论文部分内容阅读
行业分析公司Forrest最新的年度安全调查显示,数据保护仍然是最高的IT安全优先项,每个公司的高层管理人员也都在防止公司机密数据和未经授权的私有代码被出售,尤其是外包操作都是在离岸进行的公司,各个公司都继续在安全技术方面进行投入。
建立堡垒——物理安全
把物理安全做到位,保护它的完整性是每个公司安全系统的基石。这包括所有基于工卡的控制,所有的设施入口和出口以及在设施内外都要有保安。我们推荐的是有闭路电视监控的接入点和工作台、保安控制、电子门禁,也包含门铃警报。
挖掘战壕——技术安全
技术控制系统包括网络和基于主机的侵入检测系统。这套系统将对IT员工的异常行为以及网络分割行为进行警告。系统最重要的部分仍然是防火墙、防病毒和防间谍软件,通过这些工具来防止病毒和其他恶意软件进入公司网络。一项普遍采用的方法是禁止使用USB接口、刻录机或其他允许进行复制和转移数据的设备。
严厉控制网络进入和邮件附件的容量能进一步防止数据流出公司网络。通过使用精简的客户架构,员工现在能轻易并安全地执行很多任务,甚至不需要从服务器来复制或转移数据。为了支持物理安全政策,我们已经看到了颗粒状资源存取控制方法取得成功。这个存取政策可以限制员工只在他们实际需求的范围内使用数据。而且,它使得公司可以记录下数据存取的日志,达到验证和数据一致性的目的。
安置卫兵——过程和政策
打造坚实堡垒的最后一个部分就是把清楚的政策和流程框架制度化。通过这些制度,公司和外包伙伴一起来保证外包操作可以顺利实施。政策和流程能提供额外的不同层次的保护。我们称流程和政策为“安置卫兵”,因为员工可能是最大的威胁,反过来,员工也可能是公司保护数据最强大的盟友。
包括背景调查在内的员工筛选以及嚴密的招聘流程被证明是可靠的安全战术,尤其在招聘中要重点考察道德方面。让所有的员工签署保密协议以在法律上获得支持是非常重要的。培训可以推广安全和IP管理工作的最佳实践并且让员工把公司政策牢记心中。持续地发出警告和公告能进一步地帮助员工及时了解数据和基础设施安全方面的最新政策、威胁和对抗措施。有些公司开始提供安全热线,让员工更容易及时匿名报告一些技术问题、有疑问的行为或其他有可能破坏公司信息安全的事件。
保持警惕
通过结合物理安全、技术系统和相关政策制度,公司能在他们的离岸地点打造一个坚实的堡垒来保护数据,但是也不能从此就安枕无忧,不管不顾了。一旦复杂的安全系统到位,对它进行连续监测也是同样的重要。我们极力推荐进行定期的审计和威胁评估,这包括ISO:27001 审计以及来自第三方独立的权威机构的复检。弱点威胁评估(VTA),可以被描述为“假装攻击”,是一个测试公司的安全系统是否面临潜在的威胁和弱点的优秀方式。通过安置一个复杂的安防系统,并严谨地进行维护,公司可以更好地利用他们在离岸开发点的优势,安全问题也能让公司放心。
建立堡垒——物理安全
把物理安全做到位,保护它的完整性是每个公司安全系统的基石。这包括所有基于工卡的控制,所有的设施入口和出口以及在设施内外都要有保安。我们推荐的是有闭路电视监控的接入点和工作台、保安控制、电子门禁,也包含门铃警报。
挖掘战壕——技术安全
技术控制系统包括网络和基于主机的侵入检测系统。这套系统将对IT员工的异常行为以及网络分割行为进行警告。系统最重要的部分仍然是防火墙、防病毒和防间谍软件,通过这些工具来防止病毒和其他恶意软件进入公司网络。一项普遍采用的方法是禁止使用USB接口、刻录机或其他允许进行复制和转移数据的设备。
严厉控制网络进入和邮件附件的容量能进一步防止数据流出公司网络。通过使用精简的客户架构,员工现在能轻易并安全地执行很多任务,甚至不需要从服务器来复制或转移数据。为了支持物理安全政策,我们已经看到了颗粒状资源存取控制方法取得成功。这个存取政策可以限制员工只在他们实际需求的范围内使用数据。而且,它使得公司可以记录下数据存取的日志,达到验证和数据一致性的目的。
安置卫兵——过程和政策
打造坚实堡垒的最后一个部分就是把清楚的政策和流程框架制度化。通过这些制度,公司和外包伙伴一起来保证外包操作可以顺利实施。政策和流程能提供额外的不同层次的保护。我们称流程和政策为“安置卫兵”,因为员工可能是最大的威胁,反过来,员工也可能是公司保护数据最强大的盟友。
包括背景调查在内的员工筛选以及嚴密的招聘流程被证明是可靠的安全战术,尤其在招聘中要重点考察道德方面。让所有的员工签署保密协议以在法律上获得支持是非常重要的。培训可以推广安全和IP管理工作的最佳实践并且让员工把公司政策牢记心中。持续地发出警告和公告能进一步地帮助员工及时了解数据和基础设施安全方面的最新政策、威胁和对抗措施。有些公司开始提供安全热线,让员工更容易及时匿名报告一些技术问题、有疑问的行为或其他有可能破坏公司信息安全的事件。
保持警惕
通过结合物理安全、技术系统和相关政策制度,公司能在他们的离岸地点打造一个坚实的堡垒来保护数据,但是也不能从此就安枕无忧,不管不顾了。一旦复杂的安全系统到位,对它进行连续监测也是同样的重要。我们极力推荐进行定期的审计和威胁评估,这包括ISO:27001 审计以及来自第三方独立的权威机构的复检。弱点威胁评估(VTA),可以被描述为“假装攻击”,是一个测试公司的安全系统是否面临潜在的威胁和弱点的优秀方式。通过安置一个复杂的安防系统,并严谨地进行维护,公司可以更好地利用他们在离岸开发点的优势,安全问题也能让公司放心。