站务联系
关于安全措施有一个基本的矛盾:随着安全防护的增加,安全系统的可用性却在下降。也就是说,越安全的系统越没有使用价值。例如,要实现一台移动设备如智能手机的绝对安全。首先需要将设备设置为飞行模式,并将设备锁定在安全模式。绝对安全倒是实现了,可用性也降到了零。所以要保证数据和系统的安全,必须要在有效安全措施和可用性之间进行较量,并达成某种平衡。
实施“深度安全”
因为网络安全的重中之中就是保护好企业的数据,所以好的网络安全措施需要为数据驻留的系统和数据访问通过的网络提供保护。在大多数情况下,企业都应该实行“深度安全”措施。该措施推荐使用多层防护来应对威胁。例如,为了防止网络钓鱼攻击,公司可以对员工进行培训,提醒他们小心打开不明邮件。作为更进一步的安全措施,公司可以将这种培训与杀毒软件结合起来进行培训,如果可能的话,最好是能够检测钓鱼攻击的杀毒软件。
所有敏感的和专有的信息,而不仅仅是这些数据中一部分,都必须要考虑解决和减轻网络安全威胁。保护这些信息资产不仅必须考虑到公司的内部,还要考虑到外部供应商、承包商和其他合作伙伴。由于企业将其数据委托给系统未受充分保护的第三方供应商所导致的安全泄露事件,时常充斥各大新闻网站的头条。
说到安全措施,应该将CIA概念(即前面提到的保密性、完整性和可用性)作为一项基本要求。具体来说,安全控制必须不仅仅是为了解决数据的保密性,还要解决数据的完整性和可用性。要知道,黑客神通广大。如果他们无法获得数据,他们可能会阻止其他人的访问,或者设法破坏数据的完整性。
永远不要低估社会工程攻击和其他类似的“非技术”攻击的有效性。每个公司每天都在经受着网络钓鱼和其他手段的攻击。适当、反复的员工培训是减轻这种实质性威胁的最重要的步骤之一。
可适用的法律和标准要求企业采取合理的措施应对威胁。这意味着要进行适当的能够平衡安全性和可用性的投资。达到适当平衡是设计成功网络安全方法的关键。
