信息安全认识与行动分离的终结
来源:IT168 更新时间:2012-04-13
目前,信息安全的形势仍然十分严峻。新的威胁每天都会出现,并以多种形式发生,如viruses(病毒)、worms(蠕虫)、Phishing(网络钓鱼)、Pharming(网络欺诈的又一种形式)、Social engineering(社会工程陷阱)、Identity theft(身份盗窃)等。 

  这些威胁甚至已扩展到新兴技术领域。例如,VoIP电话网络和市政Wi-Fi(Wireless Fidelity,无线保真度,是“小灵通”所采用的技术)应用就存在着被攻击的潜在威胁。

  但是,在过去的几年里,也出现了先进的安全措施来解决这些问题。安全软件的处理能力得到不断提升,同时其应用也越来越普遍,它们可以检测到那些可能在过去潜入系统的、并且已经运行了很长时间的攻击。防火墙技术、代理服务器保护、入侵监测系统以及其它方案的抗攻击能力同样也得到了很大的提高。

  由于这些提高,许多人似乎认为完全自动化的安全解决方案已经能够阻拦几乎所有的攻击。然而,实际上具有这种观点的IT管理人员完全是在自我麻痹,使自己得以安心,这将使他们很容易受到形式善变黑客的攻击。

  不存在十全十美的方案

  事实上,没有一个软件解决方案或者自动化处理能够比得上通过培训提高安全保护认识及在工作中提高对安全问题的认识。然而,来自计算机行业协会(Computing Technology Industry Association,简称CompTIA)的一项新的调查表明许多公司并没有认识到在保护数据安全、网络安全以及技术基础设施安全过程中人为因素所扮演的角色。

  很明显,关于安全,人们说的是一套,而做的又是一套,没有做到言行一致。

  CompTIA进行了一项著名的、针对信息安全威胁和响应的研究,这项研究已经持续了四年。这四年时间里,每年的研究结果中都会提到这样一项结果,那就是大多数安全漏洞是由于某种内在的人为失误造成的。

  本年度研究报告在3月20号那一周公布。在报告中,被调查的574家公司中有59%的公司指出他们过去的安全漏洞要归因于人为的失误。这个数字比去年有明显的提高,在去年的报告中有不到一半的安全漏洞是由人为失误造成的。

  这些人为失误的发生大多是由于员工没有严格遵守公司内部的安全政策和安全程序而造成的。

  也许更值得关注的是安全漏洞并不是偶然、孤立存在的。超过三分之一(大约有35%)的被调查公司指出在过去的六个月曾遭受到一个或更多的攻击;而大约有40%的被调查公司指出在去年他们遭受到至少一次攻击。这些攻击的严重程度实质上已经达到了去年研究中所披露的全年水平。

  这项研究持续了四年,其中提到最多的问题就是病毒和蠕虫攻击。其次,就是用户认识缺乏和基于浏览器的攻击这两方面的安全问题。自这项研究开始时起,用户认识缺乏的问题就突显出来,而基于浏览器的攻击可能发展成一个最普遍的威胁。

  对最普遍威胁的研究结果和被调查公司的回答基本一致,两者都指出安全问题的责任主要在于人为的失误。而这种情况,在那些已经组织抵抗这种威胁的被调查公司中却大不一样。

  几乎所有的公司(约占95%)都安装了抗病毒软件,而且大多数被调查公司(占90%)都配有防火墙或者建立了代理服务器。其他常用的措施还有灾难恢复策略、入侵监测系统以及写信息安全策略。

  实践,实践,再实践 …

  然而,在那些公司中对信息安全的培训却不常见。那些被调查公司中仅有29%的公司认为他们需要信息安全培训。

  显然,却别于专门的安全培训和认证,公司内部端用户安全认识的培训才是公司安全有机整体的一个重要组成部分,但这在大多数公司却没有得到实现。仅36%的被调查公司指出他们公司适当的进行了这种类型的培训。而且虽然被调查公司中有29%的公司指出他们将来在某些情况下将那样做,但其中足足有35%的公司明确表示目前他们还没有相应的计划来做这样的事情。

  当向那些没有制定端用户安全认识培训计划的公司问及为什么不制定这样的计划时,最常见的回答就是它不在公司的优先考虑事务之内,或者是上层管理者没有主动支持这件事情。

  尽管如此,自从进行端用户安全认识培训之后,安全漏洞的数量已经大大减少了,这已得到了广泛的认同(约占被调查公司的84%)。

  但这种培训仍存在一定的局限性。公司在这种培训上仅投入了很少的时间和资金的情况,向端用户传达了一个讯息,那就是这种培训不在公司的优先考虑事务之列。为了克服端用户的这种认识,公司的领导阶层需要设法提高端用户对这种培训将带来的益处的认识,以及提高对缺少这种培训将带来的危险的认识。

  研究发现,这四年来各公司在信息安全解决方案上的开销基本相同,不管是对产品还是对培训的开销。然而仍然存在相当一部分公司(约占10%)指出他们在计算机安全方面基本没有什么开销,将近40%的公司在这方面的花销仅占公司整个技术预算的5%。

  很明显,公司所有部门都需要认识到信息安全的重要性,特别是在拥有多点攻击和数千员工的大型公司。但是,即使书面的安全政策制定好了,在公司各个部门的执行仍然是个问题。

  因此,比起技术进步,安全保证在很大程度上仍然更加依赖于人们的行动和认识。
                                    (Lily 编译)