企业机密数据防护由安全管理员控制入手

企业机密数据防护由安全管理员控制入手

ID:23544748

大小:54.00 KB

页数:6页

时间:2018-11-08

企业机密数据防护由安全管理员控制入手_第1页
企业机密数据防护由安全管理员控制入手_第2页
企业机密数据防护由安全管理员控制入手_第3页
企业机密数据防护由安全管理员控制入手_第4页
企业机密数据防护由安全管理员控制入手_第5页
资源描述:

《企业机密数据防护由安全管理员控制入手》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业机密数据防护由安全管理员控制入手~教育资源库  您的安全人员是值得信赖的?工作是否认真负责的?是否经验丰富?不管您对安全人员的评价是怎样,还是让我们来听一听安全专家的亲身经历吧,您可能会对安全人员重新进行评价了。  这里有一个这样的故事,来自于Alvaka网络公司(管理服务提供商)的执行副总裁KevinMcDonald的亲身经历:  他的建筑公司客户拥有一名负责安全的高级IT人员,这名安全主管坚持让该建筑公司的老板确信将各种公司数据库存储在自己公司会存储在其他地方更加便宜,因为该公司内部已经安装有光纤线路。  您可以料想到这样一个结果:员

2、工与其雇主之间将会发生冲突。而在你发现这些所谓的内部威胁前,安全工作人员就已将威胁性的电子邮件发给该建筑公司的客户,并且告诉客户自己掌握着他们的私人信息。  McDonald表示,这名安全工作人员的这种行为基本上断送了自己的前程,公司花费了六个月的时间才结束了这名员工造成的影响。在例如美国相对法律健全的国家,只有当员工实施公共性的网上威胁行为并且非法使用公司数据时,美国联邦调查局才有权利对其采取强制手段。可向国内的安全威胁又将如何?  现实中,安全部门总是被各种问题所困扰着,从失职的安全人员到不理想的预算,再到糟糕的工作人员等。以下是安全部门

3、常见的一些问题,并且提供了解决这些问题的对策。  使用安全综合软件包  在此时此刻,某公司的某名安全工作人员肯定正在咒骂他们的CTO/CIO,因为他们的CTO/CIO让他们使用捆绑了全部安全软件的软件包。事情一般是这样的:大型安全厂商的销售人员会说服高层管理人员,购买一套能够同时进行桌面防病毒操作、电子邮件安全检测、入侵检测和网页过滤等工作的安全软件包要更加合理,并且价格便宜。  那么,这样做到底有什么不好呢?某安全软件厂商的主管表示,其实你已经将这些安全基础设施的关键部分都商品化了,问题在于,在CTO/CIO看来,安全只是一种商品,就像其他

4、应用软件一样。  但是没有任何安全厂商能够生产出面面俱到的产品,那些购买安全套件的公司确实能够节省资金,但是我们不得不承认,这样做很可能导致各种安全威胁。  如何避免公司可能存在的隐患?  McDonald建议,首先需要培养公司CTO/CIO的安全认识,同时在公司内部组织并普及安全知识,让工作人员和管理层人员都能够明白安全威胁及如何防范威胁。  专家表示,普及公司员工的安全意识,有助于降低安全威胁发生几率,同时可以降低安全预算的投入。  另外一个办法就是强制执行,美国宾夕法尼亚州政府就是采取的这种方法,在2005年年底BobMaley出任宾夕

5、法尼亚州首席安全官前,州政府就明确了如何选择安全产品的标准。  安全认证的含金量  像大多数IT安全问题一样,在数据安全问题方面,资格认证证书的价值经常被质疑。  宾夕法尼亚州州政府的首席信息安全官BobMaley说道,多年以来,人们前前后后获得过各种资格认证,他们的名字后面可能会有5个不通的首字母缩写。  但是,这么多资格认证真的有价值吗?这需要依情况而定。  Marley表示,老实说,在认证行业中,有很多认证证书是毫无价值的,即使是毫无经验的人,都可以得到资格认证。  某安全厂商表示,我们聘请的人都有很漂亮的文凭,但是实际生产中与我们的要

6、求相差甚远。具体说,我们曾经聘请过拥有高学历和各种证书的人员,结果发现这些人甚至都不会连接网络,他们拥有理论知识,但是对于实践操作却没有任何概念。  Maley表示,招聘管理人员时,拥有较多资格证书的人确实能够让人印象深刻,并且能够轻松通过面试。但面试官们应该认真阅读面试人员的简历,并核对其经验与资格证书是否相符。  如今琳琅满目的认证中,CISSP(认证信息系统安全专业人员)、CISA(认证信息系统审计人员)以及CISM(认证信息安全管理人员)认证是具有巨大的竞争优势的。  专家表示,拥有CISSP的人通常能够反应出他所谓的内在经验,因为如

7、果持证者没有相关经验的话,是不可能获得认证证书的。  经验的重要性  对于企业安全而言,组建一个勤奋而具有开拓性的安全团队是十分必要的。然而对于如何获取这些安全团队的成员,每家公司的认知并不相同,Maley建议,雇佣那些有前途的新手,对于他们来说,能够有机会积累网络攻击经验是很重要的事情。  对于新手来说,能够在一些重大事件或项目中获取宝贵的经验是很开心的事情,Maley补充说。  AnthonyScalzitti,某主要安全软件公司的安全工程师有着相反的看法,很多安全公司都坚持雇佣技术不熟练的员工或者安全新手,如果你的公司正是这种情况,那么

8、你就应该限制这些安全人员可能搞砸整个公司的能力,可以让他们在不太重要的系统工作称。例如,你可以让这些人员调查可疑的日志记录或者入侵检测系统报告。  通常情况下,会有

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。