前不久，美國(guó)中央情報(bào)局局長(zhǎng)約翰·布倫南和國(guó)土安全部部長(zhǎng)約翰遜的個(gè)人電子郵件地址居然被一個(gè)十幾歲的小孩子給黑了。這種事情不是第一次，當(dāng)然也不會(huì)是最后一次。在信息安全事件越來越稀松平常的今天，連對(duì)入侵技術(shù)知之甚少的業(yè)余“黑客”都參與進(jìn)來，“應(yīng)對(duì)網(wǎng)絡(luò)安全威脅”也變得任重而道遠(yuǎn)。

[[161320]]

在上述事件中，布倫南和約翰遜的個(gè)人電子郵件帳戶就是通過非常簡(jiǎn)單的手段進(jìn)行攻破的。該少年假扮成個(gè)人信息被泄露的受害者，并使用這些信息請(qǐng)求郵件服務(wù)提供商重置密碼，從而獲得這些電子郵件賬戶的無限制訪問權(quán)限。

由于該攻擊并沒有對(duì)企業(yè)或政府系統(tǒng)進(jìn)行攻擊就輕松獲取到了電子郵件賬戶的訪問權(quán)限，從而更加凸顯出網(wǎng)絡(luò)安全的重要性以及對(duì)更加全面的安全保障的需求。

我們應(yīng)該意識(shí)到，僅僅使用網(wǎng)絡(luò)安全工具是無法阻止像布倫南和約翰遜之類事件的發(fā)生的。各公司的高管們也必須明白，要減輕安全風(fēng)險(xiǎn)、為你的企業(yè)保駕護(hù)航，無論是常識(shí)性的手段還是網(wǎng)絡(luò)安全工具，都需要提供非常全面的方法。

為了幫助各公司掌門人制定出安全場(chǎng)景(框架)和評(píng)估系統(tǒng)，建議使用對(duì)于人員、流程和系統(tǒng)有意義的標(biāo)準(zhǔn)業(yè)務(wù)方法，對(duì)安全場(chǎng)景中的性能進(jìn)行組織和管理。建立可視化指示器，對(duì)安全狀況進(jìn)行持續(xù)報(bào)告，對(duì)存在什么、失去什么進(jìn)行持續(xù)跟蹤并發(fā)出通知。

下面是一個(gè)非常全面的安全場(chǎng)景示例：

* 此示例中的安全狀況基于行業(yè)中標(biāo)準(zhǔn)的安全概念

每個(gè)企業(yè)的安全情況或許各不相同，但這張圖表所說的是與信息安全相關(guān)的主要領(lǐng)域。并且，相關(guān)的風(fēng)險(xiǎn)都經(jīng)過了簡(jiǎn)化，嵌入到安全場(chǎng)景的有超過100多種基于行業(yè)標(biāo)準(zhǔn)的安全框架詳細(xì)的控制過程，如NIST 800和ISO 27000。

作為企業(yè)的老板，應(yīng)該詢問安全團(tuán)隊(duì)當(dāng)前的安全計(jì)劃如何解決上述安全場(chǎng)景中的問題，至少應(yīng)該詢問安全團(tuán)隊(duì)如下問題：

一、風(fēng)險(xiǎn)評(píng)估方面

1、是否進(jìn)行過安全風(fēng)險(xiǎn)評(píng)估?

2、公司最重要的安全風(fēng)險(xiǎn)是什么?

3、公司的安全策略是按照風(fēng)險(xiǎn)評(píng)估的優(yōu)先級(jí)建立的嗎?如果不是，為什么?

二、人員方面

1、公司是如何組織安全事務(wù)的?

2、公司是否有首席安全官(CIO)或首席信息安全官(CISO)?如果有，他們向誰匯報(bào)?

3、首席安全官或首席信息安全官是否有因?yàn)橄蚪M織匯報(bào)場(chǎng)所的原因而引起安全泄漏的風(fēng)險(xiǎn)?

4、對(duì)新員工有什么樣的安全要求?

5、新員工是否具備與他們工作能力相適應(yīng)安全防范水準(zhǔn)?

6、是否要求員工遵守安全規(guī)程?如何遵守?

7、如何開展安全培訓(xùn)?

8、安全培訓(xùn)是一次性開展，還是持續(xù)開展?

9、員工是否定期了解新的安全風(fēng)險(xiǎn)和威脅?

三、流程方面

1、公司是否有成文的安全規(guī)程?遵守情況如何?

2、安全規(guī)程是束之高閣，還是投入使用、經(jīng)常更新?

3、在業(yè)務(wù)實(shí)踐中，如何進(jìn)行安全規(guī)程方面的溝通?

4、是否對(duì)安全進(jìn)行審計(jì)?

5、是否有針對(duì)第三方應(yīng)用安全規(guī)程的管理流程?

6、網(wǎng)絡(luò)信息安全是否已納入公司可持續(xù)發(fā)展規(guī)劃?

7、公司在進(jìn)行產(chǎn)品和服務(wù)采購(gòu)時(shí)，是否正式考慮過安全方面的影響?

8、如果發(fā)生了安全事故，會(huì)采取什么樣流程?

四、系統(tǒng)方面

1、如何解決重大安全控制和網(wǎng)絡(luò)安全控制?

2、是否有可以理解的安全工具描述?

3、系統(tǒng)針對(duì)已授權(quán)個(gè)人是否僅提供必要且必需的訪問?

4、通俗地講，是如何實(shí)現(xiàn)針對(duì)已授權(quán)個(gè)人僅提供必要且必需的訪問的?

5、系統(tǒng)授權(quán)訪問的方式是否存在風(fēng)險(xiǎn)?

6、誰對(duì)物理安全負(fù)責(zé)?如果不是首席安全官或首席信息安全官，物理安全事務(wù)如何與首席安全官或首席信息安全官如何協(xié)調(diào)一致?

7、如何進(jìn)行信息安全監(jiān)測(cè)?

以上僅是企業(yè)老板應(yīng)該向其安全團(tuán)隊(duì)詢問的部分問題。

為了企業(yè)的網(wǎng)絡(luò)信息安全事務(wù)切實(shí)地得到落實(shí)，企業(yè)的負(fù)責(zé)人也應(yīng)該自學(xué)一些基本的安全常識(shí)，只有這樣，才能在詢問安全團(tuán)隊(duì)有關(guān)企業(yè)網(wǎng)絡(luò)信息安全狀況時(shí)能夠很好的理解他們的解釋;只有這樣，作為企業(yè)老板才對(duì)自己企業(yè)的網(wǎng)絡(luò)信息安全防護(hù)更有信心;只有這樣，才能更好地收到安全團(tuán)隊(duì)的相關(guān)安全匯報(bào);只有這樣，企業(yè)才能夠更好地專注于業(yè)務(wù)的發(fā)展，公司的前景才能夠蒸蒸日上。

原文地址：http://www.aqniu.com/neo-points/12899.html