提升组织信息安全意识的重要性
2024-05-11 00:55:34
2011年12月底在国内发生的互联网用户信息泄露事件,由于涉及CSDN、人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等众多知名网站,因此被媒体广为报道。事件的起因是这些网站采用了明文存储用户名和密码,在遭受******后大量用户数据库被公布在互联网上。已经有很多信息安全人士从技术角度进行了分析,我们不妨换一个视角去看这个事件,相信诸如CSDN国内最大的程序员网站,其安全防护措施应该都具备,安全人员的技术能力也比一般组织要强,那到底是什么导致了最终用户数据泄漏?
在人们质疑这些网站抵御***的能力的同时,相信也注意到了一个关键的问题,他们都采用明文方式存储用户数据。设想一下如果这些网站采用加密方式存储关键数据,即便遭到***数据被窃取,也未必能够被破解进而造成数据泄漏。对于普通人来说“加密”这个术语是个“技术问题”,然而对于专业从事信息安全相关技术人员(包括管理人员、开发设计人员、安全管理员、审计人员等)来说,我不认为这还是什么“技术问题”,而是“安全意识问题”。为什么说是意识问题,如果以一到考题的形式出现“用户名和密码在系统中应明文存储还是加密存储?”,我相信以上人员都会选择后者,然而事实却恰恰相反。在多年的安全咨询和培训实践中,我把组织的“安全意识问题”表象总结为三类:第一类,确实不知道,所谓无知者无畏;第二类,知道但不重视或忽视;第三类,存在侥幸心理,认为事情不会发生在自己头上(不理解墨菲定律:“会出错的终将会出错”);对于此次事件明显属于后两者。
实际上,由安全意识引发的问题在组织中由来已久,并且在组织的各个层面都存在,可以通过几个案例来说明:
案例一:HBgary Federal邮件泄露
2011年2月6日,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被***攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。
在整个事件中,***组织“匿名者”透露的***细节中,我们大致能了解到,攻陷这家知名安全公司防卫森严的网络堡垒,其实并不需要才用多么特殊的高深技术,“人”的漏洞最终导致HBGary Federal声名扫地。其首席执行官Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全“漏勺”:在所有的账户中使用相同的密码。***组织“匿名者”只是通过***其企业网站所获得的外围密码,就开启了Barr几乎所有的网络账户:Twitter、Linkedin…当然,最糟糕的是Gmail企业账户,里面有HBgary Federal公司的客户:索尼、强生、杜邦等500强企业的私密信息,当然,还有那些涉及政府部门和组织的“特殊商业计划”。
案例二:索尼遭遇“数据门”
索尼从2011年初开始,多次遭到******,超过7000万玩家资料可能遭窃取,这些资料包括邮箱、密码、信用卡号等,索尼公司于4月20日关闭PSN和Qriocity服务。这让日进斗金的索尼游戏业务陷入瘫痪。此外,由于消费者资料泄露可能导致更为严重的网络钓鱼等大面积网络安全案件,美国、英国、澳大利亚和中国香港等国家和地区的政府已经开始对索尼PlayStation Network网络遭******及用户数据失窃情况展开调查,一批游戏玩家已向美国法院提出上诉,控告索尼在保护PlayStation Network网络用户数据方面玩忽职守,违反了它与用户签订的服务合同,整个索尼品牌面临一次空前严重的灾难。
普渡大学的Gene Spafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因:索尼的服务器运行着一个过期的Apache Web server软件,没有打上补丁,也没有安装防火墙。而索尼早在几个月前已经知悉此事,因为问题早已在论坛上报告给索尼工作人员。很明显,不是***匿名组织的技术高超,而是索尼负责信息安全的员工在此次事件中犯下了低级错误,结果门户大开,引狼入室。
案例三:电子54所窃密案
河北省石家庄市中国电子科技集团第54研究所爆出惊天窃密案。一个当地派出所警察,负责54所去海南试验的保卫工作,半路上被策反,然后逐渐拉上了54所打扫办公室卫生的清洁女工,两人从印刷厂、复印室、内部网上搞到了大量信息。破案后,安全部长说,这些资料给10000亿也不卖,几十年来对台电子斗争成果全部打了水漂,整个底朝天。可以设想一下,如果54所员工具备较强的信息安全意识,此二人不会如此轻易获得这些资料。
以上所举三个案例涉及企业管理层、技术人员及普通员工,可见上至企业老总、下到基层员工,安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识教育,可能遭受灾难性的打击。在我国,2006年国信办组织“信息安全管理体系标准试点工作”,之后很多组织开展了安全管理体系建设工作;2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。无论安全管理体系标准还是国内的等保保护要求,都提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与组织本身缺乏对于信息安全意识教育的正确认识有关。
误区一:安全预算绝大部分都投入在产品上
现在组织对安全的认识和重视程度在逐步提高,不少组织都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是组织宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,***往往能够采用最低的成本,从组织最薄弱的人员突破,使得企业花重金打造的安全体系成了“马其诺防线”,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。
误区二:提高信息安全专业人员的技能就可以了
组织所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起 :员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是组织安全事件还是屡屡发生,只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,组织就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题,组织的安全工作永远都是被动的。
误区三:信息安全意识教育培训一次就够了
在我们所服务过的客户中,绝大多数组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就行了,实际上信息安全意识教育远不止搞一次培训这么简单(详细论述请参加《信息安全意识为先——如何提高组织信息安全意识》一文)。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了恶性循环的怪圈之中。
正是基于对上述情况,谷安天下在2010年率先进行了首次“中国企业员工信息安全意识调查”,根据结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到42.8%的比例;对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。提高全员信息安全意识的重要性由此可见,提高全员的信息安全意识应该摆到组织信息安全建设的议事日程上来。
信息安全隐患认知情况
对有效保护信息安全面临最大障碍的认知情况
转载于:https://blog.51cto.com/4640642/807306
提升组织信息安全意识的重要性相关推荐
- 六大技巧提升员工信息安全意识
国家网络安全宣传周即将于本月19日开启,随着互联网和信息系统的普及,越来越多的企业认识到员工信息安全意识的重要性,开始开展员工的信息安全意识宣传教育活动,并将其作为每年信息安全工作中的一项必要工作,常 ...
- 怎么提高员工的信息安全意识????
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体.与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全:对组织机构来说, ...
- 怎么才能更好的提高员工信息安全意识??????
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体.与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全:对组织机构来说, ...
- 进一步提升用户信息安全保护意识 小米安全与隐私宣传月完满落幕
6月29日,第二届小米安全与隐私宣传月活动完美落幕.活动通过多形式.多层次.全方位展示了小米在信息安全与用户隐私保护方面的实践和成就,进一步提升小米全体员工保护消费者个人信息的安全意识,为小米全线产品 ...
- 信息安全意识培训非常重要
安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态. 对于一个组织来说,数据泄露导 ...
- 信息安全意识如何免费宣贯
信息安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态. 2.如何增强信息安全意识 ...
- 借助Scrum工作室使用敏捷原则提升组织响应能力
借助Scrum工作室,变革团队使用一种基于敏捷原则的变革方法帮助荷兰一家养老金投资管理公司以较低的结构成本实现了更高的响应能力.他们通过运用与预期结果有类似特征的.透明的迭代变革来践行他们所宣扬的东西 ...
- 信息安全意识电子期刊第八期
2019独角兽企业重金招聘Python工程师标准>>> 信息安全意识电子期刊第八期 网购热潮兴起,支付安全备受关注.虽然网上支付快捷方便,但是仍存在着很多的安全隐患,账户里的钱被莫名 ...
- 计算机网络信息安全的含义,计算机网络信息安全内涵及其重要性
原标题:计算机网络信息安全内涵及其重要性 计算机网络信息安全主要包括两个层面:一是计算机所依托的硬件设备安全,二是依托计算机内部所存储的用户信息数据的安全.计算机网络信息安全一般是指采取有效手段对网络 ...
最新文章
- 如何设计电桥传感器驱动电路?
- 腾讯AI足球队夺冠Kaggle竞赛,绝悟AI强化学习框架通用性凸显
- Android Studio问题集锦
- mysql导出数据字典6_MySQL利用Navicat导出数据字典
- C++:听说C++很难学?该怎么学习C++?
- 数据中台、数据仓库和数据湖传统的区别
- 蚂蚁之江要退地?官方回应:假的
- java反射机制深入详解_Java基础与提高干货系列——Java反射机制
- java服务器必读_Java服务器端编程安全必读
- Springboot2.X项目中添加druid连接池监控
- 关于Snoop的用法
- 给跪了!见过最高逼格的项目总结报告!
- CSS特效七:Hover下拉菜单
- APP-安装cisco anyconncet app for mac inter
- 巴旦木树苗适合在哪些地方种植?巴旦木苗木成长过程
- 大唐:我家阁楼通公主府(二)
- 论软件开发过程RUP及其应用
- 计算机怎么查文件打印记录表,win10系统查看打印机打印历史记录的设置教程
- java连接打印机打印PDF
- 计算机二级题目之字符串练习学习