解析复杂网络环境中的企业安全风险

如今的企业安全风险已经逐渐的复杂化，单纯的黑客攻击已经不是企业安全风险仅需的防范方面。不论是安全漏洞还是错误配置，以及社交网站的热度爆发、社会工程学黑客的引用，企业安全风险已经复杂到了一定程度。那么本篇文章就通过解析复杂网络环境中的企业安全风险，希望安全管理人员提升安全意识，做好企业安全防护。

企业安全风险：复杂即风险

每个企业的当务之急就是避免配置错误和违规行为，这不仅是为了规避法律风险、罚款及其他违规处罚，同时也是为了维护企业的诚信、声誉和品牌。然而，降低企业风险现在已成为纵贯多个层面的课题，需要在多个层面上制定并实施相应策略——由此产生的复杂性已成为当今企业面临的最大难题之一。

当今企业面临着各种各样的安全漏洞，防范它们所需要的工具各不相同。这些漏洞主要包括：

· 使网络易受其他形式攻击的网络漏洞;

· 数据窃取，包括跨网络数据劫持;

· 导致服务器、个人电脑或虚拟应用行为失常或成为其他攻击类型源头的恶意软件;

· 拒绝服务(DoS)攻击，可造成数据不可用，或授权用户无法访问网络。

企业不仅面临上述威胁，还必须遵从数量众多的行业及监管条例：

首先是外部监管。企业必须遵从各种因国家和地区而异的客户隐私条例，除此之外，还有专门针对特定垂直市场的第三方条例。比如，在美国，由信用卡公司组成的支付卡行业(PCI)协会分别对零售商和接受信用卡付款的实体规定了消费者隐私标准，其中涵盖IT及网络域名。企业如果违规，就要接受该协会严厉的罚款和其他违规处罚。

其次是最佳做法标准。许多企业通过实施行业标准的IT安全管理最佳做法(国际标准化组织(ISO) 27000系列文件中有详述)来增强其安全措施。这固然可使企业建立起适当的安全防护网，以保护其知识产权(IP)、机密数据及客户信息，同时为业务持续性计划提供支持，但遵循行业最佳做法却会产生一个新的安全规则层。

此外，正在潜入企业内部的Web 2.0社交网络、需要不断更新的软件及安全补丁……也都会增加企业的安全复杂性。

企业安全风险：社交网络

近年来，Web 2.0技术使网络安全形势再起波澜。一年前，很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络，而如今，它们已借合法商业及营销之名渗透到了企业网络内部，虽然目前可能仍然只限于员工个人使用。

进入企业网络内部的新通道正在形成。理想情况下，这些通道可用于增强企业的商业意识和改善运营;但另一方面，它们也开辟了行使恶作剧或窃取企业数据的新途径，为员工向企业外部泄露敏感信息提供了方便。比如，社交网站就经常被用来发动网络钓鱼诈骗。

企业安全风险：移动和无线

传统的网络边界及其相关的保护措施正随着企业用户转向无线网络(包括蜂窝移动网络和/或 Wi-Fi无线网络)而逐渐发生改变。企业必须为移动设备提供保护，加密存储在移动设备上的机密数据和通过无线传输的资料，以及保护企业网络、防范移动网络入侵(如黑客或恶意软件)，这已成为移动设备管理(MDM)的一个分支。

总的来说，信息和网络技术的“消费化”开辟了(且还将继续开辟)大量“进出”企业的新途径，其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起，安全成了一套动态、不断变化的规则，必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。

企业安全风险：“紧跟变化”的难题

以上因素营造了一个复杂、多变的安全环境，而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化，必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加，与时俱进的要求会迅速造成操作人员的不堪重负，致使企业不得不在设备和软件方面做出额外投资。此外，万一负责基础架构不同部分的 IT 员工，比如安全管理员与应用服务器管理员，未能协调好工作，导致一部分部件更新，而另一部分未得到更新，也可能造成安全漏洞。

CIO和其他负责IT安全工作的员工应考虑的一个基本问题是：如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为，以便时刻把握安全形势?多管齐下地进行风险管理，目标就是确保公司始终遵守各项法规，并消除针对其知识产权及数据保密性、完整性和可用性的威胁。

此外，降低风险还需要一套自上而下的管理方法，这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略，并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。

【编辑推荐】