潛伏企業(yè)的十大網(wǎng)絡(luò)安全地雷（三）

添加日期：2010年7月6日 閱讀：715

    如果泄密事件牽涉到內(nèi)部人員，那么這些人便會通過各種渠道獲悉調(diào)查的進(jìn)展情況，就有可能拒絕說出有利于調(diào)查的事情，還會經(jīng)常掩蓋他們的行跡。
    8.可信賴的“銀彈”技術(shù)其實(shí)暗藏著真正的危險。
    當(dāng)涉及IT和數(shù)據(jù)安全的管制措施持續(xù)增多時，企業(yè)要投入大量的技術(shù)解決方案來彌補(bǔ)各種漏洞。然而企業(yè)普遍以為安裝某種特殊技術(shù)，或能夠滿足某一方面監(jiān)管的解決方案就是一顆“銀彈”（指能解決問題的高招）。其實(shí)不然。
    “我遇見的*大的問題就是人們普遍認(rèn)為像部署防病毒軟件、補(bǔ)丁、漏洞掃描等簡單功能就以為沒事了。他們根本沒有從風(fēng)險管理的立場去對待安全問題——而只是在檢查系統(tǒng)而已�！盨ecurityIncite的分析師MikeRothman說。
    企業(yè)往往就是這樣的一個傻瓜天堂，他們以為除了對其有限的安全系統(tǒng)做做審計，確認(rèn)有沒有及時升級之外就無事可做了�！叭藗兂３Ｒ詾�，只要他們進(jìn)行主動的審計，就萬事大吉了�！盧othman說�！坝谑菈娜司蜁�向他們證明，他們做的遠(yuǎn)遠(yuǎn)不夠。”
    9.在不該投入的地方浪費(fèi)了對付重大危險所需的資源。
    和法規(guī)遵從相關(guān)的另一個安全陷阱就是很多企業(yè)經(jīng)常會對重要性完全不同的安全等級投入相同的人力和物力，Rothman說。
    “一些人的錯誤就在于，對所有的安全問題都一視同仁，在所有客戶都使用的某個在線應(yīng)用上花費(fèi)的安全支出，和在只有5個人使用的舊的應(yīng)用上花費(fèi)的同樣多。”
    這種方式不但浪費(fèi)金錢，而且還會把很多重大的問題拖到以后再去處理——一旦預(yù)算用光，也可能就此再也不去解決了�！鞍踩�人員往往不知道究竟什么事情應(yīng)該優(yōu)先考慮，”Rothman說�！八麄冋鎽�(yīng)該試試看如果某事做壞了會產(chǎn)生什么結(jié)果，然后就知道該把錢花在哪里了。”
    10.不要存儲不必要的數(shù)據(jù)。
    還有一種較常見的情形是安全和法規(guī)遵從導(dǎo)致的災(zāi)難，很多企業(yè)在處理信用卡和借記卡時會無意中遺漏存有賬戶信息的交易日志系統(tǒng)。而這種日志就可能導(dǎo)致客戶數(shù)據(jù)的外泄，以及PCI（支付卡行業(yè)）審計的失效。
    “他們自然意識不到，就在他們存儲數(shù)據(jù)時，黑客或者心懷惡意的員工就可以復(fù)制假信用卡�！辟愰T鐵克的Roop說�！斑@是PCI法規(guī)遵從的基礎(chǔ)性錯誤。在*近的案例中我們實(shí)際上已看到過這種例子。它是個大地雷，極有可能導(dǎo)致無效的PCI審計�！�
    Roop認(rèn)為，企業(yè)其實(shí)沒必要收集支付卡信息，只須存儲對他們的業(yè)務(wù)有用的信息便可。他建議說，把所有信息都抓在手里就有可能被攻擊者濫用，沒必要儲存的信息只會帶來麻煩。如果必須保留此類信息的話，那就必須構(gòu)建一種能夠有效保護(hù)信息的辦法。 
        責(zé)任編輯：小季     atm-sprinta.com    2010-7-6 9:49:37

文章來源：