目前,信息安全的形勢仍然十分嚴峻�。新的威脅每天都會出現(xiàn)��,并以多種形式發(fā)生��,如viruses(病毒)�、worms(蠕蟲)�����、Phishing(網(wǎng)絡(luò)釣魚)�����、Pharming(網(wǎng)絡(luò)欺詐的又一種形式)��、Social engineering(社會工程陷阱)��、Identity theft(身份盜竊)等�。
這些威脅甚至已擴展到新興技術(shù)領(lǐng)域。例如�����,VoIP電話網(wǎng)絡(luò)和市政Wi-Fi(Wireless Fidelity��,無線保真度��,是“小靈通”所采用的技術(shù))應(yīng)用就存在著被攻擊的潛在威脅���。
但是��,在過去的幾年里����,也出現(xiàn)了先進的安全措施來解決這些問題�����。安全軟件的處理能力得到不斷提升,同時其應(yīng)用也越來越普遍��,它們可以檢測到那些可能在過去潛入系統(tǒng)的���、并且已經(jīng)運行了很長時間的黑客攻擊����。防火墻技術(shù)����、代理服務(wù)器保護、入侵監(jiān)測系統(tǒng)以及其它方案的抗攻擊能力同樣也得到了很大的提高�。
由于這些提高,許多人似乎認為完全自動化的安全解決方案已經(jīng)能夠阻攔幾乎所有的攻擊�。然而,實際上具有這種觀點的IT管理人員完全是在自我麻痹��,使自己得以安心�,這將使他們很容易受到狡猾黑客的攻擊。
不存在十全十美的方案
事實上��,沒有一個軟件解決方案或者自動化處理能夠比得上通過培訓(xùn)提高安全保護認識及在工作中提高對安全問題的認識�����。然而,來自計算機行業(yè)協(xié)會(Computing Technology Industry Association�����,簡稱CompTIA)的一項新的調(diào)查表明許多公司并沒有認識到在保護數(shù)據(jù)安全���、網(wǎng)絡(luò)安全以及技術(shù)基礎(chǔ)設(shè)施安全過程中人為因素所扮演的角色。
很明顯��,關(guān)于安全����,人們說的是一套,而做的又是一套����,沒有做到言行一致。
CompTIA進行了一項著名的�����、針對信息安全威脅和響應(yīng)的研究�����,這項研究已經(jīng)持續(xù)了四年。這四年時間里��,每年的研究結(jié)果中都會提到這樣一項結(jié)果����,那就是大多數(shù)安全漏洞是由于某種內(nèi)在的人為失誤造成的。
本年度研究報告在3月20號那一周公布���。在報告中�,被調(diào)查的574家公司中有59%的公司指出他們過去的安全漏洞要歸因于人為的失誤�����。這個數(shù)字比去年有明顯的提高����,在去年的報告中有不到一半的安全漏洞是由人為失誤造成的。
這些人為失誤的發(fā)生大多是由于員工沒有嚴格遵守公司內(nèi)部的安全政策和安全程序而造成的���。
也許更值得關(guān)注的是安全漏洞并不是偶然��、孤立存在的�����。超過三分之一(大約有35%)的被調(diào)查公司指出在過去的六個月曾遭受到一個或更多的攻擊�;而大約有40%的被調(diào)查公司指出在去年他們遭受到至少一次攻擊。這些攻擊的嚴重程度實質(zhì)上已經(jīng)達到了去年研究中所披露的全年水平��。
這項研究持續(xù)了四年�,其中提到最多的問題就是病毒和蠕蟲攻擊����。其次,就是用戶認識缺乏和基于瀏覽器的攻擊這兩方面的安全問題��。自這項研究開始時起�����,用戶認識缺乏的問題就凸顯出來��,而基于瀏覽器的攻擊可能發(fā)展成一個最普遍的威脅����。
對最普遍威脅的研究結(jié)果和被調(diào)查公司的回答基本一致,兩者都指出安全問題的責任主要在于人為的失誤��。而這種情況�����,在那些已經(jīng)組織抵抗這種威脅的被調(diào)查公司中卻大不一樣。
幾乎所有的公司(約占95%)都安裝了防病毒軟件�����,而且大多數(shù)被調(diào)查公司(占90%)都配有防火墻或者建立了代理服務(wù)器����。其他常用的措施還有災(zāi)難恢復(fù)策略、入侵監(jiān)測系統(tǒng)以及寫入信息保護安全策略����。
實踐,實踐�,再實踐 …
然而,在那些公司中對信息安全的培訓(xùn)卻不常見���。那些被調(diào)查公司中僅有29%的公司認為他們需要信息安全培訓(xùn)��。
顯然��,區(qū)別于專門的安全培訓(xùn)和認證����,公司內(nèi)部端用戶安全認識的培訓(xùn)才是公司安全有機整體的一個重要組成部分,但這在大多數(shù)公司卻沒有得到實現(xiàn)�����。僅36%的被調(diào)查公司指出他們公司適當?shù)倪M行了這種類型的培訓(xùn)���。而且雖然被調(diào)查公司中有29%的公司指出他們將來在某些情況下將那樣做�����,但其中足足有35%的公司明確表示目前他們還沒有相應(yīng)的計劃來做這樣的事情。
當向那些沒有制定終端用戶安全認識培訓(xùn)計劃的公司問及為什么不制定這樣的計劃時��,最常見的回答就是它不在公司的優(yōu)先考慮事務(wù)之內(nèi)�����,或者是上層管理者沒有主動支持這件事情�����。
盡管如此�����,自從進行終端用戶安全認識培訓(xùn)之后,安全漏洞的數(shù)量已經(jīng)大大減少了��,這已得到了廣泛的認同(約占被調(diào)查公司的84%)����。
但這種培訓(xùn)仍存在一定的局限性。公司在這種培訓(xùn)上僅投入了很少的時間和資金的情況�����,向終端用戶傳達了一個訊息�,那就是這種培訓(xùn)不在公司的優(yōu)先考慮事務(wù)之列。為了克服終端用戶的這種認識�,公司的領(lǐng)導(dǎo)階層需要設(shè)法提高終端用戶對這種培訓(xùn)將帶來的益處的認識,以及提高對缺少這種培訓(xùn)將帶來的危險的認識�����。
研究發(fā)現(xiàn)���,這四年來各公司在信息安全解決方案上的開銷基本相同����,不管是對產(chǎn)品還是對培訓(xùn)的開銷�。然而仍然存在相當一部分公司(約占10%)指出他們在計算機安全方面基本沒有什么開銷�,將近40%的公司在這方面的花銷僅占公司整個技術(shù)預(yù)算的5%���。
很明顯�����,公司所有部門都需要認識到信息安全的重要性�����,特別是在擁有多個應(yīng)用系統(tǒng)和數(shù)千員工的大型公司����。但是���,即使書面的安全政策制定好了,在公司各個部門的執(zhí)行仍然是個問題����。
因此,比起技術(shù)進步���,安全保證在很大程度上仍然更加依賴于人們的行動和認識�。
