有声小说下载,完美世界有声小说,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

首席執(zhí)行官至少應(yīng)該懂得這幾招

前不久，美國中央情報局局長約翰·布倫南和國土安全部部長約翰遜的個人電子郵件地址居然被一個十幾歲的小孩子給黑了。這種事情不是第一次，當然也不會是最后一次。在信息安全事件越來越稀松平常的今天，連對入侵技術(shù)知之甚少的業(yè)余“黑客”都參與進來，“應(yīng)對網(wǎng)絡(luò)安全威脅”也變得任重而道遠。

創(chuàng)新互聯(lián)公司作為成都網(wǎng)站建設(shè)公司，專注網(wǎng)站建設(shè)、網(wǎng)站設(shè)計，有關(guān)成都企業(yè)網(wǎng)站建設(shè)方案、改版、費用等問題，行業(yè)涉及小攪拌車等多個領(lǐng)域，已為上千家企業(yè)服務(wù)，得到了客戶的尊重與認可。

在上述事件中，布倫南和約翰遜的個人電子郵件帳戶就是通過非常簡單的手段進行攻破的。該少年假扮成個人信息被泄露的受害者，并使用這些信息請求郵件服務(wù)提供商重置密碼，從而獲得這些電子郵件賬戶的無限制訪問權(quán)限。

由于該攻擊并沒有對企業(yè)或政府系統(tǒng)進行攻擊就輕松獲取到了電子郵件賬戶的訪問權(quán)限，從而更加凸顯出網(wǎng)絡(luò)安全的重要性以及對更加全面的安全保障的需求。

我們應(yīng)該意識到，僅僅使用網(wǎng)絡(luò)安全工具是無法阻止像布倫南和約翰遜之類事件的發(fā)生的。各公司的高管們也必須明白，要減輕安全風(fēng)險、為你的企業(yè)保駕護航，無論是常識性的手段還是網(wǎng)絡(luò)安全工具，都需要提供非常全面的方法。

為了幫助各公司掌門人制定出安全場景(框架)和評估系統(tǒng)，建議使用對于人員、流程和系統(tǒng)有意義的標準業(yè)務(wù)方法，對安全場景中的性能進行組織和管理。建立可視化指示器，對安全狀況進行持續(xù)報告，對存在什么、失去什么進行持續(xù)跟蹤并發(fā)出通知。

下面是一個非常全面的安全場景示例：

* 此示例中的安全狀況基于行業(yè)中標準的安全概念

每個企業(yè)的安全情況或許各不相同，但這張圖表所說的是與信息安全相關(guān)的主要領(lǐng)域。并且，相關(guān)的風(fēng)險都經(jīng)過了簡化，嵌入到安全場景的有超過100多種基于行業(yè)標準的安全框架詳細的控制過程，如NIST 800和ISO 27000。

作為企業(yè)的老板，應(yīng)該詢問安全團隊當前的安全計劃如何解決上述安全場景中的問題，至少應(yīng)該詢問安全團隊如下問題：

一、風(fēng)險評估方面

1、是否進行過安全風(fēng)險評估?

2、公司最重要的安全風(fēng)險是什么?

3、公司的安全策略是按照風(fēng)險評估的優(yōu)先級建立的嗎?如果不是，為什么?

二、人員方面

1、公司是如何組織安全事務(wù)的?

2、公司是否有首席安全官(CIO)或首席信息安全官(CISO)?如果有，他們向誰匯報?

3、首席安全官或首席信息安全官是否有因為向組織匯報場所的原因而引起安全泄漏的風(fēng)險?

4、對新員工有什么樣的安全要求?

5、新員工是否具備與他們工作能力相適應(yīng)安全防范水準?

6、是否要求員工遵守安全規(guī)程?如何遵守?

7、如何開展安全培訓(xùn)?

8、安全培訓(xùn)是一次性開展，還是持續(xù)開展?

9、員工是否定期了解新的安全風(fēng)險和威脅?

三、流程方面

1、公司是否有成文的安全規(guī)程?遵守情況如何?

2、安全規(guī)程是束之高閣，還是投入使用、經(jīng)常更新?

3、在業(yè)務(wù)實踐中，如何進行安全規(guī)程方面的溝通?

4、是否對安全進行審計?

5、是否有針對第三方應(yīng)用安全規(guī)程的管理流程?

6、網(wǎng)絡(luò)信息安全是否已納入公司可持續(xù)發(fā)展規(guī)劃?

7、公司在進行產(chǎn)品和服務(wù)采購時，是否正式考慮過安全方面的影響?

8、如果發(fā)生了安全事故，會采取什么樣流程?

四、系統(tǒng)方面

1、如何解決重大安全控制和網(wǎng)絡(luò)安全控制?

2、是否有可以理解的安全工具描述?

3、系統(tǒng)針對已授權(quán)個人是否僅提供必要且必需的訪問?

4、通俗地講，是如何實現(xiàn)針對已授權(quán)個人僅提供必要且必需的訪問的?

5、系統(tǒng)授權(quán)訪問的方式是否存在風(fēng)險?

6、誰對物理安全負責?如果不是首席安全官或首席信息安全官，物理安全事務(wù)如何與首席安全官或首席信息安全官如何協(xié)調(diào)一致?

7、如何進行信息安全監(jiān)測?

以上僅是企業(yè)老板應(yīng)該向其安全團隊詢問的部分問題。

為了企業(yè)的網(wǎng)絡(luò)信息安全事務(wù)切實地得到落實，企業(yè)的負責人也應(yīng)該自學(xué)一些基本的安全常識，只有這樣，才能在詢問安全團隊有關(guān)企業(yè)網(wǎng)絡(luò)信息安全狀況時能夠很好的理解他們的解釋;只有這樣，作為企業(yè)老板才對自己企業(yè)的網(wǎng)絡(luò)信息安全防護更有信心;只有這樣，才能更好地收到安全團隊的相關(guān)安全匯報;只有這樣，企業(yè)才能夠更好地專注于業(yè)務(wù)的發(fā)展，公司的前景才能夠蒸蒸日上。

原文地址：http://www.aqniu.com/neo-points/12899.html

本文標題：首席執(zhí)行官至少應(yīng)該懂得這幾招
網(wǎng)站URL：http://fisionsoft.com.cn/article/djssgpe.html

新聞中心

其他資訊