數(shù)據(jù)遭泄露的事件多次見(jiàn)諸媒體，這應(yīng)當(dāng)引起任何公司管理層的重視。管理者認(rèn)為安全的很多方面未必得到了應(yīng)有的適當(dāng)保護(hù)。有時(shí)，企業(yè)在不知不覺(jué)間就有可能將自身暴露于風(fēng)險(xiǎn)之中，且還不知道如何應(yīng)對(duì)。

[[129979]]

保障企業(yè)安全是一個(gè)需要考慮到很多方面的復(fù)雜問(wèn)題。例如，攻擊者可以借助第三方廠商取得企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)，這進(jìn)一步表明在內(nèi)部和外部邊界之間的安全漏洞。有時(shí)，在雇員打開(kāi)了一個(gè)被惡意軟件感染的郵件附件后，就會(huì)發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)，這進(jìn)一步凸顯了在整個(gè)企業(yè)中進(jìn)行安全培訓(xùn)的重要性。例如，前些日子鬧得沸沸揚(yáng)揚(yáng)的索尼被黑事件中，美國(guó)的聯(lián)邦調(diào)查局曾認(rèn)為是朝鮮黑客所為，但事后的證據(jù)表明：內(nèi)部心懷不滿的人員在攻擊中扮演了重要角色。

總體說(shuō)來(lái)，這類嚴(yán)重的安全事件表明漏洞存在于技術(shù)和人這兩方面因素中，而漏洞利用可能源自內(nèi)部或外部的有意或無(wú)意的行動(dòng)中。因而，全面的企業(yè)安全策略要求關(guān)注業(yè)務(wù)環(huán)境的所有方面，其中包括技術(shù)、策略、編制、人的行為分析等。

因而，企業(yè)進(jìn)一步反省在信息安全方面的錯(cuò)誤是很有必要的。本文將涉及企業(yè)在信息安全方面的常犯的錯(cuò)誤，并指出了解決此類問(wèn)題的出發(fā)點(diǎn)。

錯(cuò)誤1:各自為戰(zhàn)的陣營(yíng)

在很多大型的企業(yè)，實(shí)施安全的責(zé)任存在于兩個(gè)分離的陣營(yíng)中：一個(gè)是應(yīng)用程序的開(kāi)發(fā)人員，其責(zé)任就是將安全性構(gòu)建到業(yè)務(wù)應(yīng)用中，另一個(gè)是信息安全人員，其重要職責(zé)是圍繞業(yè)務(wù)應(yīng)用構(gòu)建安全防護(hù)。

上述做法雖然看似全面，但強(qiáng)健的外圍和應(yīng)用程序安全仍不能足以挫敗針對(duì)當(dāng)今網(wǎng)絡(luò)的復(fù)雜攻擊。應(yīng)用程序開(kāi)發(fā)者和信息安全的從業(yè)者之間的這種各自為戰(zhàn)的狀態(tài)會(huì)造成二者之間的知識(shí)差距，進(jìn)而影響系統(tǒng)過(guò)程和策略的緊密結(jié)合,因而會(huì)造成其連接界面中的漏洞。兩個(gè)陣營(yíng)在安全問(wèn)題上的差距持續(xù)存在，因?yàn)樗麄円圆煌难酃饪创龖?yīng)用或程序，并且其看問(wèn)題的優(yōu)先次序也不同。

解決此問(wèn)題的出發(fā)點(diǎn)

全面的企業(yè)安全得益于整體化的方法，其中的安全從業(yè)者和應(yīng)用程序的開(kāi)發(fā)者在項(xiàng)目的一開(kāi)始就緊密合作。上文談及的分離的陣營(yíng)可以通過(guò)形成一個(gè)軟件安全小組而連接起來(lái)。軟件安全小組應(yīng)當(dāng)有全面的背景和觀點(diǎn)。相關(guān)人員在項(xiàng)目開(kāi)始時(shí)就參與到小組中能夠?yàn)榭珀嚑I(yíng)的協(xié)作提供有效途徑。這種企業(yè)安全的整體化方法為應(yīng)用程序開(kāi)發(fā)、安全功能、網(wǎng)絡(luò)架構(gòu)、策略、過(guò)程的整合提供了基礎(chǔ)。

錯(cuò)誤2：標(biāo)準(zhǔn)不統(tǒng)一

企業(yè)環(huán)境的特點(diǎn)是多種操作系統(tǒng)、計(jì)算平臺(tái)、設(shè)備構(gòu)成日益復(fù)雜的網(wǎng)絡(luò)。其中的某些設(shè)備是由企業(yè)擁有并控制的，當(dāng)然還有一些不易控制的設(shè)備，如BYOD。此外，企業(yè)網(wǎng)絡(luò)往往在多個(gè)水平上跨越不同的邊界，例如，企業(yè)內(nèi)部的不同邊界(例如，不同部門)、企業(yè)之間的邊界(供應(yīng)商、客戶、合作伙伴等)、不同地理位置(例如，攜帶移動(dòng)設(shè)備的移動(dòng)雇員)。關(guān)于如何保障這種復(fù)雜網(wǎng)絡(luò)的安全性，企業(yè)的策略和過(guò)程需要不斷地發(fā)展，而制定這種策略和過(guò)程的相關(guān)人員都有其自己領(lǐng)域內(nèi)的安全觀念。

這種情況的麻煩在于，雖然對(duì)于特定的設(shè)備來(lái)說(shuō)，其要求和想法可能有效，但真正的安全漏洞存在于這些設(shè)備之間、不同系統(tǒng)的接口處及不同設(shè)備和系統(tǒng)之間的數(shù)據(jù)流中。在跨邊界的設(shè)備和網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，就可能導(dǎo)致安全失效問(wèn)題。任何人要想理全面地理解安全和功能時(shí)都會(huì)感到非常困難。

解決此問(wèn)題的出發(fā)點(diǎn)

制定跨邊界的融合性標(biāo)準(zhǔn)可以有助于企業(yè)在日益復(fù)雜的環(huán)境中增強(qiáng)安全性。企業(yè)可以考慮在其“安全意識(shí)”培訓(xùn)項(xiàng)目中增加基本培訓(xùn)和融合性(“混搭”)培訓(xùn)?；九嘤?xùn)的重點(diǎn)是安全和軟件開(kāi)發(fā)中的基本概念，即那些在培訓(xùn)項(xiàng)目中可能會(huì)涉及到的概念。融合性(“混搭”)培訓(xùn)圍繞這些概念展開(kāi)，并將其放在企業(yè)環(huán)境中，促進(jìn)跨企業(yè)的協(xié)作。

錯(cuò)誤3：將業(yè)務(wù)過(guò)程和可用性作為后添加的東西

例如，有的企業(yè)非常重視用戶體驗(yàn)，認(rèn)為用戶必須能夠輕松地使用系統(tǒng)，復(fù)雜的安全要求不應(yīng)影響自然的業(yè)務(wù)流程。當(dāng)業(yè)務(wù)流程和安全性產(chǎn)生矛盾時(shí)，安全性要向業(yè)務(wù)流程讓步。在便捷性和安全發(fā)生沖突時(shí)，便捷性往往能夠取勝。這個(gè)事實(shí)反映在口令問(wèn)題上就是：把寫有口令的紙條粘在顯示器上，等等。

解決此問(wèn)題的出發(fā)點(diǎn)

企業(yè)要確認(rèn)所有相關(guān)人員，其中涉及高級(jí)經(jīng)理、項(xiàng)目經(jīng)理、管理員、終端用戶、網(wǎng)絡(luò)和系統(tǒng)管理員、安全運(yùn)維人員、測(cè)試人員、開(kāi)發(fā)者、法律事務(wù)人員等，總之要確認(rèn)與企業(yè)運(yùn)營(yíng)的安全性有關(guān)的一切人員，要確保在項(xiàng)目的初始階段就考慮到業(yè)務(wù)的優(yōu)先次序、工作流程、可用性問(wèn)題等。在決定相關(guān)的人員時(shí)，不妨思考以下問(wèn)題：為什么這些人很重要?這些人的一般背景是什么?這些人在工作中有可能遇到的挑戰(zhàn)是什么?如何克服這些困難?這種對(duì)安全團(tuán)隊(duì)的更廣義的觀點(diǎn)可以促進(jìn)不同相關(guān)人員的相互協(xié)作。強(qiáng)健的安全并不僅僅指的是技術(shù);安全還應(yīng)當(dāng)構(gòu)建到工作流程中。#p#

錯(cuò)誤4：安全測(cè)試不充分

系統(tǒng)的功能操作規(guī)程描述了系統(tǒng)可以做什么。但安全漏洞往往與應(yīng)用程序的非功能性方面聯(lián)系在一起：即利用系統(tǒng)功能和目的之外的東西。不幸的是，許多企業(yè)將安全測(cè)試限定在功能測(cè)試上，而沒(méi)有測(cè)試應(yīng)當(dāng)被禁止的系統(tǒng)功能上。即使在交付軟件之前進(jìn)行了一些滲透測(cè)試，這種安全測(cè)試也無(wú)法充分地確認(rèn)有可能被攻擊者利用的潛在漏洞的范圍。

解決此問(wèn)題的出發(fā)點(diǎn)

企業(yè)應(yīng)該對(duì)功能操作規(guī)程進(jìn)行擴(kuò)展，使其既包括應(yīng)用程序的目的和功能，又包括不希望其實(shí)現(xiàn)的功能。同樣，安全測(cè)試也應(yīng)進(jìn)行相應(yīng)的擴(kuò)展，使其既可以測(cè)試期望其實(shí)現(xiàn)的功能，又能夠測(cè)試不期望業(yè)務(wù)應(yīng)用實(shí)現(xiàn)的功能。在測(cè)試時(shí)要有這種清醒的認(rèn)識(shí)，還要認(rèn)識(shí)到攻擊者可獲得的資源也越來(lái)越豐富，并且能夠采用逃避防御的技術(shù)。有了這種認(rèn)識(shí)后，保證測(cè)試人員和測(cè)試技術(shù)的多樣化是一個(gè)好方法。因?yàn)閷?duì)手是動(dòng)態(tài)變化的，是多種多樣的，他們有著各種動(dòng)機(jī)、背景、方法等等，所以安全保護(hù)團(tuán)隊(duì)也應(yīng)實(shí)現(xiàn)多樣化。

企業(yè)安全的聯(lián)手

企業(yè)安全是一種共同的責(zé)任，而且每個(gè)雇員都有其需要扮演的角色。企業(yè)信息安全責(zé)任不應(yīng)當(dāng)獨(dú)立于業(yè)務(wù)和運(yùn)營(yíng)的決策。企業(yè)應(yīng)當(dāng)構(gòu)建一個(gè)由有著安全、業(yè)務(wù)、技術(shù)等多種背景基礎(chǔ)的人員組成的多樣化團(tuán)隊(duì)，其目的是為了形成一種全面的安全決策。企業(yè)應(yīng)向所有的雇員強(qiáng)調(diào)以下三方面的重要性，一是維護(hù)適當(dāng)?shù)陌踩贫龋员Ｗo(hù)私密和敏感數(shù)據(jù);二是形成一種關(guān)于公司業(yè)務(wù)、安全、私密的策略;三是理解出現(xiàn)安全問(wèn)題后的補(bǔ)救過(guò)程，并考慮運(yùn)營(yíng)和道德問(wèn)題。

當(dāng)今的企業(yè)環(huán)境包含著一種由技術(shù)和人員兩方面的漏洞構(gòu)成的動(dòng)態(tài)交互。攻擊者不但可以攻擊設(shè)備、網(wǎng)絡(luò)、人員的漏洞，而且還可以利用這些因素之間的接口漏洞。這種環(huán)境要求對(duì)企業(yè)的安全使用一種整體化的方法，也就是將相關(guān)人員(如軟件開(kāi)發(fā)者、安全專家等)鏈接起來(lái)的整體化方法。

具體說(shuō)來(lái)，實(shí)施一種融合性方法有助于軟件開(kāi)發(fā)者和安全人員客服相互協(xié)作的困難，也助于企業(yè)管理分層安全的復(fù)雜性，并可以將新的應(yīng)用整合到已有的安全架構(gòu)中。從更廣義的角度說(shuō)，隨著企業(yè)面臨的環(huán)境日益復(fù)雜多變，采用融合性方法的企業(yè)將會(huì)更好解決上述問(wèn)題。