信息安全認識與行動分離的終結
來源:
作者:
發布時間: 2006-06-02
目前,信息安全的形勢仍然十分嚴峻。新的威脅每天都會出現,并以多種形式發生,如viruses(病毒)、worms(蠕蟲)、Phishing(網絡釣魚)、Pharming(網絡欺詐的又一種形式)、Social engineering(社會工程陷阱)、Identity theft(身份盜竊)等。
這些威脅甚至已擴展到新興技術領域。例如,VoIP電話網絡和市政Wi-Fi(Wireless Fidelity,無線保真度,是“小靈通”所采用的技術)應用就存在著被攻擊的潛在威脅。
但是,在過去的幾年里,也出現了先進的安全措施來解決這些問題。安全軟件的處理能力得到不斷提升,同時其應用也越來越普遍,它們可以檢測到那些可能在過去潛入系統的、并且已經運行了很長時間的攻擊。防火墻技術、代理服務器保護、入侵監測系統以及其它方案的抗攻擊能力同樣也得到了很大的提高。
由于這些提高,許多人似乎認為完全自動化的安全解決方案已經能夠阻攔幾乎所有的攻擊。然而,實際上具有這種觀點的IT管理人員完全是在自我麻痹,使自己得以安心,這將使他們很容易受到形式善變黑客的攻擊。
不存在十全十美的方案
事實上,沒有一個軟件解決方案或者自動化處理能夠比得上通過培訓提高安全保護認識及在工作中提高對安全問題的認識。然而,來自計算機行業協會(Computing Technology Industry Association,簡稱CompTIA)的一項新的調查表明許多公司并沒有認識到在保護數據安全、網絡安全以及技術基礎設施安全過程中人為因素所扮演的角色。
很明顯,關于安全,人們說的是一套,而做的又是一套,沒有做到言行一致。
CompTIA進行了一項著名的、針對信息安全威脅和響應的研究,這項研究已經持續了四年。這四年時間里,每年的研究結果中都會提到這樣一項結果,那就是大多數安全漏洞是由于某種內在的人為失誤造成的。
本年度研究報告在3月20號那一周公布。在報告中,被調查的574家公司中有59%的公司指出他們過去的安全漏洞要歸因于人為的失誤。這個數字比去年有明顯的提高,在去年的報告中有不到一半的安全漏洞是由人為失誤造成的。
這些人為失誤的發生大多是由于員工沒有嚴格遵守公司內部的安全政策和安全程序而造成的。
也許更值得關注的是安全漏洞并不是偶然、孤立存在的。超過三分之一(大約有35%)的被調查公司指出在過去的六個月曾遭受到一個或更多的攻擊;而大約有40%的被調查公司指出在去年他們遭受到至少一次攻擊。這些攻擊的嚴重程度實質上已經達到了去年研究中所披露的全年水平。
這項研究持續了四年,其中提到最多的問題就是病毒和蠕蟲攻擊。其次,就是用戶認識缺乏和基于瀏覽器的攻擊這兩方面的安全問題。自這項研究開始時起,用戶認識缺乏的問題就突顯出來,而基于瀏覽器的攻擊可能發展成一個最普遍的威脅。
對最普遍威脅的研究結果和被調查公司的回答基本一致,兩者都指出安全問題的責任主要在于人為的失誤。而這種情況,在那些已經組織抵抗這種威脅的被調查公司中卻大不一樣。
幾乎所有的公司(約占95%)都安裝了抗病毒軟件,而且大多數被調查公司(占90%)都配有防火墻或者建立了代理服務器。其他常用的措施還有災難恢復策略、入侵監測系統以及寫信息安全策略。
實踐,實踐,再實踐 …
然而,在那些公司中對信息安全的培訓卻不常見。那些被調查公司中僅有29%的公司認為他們需要信息安全培訓。
顯然,卻別于專門的安全培訓和認證,公司內部端用戶安全認識的培訓才是公司安全有機整體的一個重要組成部分,但這在大多數公司卻沒有得到實現。僅36%的被調查公司指出他們公司適當的進行了這種類型的培訓。而且雖然被調查公司中有29%的公司指出他們將來在某些情況下將那樣做,但其中足足有35%的公司明確表示目前他們還沒有相應的計劃來做這樣的事情。
當向那些沒有制定端用戶安全認識培訓計劃的公司問及為什么不制定這樣的計劃時,最常見的回答就是它不在公司的優先考慮事務之內,或者是上層管理者沒有主動支持這件事情。
盡管如此,自從進行端用戶安全認識培訓之后,安全漏洞的數量已經大大減少了,這已得到了廣泛的認同(約占被調查公司的84%)。
但這種培訓仍存在一定的局限性。公司在這種培訓上僅投入了很少的時間和資金的情況,向端用戶傳達了一個訊息,那就是這種培訓不在公司的優先考慮事務之列。為了克服端用戶的這種認識,公司的領導階層需要設法提高端用戶對這種培訓將帶來的益處的認識,以及提高對缺少這種培訓將帶來的危險的認識。
研究發現,這四年來各公司在信息安全解決方案上的開銷基本相同,不管是對產品還是對培訓的開銷。然而仍然存在相當一部分公司(約占10%)指出他們在計算機安全方面基本沒有什么開銷,將近40%的公司在這方面的花銷僅占公司整個技術預算的5%。
很明顯,公司所有部門都需要認識到信息安全的重要性,特別是在擁有多點攻擊和數千員工的大型公司。但是,即使書面的安全政策制定好了,在公司各個部門的執行仍然是個問題。
因此,比起技術進步,安全保證在很大程度上仍然更加依賴于人們的行動和認識。
(Lily 編譯)
這些威脅甚至已擴展到新興技術領域。例如,VoIP電話網絡和市政Wi-Fi(Wireless Fidelity,無線保真度,是“小靈通”所采用的技術)應用就存在著被攻擊的潛在威脅。
但是,在過去的幾年里,也出現了先進的安全措施來解決這些問題。安全軟件的處理能力得到不斷提升,同時其應用也越來越普遍,它們可以檢測到那些可能在過去潛入系統的、并且已經運行了很長時間的攻擊。防火墻技術、代理服務器保護、入侵監測系統以及其它方案的抗攻擊能力同樣也得到了很大的提高。
由于這些提高,許多人似乎認為完全自動化的安全解決方案已經能夠阻攔幾乎所有的攻擊。然而,實際上具有這種觀點的IT管理人員完全是在自我麻痹,使自己得以安心,這將使他們很容易受到形式善變黑客的攻擊。
不存在十全十美的方案
事實上,沒有一個軟件解決方案或者自動化處理能夠比得上通過培訓提高安全保護認識及在工作中提高對安全問題的認識。然而,來自計算機行業協會(Computing Technology Industry Association,簡稱CompTIA)的一項新的調查表明許多公司并沒有認識到在保護數據安全、網絡安全以及技術基礎設施安全過程中人為因素所扮演的角色。
很明顯,關于安全,人們說的是一套,而做的又是一套,沒有做到言行一致。
CompTIA進行了一項著名的、針對信息安全威脅和響應的研究,這項研究已經持續了四年。這四年時間里,每年的研究結果中都會提到這樣一項結果,那就是大多數安全漏洞是由于某種內在的人為失誤造成的。
本年度研究報告在3月20號那一周公布。在報告中,被調查的574家公司中有59%的公司指出他們過去的安全漏洞要歸因于人為的失誤。這個數字比去年有明顯的提高,在去年的報告中有不到一半的安全漏洞是由人為失誤造成的。
這些人為失誤的發生大多是由于員工沒有嚴格遵守公司內部的安全政策和安全程序而造成的。
也許更值得關注的是安全漏洞并不是偶然、孤立存在的。超過三分之一(大約有35%)的被調查公司指出在過去的六個月曾遭受到一個或更多的攻擊;而大約有40%的被調查公司指出在去年他們遭受到至少一次攻擊。這些攻擊的嚴重程度實質上已經達到了去年研究中所披露的全年水平。
這項研究持續了四年,其中提到最多的問題就是病毒和蠕蟲攻擊。其次,就是用戶認識缺乏和基于瀏覽器的攻擊這兩方面的安全問題。自這項研究開始時起,用戶認識缺乏的問題就突顯出來,而基于瀏覽器的攻擊可能發展成一個最普遍的威脅。
對最普遍威脅的研究結果和被調查公司的回答基本一致,兩者都指出安全問題的責任主要在于人為的失誤。而這種情況,在那些已經組織抵抗這種威脅的被調查公司中卻大不一樣。
幾乎所有的公司(約占95%)都安裝了抗病毒軟件,而且大多數被調查公司(占90%)都配有防火墻或者建立了代理服務器。其他常用的措施還有災難恢復策略、入侵監測系統以及寫信息安全策略。
實踐,實踐,再實踐 …
然而,在那些公司中對信息安全的培訓卻不常見。那些被調查公司中僅有29%的公司認為他們需要信息安全培訓。
顯然,卻別于專門的安全培訓和認證,公司內部端用戶安全認識的培訓才是公司安全有機整體的一個重要組成部分,但這在大多數公司卻沒有得到實現。僅36%的被調查公司指出他們公司適當的進行了這種類型的培訓。而且雖然被調查公司中有29%的公司指出他們將來在某些情況下將那樣做,但其中足足有35%的公司明確表示目前他們還沒有相應的計劃來做這樣的事情。
當向那些沒有制定端用戶安全認識培訓計劃的公司問及為什么不制定這樣的計劃時,最常見的回答就是它不在公司的優先考慮事務之內,或者是上層管理者沒有主動支持這件事情。
盡管如此,自從進行端用戶安全認識培訓之后,安全漏洞的數量已經大大減少了,這已得到了廣泛的認同(約占被調查公司的84%)。
但這種培訓仍存在一定的局限性。公司在這種培訓上僅投入了很少的時間和資金的情況,向端用戶傳達了一個訊息,那就是這種培訓不在公司的優先考慮事務之列。為了克服端用戶的這種認識,公司的領導階層需要設法提高端用戶對這種培訓將帶來的益處的認識,以及提高對缺少這種培訓將帶來的危險的認識。
研究發現,這四年來各公司在信息安全解決方案上的開銷基本相同,不管是對產品還是對培訓的開銷。然而仍然存在相當一部分公司(約占10%)指出他們在計算機安全方面基本沒有什么開銷,將近40%的公司在這方面的花銷僅占公司整個技術預算的5%。
很明顯,公司所有部門都需要認識到信息安全的重要性,特別是在擁有多點攻擊和數千員工的大型公司。但是,即使書面的安全政策制定好了,在公司各個部門的執行仍然是個問題。
因此,比起技術進步,安全保證在很大程度上仍然更加依賴于人們的行動和認識。
(Lily 編譯)
- 上一篇: 完善我國網絡安全立法保護機制的思路
- 下一篇: 中國信息安全市場的現狀與發展趨勢
第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
2023(第五屆)中國電子政務安全大會在京成功召開
中國信息協會首次職業技能等級認定考試在黑龍江省舉行
第十九屆海峽兩岸信息化論壇暨海峽兩岸數字經濟項目對接洽談會在廈門舉辦
- 協會要聞
- 通知公告
-
- • 關于舉辦新一代信息技術在數字檔案館(室)建設中的應用暨檔案信息化管理高級培訓班的通知
- • 第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
- • 2023(第五屆)中國電子政務安全大會在京成功召開
- • 2023(第五屆)全國政務熱線發展論壇將于9月20-21日在武漢舉辦
- • 關于舉辦2023信息技術應用創新博覽會的通知
- • 關于舉辦第十三屆能源企業信息化大會的通知
- • 中國信息協會首次職業技能等級認定考試在黑龍江省舉行
- • 關于舉辦數字鄉村政策專題研修班的通知
- • 第十九屆海峽兩岸信息化論壇暨海峽兩岸數字經濟項目對接洽談會在廈門舉辦
- • 關于召開第四屆信息技術及應用創新人才發展交流大會暨第三屆信息技術服務業應用技能大賽頒獎典禮的通知