灯下黑:业务安全成政企行业重大隐患

2017-04-19 11:52:00 作者:ym 分类 : 比特网

  知名黑客组织发起攻击、重要系统曝出漏洞,诸如此类的安全新闻不断见诸报端,这让我们很容易认为,威胁都主要来自企业外部。但是现实却很残酷:超过一半的攻击都是源自内部人员蓄意或无意的行为。

  2016年11月,绵阳警方破获了一起重大侵犯公民个人信息案件:包括银行管理层在内的15名犯罪分子,大肆出售公民的银行个人信息,涉案资金达230万元;其源头为辽宁某市中信银行工作人员,利用查询账号登录银行内网,在短时间内大肆获取公民个人征信报告50余万份,并进行出售获利。无独有偶,2017年3月,央视报道,某电商巨头发生严重数据泄露事件,涉及近50亿条公民信息。经调查,此事件是由于网络安全部前试用期员工监守自盗,为黑客提供重要信息。

  此外,外部攻击人员还会通过各种钓鱼或者社工方式,盗取企业内部的合法身份,从而可以得以完全访问高端敏感的数据。

  安全专家指出,由于访问者的盗窃和疏忽大意,导致政企的业务中断、数据泄露,甚至财务损失的安全问题,已经成为政企面临的重大隐患。这些被统称为“业务安全”的问题已成为安全专家与用户关注的热点。

  “灯下黑”致业务安全事件频发

  长期以来,由于政企用户主要关注防护外部人员的入侵,重视“边界”防护,对内部业务系统的安全防护往往比较忽视。

  另外,由于业务系统的开发多由业务人员主导,对安全问题不够重视,对于业务系统的管理,有制度文档,但很少落实到技术手段,只能靠应用自身的认证、权限系统,以及本地日志。

  因此,对于政企内部的不同业务体系,管理人员往往缺乏所需的信息,无法查看内部人员是否滥用了访问权限——几乎不可能知道他们是否访问了特别敏感的数据,或者对这些数据做了什么手脚。对这些合法访问权限的“异常”操作,无法及时发现与制止,这就在安全监控方面留下巨大的盲点。

  这种灯下黑现象给全球政企机构带来巨大的安全隐患: 前文提到的绵阳警方破获的中信银行工作人员大量窃取储户个人信息;2015年,中航信员工利用系统账号非法获取和出售山东航空公司旅客信息;以及美国中央情报局(CIA)大量机密文件通过承包商被外泄,规模远超当年斯诺登泄露的情报。继2013年斯诺登事件之后,美国安全部门再次出现因内部人员造成的泄密事件。这些事件均系内部人员合法访问导致的安全事件。

  业务安全专家、360企业安全集团副总裁梁志勇表示,在与用户交流时,很多用户表示对业务安全的重视程度日益增加。甚至有用户还专门成立了信息应用安全监管中心,负责业务系统使用的规范。“业务敏感信息的泄露会造成较坏的社会影响。”

  梁志勇认为,对于政企用户来说,维护业务安全,要特别注意防范特权用户、供应商,以及普通员工三类人的“异常”行为。

  从IT到业务 安全热点的变化

  针对大量数据泄露事件发生在“内网”、由内部人所为的现象,梁志勇建议政企用户将关注重点从IT系统转移到业务应用上。

  事实上,在作为安全行业风向标的RSA大会上,从“IT”驱动的安全转向“业务”驱动的安全已被视为成为行业趋势。在整个社会都在经历数字化转型之际,安全成为企业业务数字转型的关键。安全不再被视为技术问题,而是业务与风险问题。

  梁志勇建议政企用户将关注重点从IT系统转移到业务应用

  中国计算机学会安全专业委员会主任严明对此趋势表示认同,他说:“随着企业数字化的转变,安全问题与业务关联越来越紧密,企业安全问题的社会影响将益发显著。

  梁志勇介绍认为,关注业务安全有助于为管理人员提供至关重要的信息,以便深入了解用户的行为:用户是不是一再访问特定数据?持续了多久?他们对这些数据做什么手脚?这是不是符合正常行为?

  据梁志勇介绍,360企业安全将会在近期发布针对业务安全的解决方案,可以一站式管理内部的所有业务系统,修补应用系统开发过程中忽视的安全问题,确保等保及各类规章制度得到有效遵循;此外,还能及时发现和制止各类“高危”、“异常”的操作行为,防范数据泄露等可能的风险。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

比食人鱼更恐怖:长着人类牙齿的鱼

比食人鱼更恐怖:长着人类牙齿的鱼>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。