，Web2.0的實施、法規(guī)遵從以及各項應用都密切影響著企業(yè)的安全性。日前，Cisco發(fā)布了半年一度的威脅報告，對如何解決這些密切相關的問題給出了常規(guī)建議。

最難以抵御的似乎就是內(nèi)部威脅

這個問題是近期的新聞熱點，一些能源企業(yè)和美國國務院成為了最出名的受害者。

“有三個原因造成內(nèi)部威脅問題越來越嚴重，”Cisco高級研究人員兼首席安全官Patrick Peterson說?！笆紫仁墙?jīng)濟問題，許多員工出于絕望而卷入了違法活動。第二個原因是雇主與雇員之間的關系發(fā)生了變化，員工們現(xiàn)在越來越不信任他們的雇主。第三個原因是全球化和外包服務的擴展?！?/P>

針對這一威脅，Peterson說，企業(yè)需要擁有強健的識別和審計機制，但也不能矯枉過正。他指出，比如蒙大拿州波茲曼市最近要求求職者必須提供出他們在各種社交網(wǎng)站上的所有賬戶名和密碼，“他們確實注意到了真正的威脅，但他們執(zhí)行的策略可能是非法的，而且肯定是不必要的”他說。

Peterson說，企業(yè)必須能夠識別風險，并且針對具體的工作職能和業(yè)務范圍來應用不同的策略?！安豢赡艽嬖谝粋€一刀切的政策，”他說，“我們以前曾多次強調(diào)，你必須要對風險進行充分了解?！?/P>

“然而許多企業(yè)并不把重點放在深入了解風險上，并且沒有制定如何最小化風險的戰(zhàn)略，這是多么令人吃驚，”Peterson承認現(xiàn)在的事實是安全策略往往過于受到遵從性的影響，而不是根據(jù)風險管理來制定。此前，51CTO.com此前發(fā)表的文章中介紹了實現(xiàn)風險管理的六大評估方法，專家也建議，風險評估的意義在于對風險的認識，而風險的處理過程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對同類的風險因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風險評估的成本。

Peterson解釋說，這意味著他們必須在問題出現(xiàn)后才開始解決問題。任何人都不應當還在為一個兩年前就已經(jīng)確定的問題費力，但在現(xiàn)實世界中，有許多人還是這樣。

“CSO（首席安全官）們必須發(fā)揮領導作用，看看現(xiàn)實世界中的風險問題，”他說。他指出，有些行業(yè)往往要等到問題發(fā)展到出現(xiàn)狀況，比如金融服務行業(yè)的企業(yè)們，他們一般要等到某個同行因為安全問題而上了報紙的大標題時，才著手解決問題。Peterson說當發(fā)生這種情況時，他們至少還應該努力找出為什么沒有在閱讀新聞之前發(fā)現(xiàn)問題。

軟件開發(fā)將得到保護

新的軟件開發(fā)平臺可以幫助企業(yè)在開發(fā)新應用時管理內(nèi)部威脅的問題。IBM發(fā)布了基于云計算的授權軟件來解決這個問題。開源項目TeamForge也做出承諾來幫助企業(yè)處理好這個問題。

Verizon Business在上周宣布了提供一項應用安全服務，能夠幫助企業(yè)管理整個項目生命周期，甚至改善他們的軟件開發(fā)流程。

Peterson說這些服務是的確是企業(yè)需要的?！伴_發(fā)工作變得更加快速復雜，現(xiàn)在的風險比以往要高得多，如果你出現(xiàn)錯誤，尤其是網(wǎng)絡應用，”他說，“壞家伙們的攻擊來得這么快?！?/P>

SaaS和Web 2.0

很多企業(yè)非常關注Web 2.0，他們應該了解它能夠為他們帶來什么，但同時也不能忽視風險?！鞍踩{和傳染病有很多相似的地方，” Peterson說，“尤其是社區(qū)網(wǎng)絡，有些社區(qū)網(wǎng)簡直是我的噩夢，就好像一位傳染病醫(yī)生看到屋子里的每個人都在向別人打噴嚏那樣?！?

想要降低風險就要以犧牲性能為代價。Peterson說，他使用過的最安全的電子郵件服務還是1987年他在斯坦福大學讀本科那時候?！拔铱梢越o學校里的任何人發(fā)送電子郵件，這比我現(xiàn)在使用的更安全，但它的功能放現(xiàn)在連小兒科都說不上了，”他說。

社區(qū)網(wǎng)絡的安全策略必須建立在真實數(shù)據(jù)的基礎上。如果繼續(xù)隨心所欲，無論是用戶還是IT部門最終都會焦頭爛額。

怎樣進行培訓

關于如何進行安全培訓，Peterson認為視頻的力量比文字強大得多，即使是進行高級別的培訓?！爱斘夷贸鲆曨l，讓他們親眼看看那些瀏覽網(wǎng)頁的人發(fā)生了什么事，這時即使是那些已經(jīng)很懂行的安全人員，他們的眼睛也會發(fā)亮，我知道他們又有了新的理解，”他說。

“你不能只說‘不要碰爐子，燙手’或者‘小心Windows ActiveX的漏洞’之類的空話，你需要實質(zhì)性的溝通。一旦他們明白‘有些人想要傷害我和企業(yè)’，就已經(jīng)成功了一半，”他說。

企業(yè)的安全指導方針不能太長，要便于記憶，縮短指導方針的方法之一是為特定的工作職能或業(yè)務范圍分別定制指導方針。另外他補充到，許多安全策略的書籍都是十多年前寫的了，而現(xiàn)在需要關注的項目增加了很多，但沒有一項可以刪除。

【編輯推薦】

1. 完全解密企業(yè)信息安全風險評估
2. 信息系統(tǒng)安全風險評估應用：基礎知識
3. 信息系統(tǒng)安全風險評估應用：評估過程

【51CTO.com譯稿，非經(jīng)授權請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Cisco Threat Report Deals With Internal Issues  作者：Alex Goldman