首页
社区
课程
招聘
企业的IT部门能够从数据泄漏事件中学到什么
发表于: 2016-4-13 13:33 1438

企业的IT部门能够从数据泄漏事件中学到什么

2016-4-13 13:33
1438
新闻链接:http://bobao.360.cn/news/detail/2931.html
新闻时间:2016-04-12 19:10:47
新闻正文: 如果你想知道那些黑客为什么要去攻击大型的企业和组织,那么答案肯定是毫无疑问的-“因为那里隐藏了很多非常有价值的信息”。

对于很多组织和机构而言,都应该从数据泄漏事件中学会怎样保护自己的数据。从此前发生的很多数据泄漏事件来看,我们最应该注意的是如何保护企业数据不受来自组织内部的威胁,尤其是在招聘员工的时候,更应该对这些应聘者的身份进行核实。

尽管执法部门和各大网络安全公司一直都在不断地警告用户:组织内部人员,网络欺诈分子,黑客团伙,以及敌对国家都会给企业或组织带来非常严重的安全威胁。但是,目前我们尚不清楚到底有多少企业组织在了解到这些警告信息之后,真正着手去提升了他们的网络安全防御措施。

数据的加密处理和虚拟工作环境

MWR InfoSecurity公司的高级安全顾问Zak Maples表示,所有企业和组织的高层管理人员需要立刻检查各自的公司在存储所有的机密信息时是否采用了正确的存储方式,并重新审查能够访问这些数据的人,包括他们的身份和权限。除此之外,还需要检查公司是否部署了足够安全的数据保障控制措施,以及是否部署了相应的安全应急预案来防止数据发生泄漏。除此之外,Maples还就这些问题质问了各大组织的管理人员们:“如果你们真的部署了这些安全控制措施,那么你们是否对这些安全防护系统进行过安全测试?否则你们怎么能够确保这些保护措施真的有效呢?”

安全研究人员Doherty表示,既然大型组织和机构手中掌握着客户的敏感数据(例如身份信息,住址信息,以及信用卡信息等),那么无论是在传输或者存储这些数据时,他们不仅需要确保对所有的这些数据进行加密处理,而且还必须对文件的访问权限进行非常细致的分配和控制。例如哪些人可以打开,查看,编辑,复制这些文件,而哪些人可以将这些文件通过电子邮件来进行发送。除此之外,所有针对这些文件的操作都应该被记录至日志文件中,并且定期对这些文件进行分析和检测,以便及时发现一些未授权的访问操作和文件的改动异常。当然了,这些建议对于那些需要处理和存储敏感数据的企业和组织都是适用的。

除了安全研究专家这一身份,Doherty还是一名支持使用安全虚拟工作环境来处理机密信息的支持者。如果需要对敏感问题进行讨论的话,所有人都应该在一个安全的网络空间内进行讨论。他认为:“通信信息应该被存储在一个容器之中,这些信息只会发送给指定的用户,而且这些信息应该有一定的生存时间限制。当整个过程结束之后,保存在容器中的数据应该被限制访问。”

电子版的文件记录是有安全风险的

毫无疑问的是,很多公司和组织都开始逐步采用数字化的存储方式来对相应的文件进行存储了。而且据了解,很多公司都开始渐渐将旧的纸质文档转换成电子版的形式存储在各自的数据库中,而这样肯定是会在计算机中留下操作痕迹的。

Honan表示:“最安全的做法就是尽可能少地存储电子数据。如果根据法律,法规,或者合同的规定,我们没有义务去保存这些数据的话,那么我们就应该用安全的方法来销毁这些文件,这样才是最安全的做法。而且我建议欧洲的执法机构和情报组织也采取这样的做法。”

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//