日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

數據遭泄露的事件多次見諸媒體，這應當引起任何公司管理層的重視。管理者認為安全的很多方面未必得到了應有的適當保護。有時，企業(yè)在不知不覺間就有可能將自身暴露于風險之中，且還不知道如何應對。

創(chuàng)新互聯是專業(yè)的昆玉網站建設公司，昆玉接單;提供網站制作、網站設計,網頁設計,網站設計,建網站,PHP網站建設等專業(yè)做網站服務;采用PHP框架,可快速的進行昆玉網站開發(fā)網頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網站,專業(yè)的做網站團隊,希望更多企業(yè)前來合作!

保障企業(yè)安全是一個需要考慮到很多方面的復雜問題。例如，攻擊者可以借助第三方廠商取得企業(yè)網絡的訪問權，這進一步表明在內部和外部邊界之間的安全漏洞。有時，在雇員打開了一個被惡意軟件感染的郵件附件后，就會發(fā)生數據泄露的風險，這進一步凸顯了在整個企業(yè)中進行安全培訓的重要性。例如，前些日子鬧得沸沸揚揚的索尼被黑事件中，美國的聯邦調查局曾認為是朝鮮黑客所為，但事后的證據表明：內部心懷不滿的人員在攻擊中扮演了重要角色。

總體說來，這類嚴重的安全事件表明漏洞存在于技術和人這兩方面因素中，而漏洞利用可能源自內部或外部的有意或無意的行動中。因而，全面的企業(yè)安全策略要求關注業(yè)務環(huán)境的所有方面，其中包括技術、策略、編制、人的行為分析等。

因而，企業(yè)進一步反省在信息安全方面的錯誤是很有必要的。本文將涉及企業(yè)在信息安全方面的常犯的錯誤，并指出了解決此類問題的出發(fā)點。

錯誤1:各自為戰(zhàn)的陣營

在很多大型的企業(yè)，實施安全的責任存在于兩個分離的陣營中：一個是應用程序的開發(fā)人員，其責任就是將安全性構建到業(yè)務應用中，另一個是信息安全人員，其重要職責是圍繞業(yè)務應用構建安全防護。

上述做法雖然看似全面，但強健的外圍和應用程序安全仍不能足以挫敗針對當今網絡的復雜攻擊。應用程序開發(fā)者和信息安全的從業(yè)者之間的這種各自為戰(zhàn)的狀態(tài)會造成二者之間的知識差距，進而影響系統(tǒng)過程和策略的緊密結合,因而會造成其連接界面中的漏洞。兩個陣營在安全問題上的差距持續(xù)存在，因為他們以不同的眼光看待應用或程序，并且其看問題的優(yōu)先次序也不同。

解決此問題的出發(fā)點

全面的企業(yè)安全得益于整體化的方法，其中的安全從業(yè)者和應用程序的開發(fā)者在項目的一開始就緊密合作。上文談及的分離的陣營可以通過形成一個軟件安全小組而連接起來。軟件安全小組應當有全面的背景和觀點。相關人員在項目開始時就參與到小組中能夠為跨陣營的協(xié)作提供有效途徑。這種企業(yè)安全的整體化方法為應用程序開發(fā)、安全功能、網絡架構、策略、過程的整合提供了基礎。

錯誤2：標準不統(tǒng)一

企業(yè)環(huán)境的特點是多種操作系統(tǒng)、計算平臺、設備構成日益復雜的網絡。其中的某些設備是由企業(yè)擁有并控制的，當然還有一些不易控制的設備，如BYOD。此外，企業(yè)網絡往往在多個水平上跨越不同的邊界，例如，企業(yè)內部的不同邊界(例如，不同部門)、企業(yè)之間的邊界(供應商、客戶、合作伙伴等)、不同地理位置(例如，攜帶移動設備的移動雇員)。關于如何保障這種復雜網絡的安全性，企業(yè)的策略和過程需要不斷地發(fā)展，而制定這種策略和過程的相關人員都有其自己領域內的安全觀念。

這種情況的麻煩在于，雖然對于特定的設備來說，其要求和想法可能有效，但真正的安全漏洞存在于這些設備之間、不同系統(tǒng)的接口處及不同設備和系統(tǒng)之間的數據流中。在跨邊界的設備和網絡出現問題時，就可能導致安全失效問題。任何人要想理全面地理解安全和功能時都會感到非常困難。

解決此問題的出發(fā)點

制定跨邊界的融合性標準可以有助于企業(yè)在日益復雜的環(huán)境中增強安全性。企業(yè)可以考慮在其“安全意識”培訓項目中增加基本培訓和融合性(“混搭”)培訓?；九嘤柕闹攸c是安全和軟件開發(fā)中的基本概念，即那些在培訓項目中可能會涉及到的概念。融合性(“混搭”)培訓圍繞這些概念展開，并將其放在企業(yè)環(huán)境中，促進跨企業(yè)的協(xié)作。

錯誤3：將業(yè)務過程和可用性作為后添加的東西

例如，有的企業(yè)非常重視用戶體驗，認為用戶必須能夠輕松地使用系統(tǒng)，復雜的安全要求不應影響自然的業(yè)務流程。當業(yè)務流程和安全性產生矛盾時，安全性要向業(yè)務流程讓步。在便捷性和安全發(fā)生沖突時，便捷性往往能夠取勝。這個事實反映在口令問題上就是：把寫有口令的紙條粘在顯示器上，等等。

解決此問題的出發(fā)點

企業(yè)要確認所有相關人員，其中涉及高級經理、項目經理、管理員、終端用戶、網絡和系統(tǒng)管理員、安全運維人員、測試人員、開發(fā)者、法律事務人員等，總之要確認與企業(yè)運營的安全性有關的一切人員，要確保在項目的初始階段就考慮到業(yè)務的優(yōu)先次序、工作流程、可用性問題等。在決定相關的人員時，不妨思考以下問題：為什么這些人很重要?這些人的一般背景是什么?這些人在工作中有可能遇到的挑戰(zhàn)是什么?如何克服這些困難?這種對安全團隊的更廣義的觀點可以促進不同相關人員的相互協(xié)作。強健的安全并不僅僅指的是技術;安全還應當構建到工作流程中。#p#

錯誤4：安全測試不充分

系統(tǒng)的功能操作規(guī)程描述了系統(tǒng)可以做什么。但安全漏洞往往與應用程序的非功能性方面聯系在一起：即利用系統(tǒng)功能和目的之外的東西。不幸的是，許多企業(yè)將安全測試限定在功能測試上，而沒有測試應當被禁止的系統(tǒng)功能上。即使在交付軟件之前進行了一些滲透測試，這種安全測試也無法充分地確認有可能被攻擊者利用的潛在漏洞的范圍。

解決此問題的出發(fā)點

企業(yè)應該對功能操作規(guī)程進行擴展，使其既包括應用程序的目的和功能，又包括不希望其實現的功能。同樣，安全測試也應進行相應的擴展，使其既可以測試期望其實現的功能，又能夠測試不期望業(yè)務應用實現的功能。在測試時要有這種清醒的認識，還要認識到攻擊者可獲得的資源也越來越豐富，并且能夠采用逃避防御的技術。有了這種認識后，保證測試人員和測試技術的多樣化是一個好方法。因為對手是動態(tài)變化的，是多種多樣的，他們有著各種動機、背景、方法等等，所以安全保護團隊也應實現多樣化。

企業(yè)安全的聯手

企業(yè)安全是一種共同的責任，而且每個雇員都有其需要扮演的角色。企業(yè)信息安全責任不應當獨立于業(yè)務和運營的決策。企業(yè)應當構建一個由有著安全、業(yè)務、技術等多種背景基礎的人員組成的多樣化團隊，其目的是為了形成一種全面的安全決策。企業(yè)應向所有的雇員強調以下三方面的重要性，一是維護適當的安全制度，以保護私密和敏感數據;二是形成一種關于公司業(yè)務、安全、私密的策略;三是理解出現安全問題后的補救過程，并考慮運營和道德問題。

當今的企業(yè)環(huán)境包含著一種由技術和人員兩方面的漏洞構成的動態(tài)交互。攻擊者不但可以攻擊設備、網絡、人員的漏洞，而且還可以利用這些因素之間的接口漏洞。這種環(huán)境要求對企業(yè)的安全使用一種整體化的方法，也就是將相關人員(如軟件開發(fā)者、安全專家等)鏈接起來的整體化方法。

具體說來，實施一種融合性方法有助于軟件開發(fā)者和安全人員客服相互協(xié)作的困難，也助于企業(yè)管理分層安全的復雜性，并可以將新的應用整合到已有的安全架構中。從更廣義的角度說，隨著企業(yè)面臨的環(huán)境日益復雜多變，采用融合性方法的企業(yè)將會更好解決上述問題。

本文題目：警惕安全實踐常見四誤區(qū)
文章網址：http://www.5511xx.com/article/dhposdh.html