一、面对众多的安全风险如何选择内网安全措施
面对众多已识别风险,企业很难对所有风险都进行处理。风险大小、严重程度、紧迫性、所需资源总归有所区别,企业应对待处理风险有个优先级的考虑,对企业的业务有严重影响和伤害风险的应该放在最前面优先处理,在资源提供和相关支持上也要优先给予。 当然,各个企业的环境和现实状况不同,安全目标也有差异,这就决定了在选择风险缓和策略上的多样性。应对风险,“最好”的办法就是将合适的技术、恰当的风险缓解策略,以及管理手段有机结合起来,这样才能达到较好的效果。同时企业在内网安全管理中选择安全措施时还需要考虑如下因素。
第一,文化约束:从企业角度来看,主要考虑企业文化的要求,例如企业文化比较宽松,基于对人员可信实施管理,一般对于桌面活动监控的控制方式就会比较排斥。
第二,法律法规:国家法律或一些行业性的规定对于企业有一定的强制约束要求,如政府机关必须选用国产的安全设备,或对于防电磁泄漏提出专门的要求等,企业在策略选择时必须要考虑相关的约束。
第三,环境约束:环境(空间、地理位置、气候)对于安全措施的选择也有一定的影响,如一个机构的分支企业的地理位置在城市的另外一个区域,传输的信息比较重要,需要考虑通信加密的方式。
第四,经济约束:经济能力对于企业来说是重要的考虑因素,如果经济能力不足可能在购买网络安全产品或专业服务的方面将受到限制。
第五,技术约束:技术约束主要表现在技术的兼容性、易用性、性能要求等,如对于一些有高可用性要求的企业,控制措施的选取还需要考虑支持负载均衡、热备份等模式。
第五,时间约束:时间约束主要考虑决策层对问题解决的时间限制,如时间要求比较紧,则需要考虑选择一些成熟的技术产品与服务,改进操作。如时间比较充裕,可以考虑管理模式进行改进,或对系统进行比较全面的改造。
二、内网安全谁应该为隐私保护负责
在企业中,商业秘密是最需要保护的。如今,云计算逐渐在企业中应用,可是对于隐私问题和内网安全问题,谁应该负责呢?关于谁应为信息安全和隐私负责,有着相互冲突的意见。 一些人把责任分配给提供商;虽然债务有可能通过合同协议进行转移,但是责任是绝对不可能转移的。最终,从公众和法律的角度来看,数据信息安全和隐私的责任落在最先收集信息的机构——用户机构。事实就是这样的,即便用户机构没有技术能力确保实现了与云计算服务提供商之间的合同要求。
历史和经验证实了数据侵犯有着级联效应。当一个机构失去了对其用户的个人信息控制,用户将对由损失所造成的后续损害承担责任(直接或间接)。身份盗窃只是一个可能的影响;其他影响可以包括侵犯隐私或者不受欢迎的邀请。 当受影响的个人处理事件起余波时,他很可能会责备那个决定使用这个服务的人,而不是责备服务提供商。完全依赖第三方来保护个人数据是不负责任的,并将不可避免地导致负面的后果。
负责数据管理需要深入了解云计算下的技术以及法律的要求和影响。例如,对于充分维护信息安全和隐私,关键是要有一支跨职能的队伍。问责模式与关于外包或分包合同关系中的隐私讨论是相似的,结论也是相似的:
①机构可以转移债务,但无法转移责任。
②在整个数据生命周期中,风险评估和风险规避是非常关键的环节。
③有必要了解法律义务以及合同协议或承诺。
不过还是有很多新风险和未知因素,因此,云计算中信息安全隐私保护的整体复杂性是一个更大的挑战。目前,网上一些利用“网络钓鱼”手法,如建立假冒网站或发送含有欺诈信息的电子邮件,窃取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。 钓鱼网站是与正规的交易网站外观极其相似的欺骗性非法网站。它对内网安全造成严重威胁。根据中国反钓鱼网站联盟中心统计,目前每天活跃在网上的钓鱼网站数超过10万家,自2005年开始,全球“钓鱼”案件正在以每年高于20%的速度增长,受骗用户高达5%,造成巨大的经济损失。
|