下载文档原格式
IT行业安全风险管理:IT安全事故防范与应对策略引言IT行业的快速发展和数字化转型给企业带来了极大的便利,但同时也带来了更多的安全威胁和风险。
随着网络攻击的不断增加,IT安全事故的风险日益突出。
因此,IT行业需要积极采取措施,有效防范和应对各类安全事故。
本文将探讨IT行业安全风险管理的重要性,并提出一些IT安全事故防范和应对策略。
什么是安全风险管理?安全风险管理是指对潜在的安全威胁进行评估和管理的过程。
在IT行业中,安全风险管理是指评估和管理与信息技术相关的各种安全风险。
这些安全风险可能来自于网络攻击、数据泄露、系统故障等。
IT安全事故的风险IT安全事故可能导致严重的后果,包括数据丢失、机密信息泄露、业务中断等。
以下是一些常见的IT安全事故风险:1. 网络攻击网络攻击是IT行业面临的最大风险之一。
黑客使用各种技术手段入侵企业的网络系统,窃取敏感信息或破坏系统。
例如,DDoS攻击可以导致网络瘫痪,勒索软件可以加密企业的数据,勒索赎金。
2. 数据泄露数据泄露是指未经授权的披露敏感信息。
这可能是由内部员工的疏忽或恶意行为引起的。
数据泄露可能导致个人隐私泄露、公司声誉受损等。
3. 系统故障系统故障可能导致IT系统无法正常运行,从而影响业务连续性。
硬件故障、软件漏洞或操作失误都可能成为系统故障的原因。
4. 社交工程社交工程是指攻击者利用人们的信任或社交工具获取信息的技术手段。
攻击者通常通过欺骗、钓鱼等手段获取机密信息或黑客入侵系统。
IT行业安全风险管理的重要性IT行业安全风险管理对于企业的运营和声誉至关重要。
以下是IT行业安全风险管理的重要性:1. 保护企业资产和机密信息IT行业的核心资产是数据和机密信息。
必须采取适当的措施保护这些资产不受攻击和泄露。
安全风险管理可以评估和管理与这些资产相关的潜在风险,确保其安全性。
2. 减少业务中断IT安全事故可能导致企业的业务中断,这将严重影响企业的运营和盈利能力。
通过采取安全风险管理措施,可以降低业务中断的风险,并提高企业的业务连续性。
安全风险防控措施随着网络技术的进步和普及,安全风险对于现代社会和企业来说已经成为一项重要的挑战。
为了保障个人、组织和国家的安全,采取一系列的防控措施是必要的。
本文将详细阐述五个方面的安全风险防控措施,包括信息安全、网络安全、物理安全、人员安全和金融安全。
一、信息安全防控措施信息安全是当今数字时代最重要的安全问题之一。
为了保护企业和个人的隐私和敏感信息,以下几个措施是必要的:1. 加密技术:对敏感信息进行加密处理,确保信息在传输和存储过程中不被非法获取。
2. 强密码策略:制定并推行强密码策略,要求用户使用包含大小写字母、数字和特殊符号组成的复杂密码,并定期更换密码。
3. 防火墙与安全软件的使用:安装并定期更新防火墙和安全软件,可以及时发现和阻止病毒、木马等恶意软件的入侵。
4. 访问控制与权限管理:根据不同的用户身份和权限,设置访问控制和权限管理策略,确保只有授权用户可以访问敏感信息。
5. 定期备份与恢复:定期备份重要信息,并建立完善的数据恢复机制,以应对意外数据丢失和系统故障。
二、网络安全防控措施网络安全是信息安全的基础,应采取以下几个措施来保护网络安全:1. 网络监控与入侵检测:使用网络监控系统和入侵检测系统,实时监测网络活动并及时发现异常情况。
2. 安全策略与网络隔离:制定网络安全策略,包括限制对外访问、网络隔离和安全通信等,减少网络暴露的风险。
3. 更新与补丁管理:及时更新系统和应用程序,安装最新的安全补丁,以修补已知的安全漏洞。
4. 域名系统安全:使用域名系统安全增强技术和域名锁定服务,确保域名解析的安全性,防止域名劫持和欺骗攻击。
5. 网络安全培训与教育:定期组织网络安全培训和教育,提高员工和用户对网络安全的认知和警惕性。
三、物理安全防控措施物理安全是保护人员和财产安全的基础,以下几个措施是必要的:1. 出入口监控与访客管理:安装监控设备,对企业或组织的出入口进行监控并实施访客管理制度,有效防止未经授权人员的进入。
互联网行业中的信息安全风险与防范建议一、信息安全风险的背景随着互联网技术的快速发展和普及,互联网行业的发展迅猛。
然而,信息安全问题也日益突显。
在这个数字化时代,互联网公司面临着各种形式的信息安全风险,包括数据泄露、网络攻击和恶意软件等威胁。
为了确保企业和用户的数据得到充分保护,加强信息安全的风险管理将成为企业必须重视的课题。
二、常见的信息安全风险1. 数据泄露:数据泄露是指未经授权地泄漏敏感数据或个人身份信息,这会给用户带来严重损失,并对企业声誉造成严重影响。
最常见的方式包括黑客攻击、内部员工疏忽以及数据存储设备丢失或被盗等。
2. 网络攻击:网络攻击是指针对互联网系统进行的非法入侵行为,如DDoS(分布式拒绝服务)攻击、SQL注入和跨站脚本等。
这些攻击不仅会使系统瘫痪,还可能导致企业重要数据的损失或被窃取。
3. 恶意软件:恶意软件是指那些用于攻击计算机和网络的恶意程序,如病毒、木马和蠕虫等。
这些软件可通过电子邮件附件、下载文件以及访问感染的网站等途径传播,给企业和个人用户带来严重威胁。
三、信息安全风险防范建议1. 加强员工教育与培训:互联网企业应加强对员工的信息安全教育和培训,提高他们对信息安全风险的认识,并教授相关的防范知识。
员工是企业最重要的防线之一,只有他们具备了足够的意识和技能才能更好地保护企业和用户的数据安全。
2. 建立完善的安全策略和流程:互联网企业应制定详尽的安全策略和流程,并确保其在公司内部得到广泛执行。
包括规定密码复杂度、限制权限分配、建立多层次审批制度以及建立紧急事件响应计划等。
这些措施将有助于及时发现并处理潜在的信息安全风险。
3. 使用强大的密码和加密技术:企业应鼓励员工使用强大的密码,并定期更换。
此外,对于敏感数据,必须采用适当的加密技术来确保其在传输和存储过程中的安全性。
这样即使数据被窃取,也无法被恶意使用。
4. 实施多层次的网络防御措施:为了防范网络攻击,企业应建立多层次的网络防御体系。
IT公司运营风险及对策引言随着信息技术的快速发展,IT公司的运营面临着各种潜在的风险。
有效地识别和应对这些风险是保障公司业务成功的关键。
本文将探讨IT公司常见的运营风险,并提供相应的对策来降低风险,确保公司的稳健发展。
常见的运营风险1. 数据安全风险:IT公司处理的大量数据使其成为潜在的目标,可能面临数据泄露、黑客攻击等风险。
2. 技术依赖风险:IT公司依赖特定的技术和系统来支撑业务,一旦出现故障或过时,可能导致运营中断或效率下降。
3. 人才流失风险:IT行业竞争激烈,人才流失可能给公司带来运营困扰和业务停滞。
4. 法律合规风险:IT公司应遵守国内外法律法规,如数据隐私、知识产权等,违反规定可能面临罚款或法律诉讼等风险。
5. 供应链风险:IT公司的运营往往依赖于众多供应商,其资金问题、延迟交货等可能对业务造成风险。
对策建议1. 建立强大的数据安全措施,包括加密数据、定期备份、防火墙和入侵检测系统等,以保护客户数据不受损。
2. 多样化技术和系统,不依赖单一的技术,确保在出现故障时能够迅速切换到备用系统,并进行定期更新和升级。
3. 加强人才发展,提供良好的福利待遇和职业发展机会,吸引和留住优秀人才。
同时,建立知识共享和培训计划,确保知识的传承与积累。
4. 严格遵守相关法律法规,包括数据隐私保护、知识产权保护等,定期进行合规审查,并与法律专业人士保持紧密联系。
5. 建立供应链管理体系,与供应商建立良好的合作关系,并定期进行绩效评估和风险评估,确保供应链的稳定性和可靠性。
通过有效地应对这些运营风险,IT公司可以更好地保障业务的顺利进行,并取得持续的发展和创新。
然而,每家IT公司的情况都有所不同,因此应该根据实际情况制定相应的个性化解决方案。
IT安全风险报告:评估IT系统和数据的安全风险随着信息技术的迅猛发展和广泛应用,各类组织和企业越来越依赖于IT系统和数据的正常运行。
然而,IT系统和数据的安全风险也在不断增加,给组织带来了巨大的挑战和威胁。
因此,评估IT系统和数据的安全风险变得至关重要,为组织制定有效的安全措施和应对策略提供科学依据。
本文将从六个方面展开详细论述。
一、概述IT系统和数据的安全风险IT系统和数据的安全风险指的是可能导致IT系统和数据遭受损害或失效的各种威胁和漏洞。
这些安全风险可能来自外部黑客、恶意软件、网络攻击、内部操作失误等。
对于企业和组织来说,安全风险评估就像一个“体检”,能够帮助他们了解IT系统和数据的安全状况,发现潜在的漏洞和威胁。
二、评估IT系统和数据的外部威胁外部威胁是指来自黑客、网络犯罪分子、恶意程序等外部攻击者对IT系统和数据的威胁。
评估外部威胁需要分析网络安全架构、系统漏洞、网络访问控制等方面,以确定哪些威胁是现实存在的,哪些威胁是潜在的。
三、评估IT系统和数据的内部威胁内部威胁是指来自组织内部员工、合作伙伴等人员对IT系统和数据的威胁。
评估内部威胁需要分析员工权限管理、内部安全政策、审计日志等方面,以了解是否存在未授权访问、故意破坏等情况。
四、评估IT系统和数据的物理风险物理风险是指IT系统和数据面临的自然灾害如火灾、水灾、地震、盗窃等威胁。
评估物理风险需要分析数据中心的位置、布局、防火系统、监控系统等方面,以减少物理风险对IT系统和数据的影响。
五、评估IT系统和数据的安全漏洞安全漏洞是指IT系统和数据中可能存在的软件缺陷、配置错误等问题,使系统容易受到攻击。
评估安全漏洞需要进行全面的系统扫描和渗透测试,发现系统潜在的安全缺陷,并提出改进建议。
六、评估IT系统和数据的合规性风险合规性风险是指IT系统和数据可能违反法律法规、行业标准和组织内部规定的风险。
评估合规性风险需要进行法律法规和标准的分析,确保IT系统和数据的安全控制符合相关要求。
IT岗位风险点分析及措施1. 引言本文档旨在分析IT岗位存在的风险点,并提供相应的措施以加强风险管理和保护信息安全。
通过加强对风险点的认识和采取有效的控制措施,可以降低风险发生的可能性,保证IT系统正常运行和数据安全。
2. 风险点分析2.1 硬件和设备风险IT岗位存在硬件和设备风险,其中包括:- 设备故障:硬件设备可能出现故障,导致系统无法正常运行。
- 数据丢失:硬盘损坏或数据意外删除可能导致重要数据的丢失。
2.2 网络安全风险IT岗位存在网络安全风险,其中包括:- 黑客攻击:来自内外部的黑客可能试图获取敏感数据或破坏系统。
- 未经授权的访问:未经授权的个人可能尝试进入系统,访问敏感信息。
2.3 人为错误和管理风险IT岗位存在人为错误和管理风险,其中包括:- 员工失误:员工可能因不慎或缺乏意识而导致数据泄露或系统故障。
- 缺乏训练和教育:员工可能缺乏对信息安全和风险管理的必要培训和教育。
- 弱密码和不安全的登录方式:弱密码和不安全的登录方式可能使系统面临被破解的风险。
3. 风险控制措施3.1 硬件和设备风险控制- 定期备份数据:定期备份数据至可靠的备份设备,减少数据丢失的风险。
- 定期维护和检查硬件设备:定期检查硬件设备的工作状态,及时修复故障。
3.2 网络安全风险控制- 安装防火墙和杀毒软件:安装防火墙和杀毒软件,及时发现和阻止网络攻击和恶意软件。
- 加强访问控制:限制系统的访问权限,确保只有授权人员可以访问系统。
- 定期更新系统和软件:及时安装系统和软件的更新补丁,弥补安全漏洞。
3.3 人为错误和管理风险控制- 员工培训和教育:定期进行员工培训和教育,加强对信息安全和风险管理的认识。
- 强制使用强密码:要求员工使用强密码,并定期更换密码。
- 管理权限和访问控制:严格管理员工的权限,限制其对系统的访问权限。
4. 结论通过对IT岗位的风险点进行分析,并采取相应的控制措施,可以有效管理风险,保障信息系统的安全和运行。
IT项目风险管理如何识别和应对IT项目中的风险和挑战IT项目的成功与否,往往与风险管理的能力密切相关。
在IT行业中,项目风险和挑战是不可避免的,但通过适当的识别和应对措施,可以降低风险并提高项目的成功率。
本文将探讨如何识别和应对IT项目中的风险和挑战。
一、识别风险在IT项目中,识别风险是项目管理的首要任务。
以下是一些常见的风险因素:1. 技术风险:包括技术难题、系统故障、数据安全等问题。
2. 范围风险:由于需求不明确或变动频繁,项目范围可能不断扩大,导致成本和进度风险。
3. 人员风险:包括不合适的人员配置、团队合作问题、人员离职等。
4. 供应商风险:来自供应商的延迟交付、产品质量问题等不可控因素。
5. 组织风险:包括组织文化、决策机制等问题,可能对项目产生负面影响。
为了有效识别风险,项目管理团队可以采取以下方法:1. 项目风险登记:建立风险登记表,记录可能出现的风险,并评估其概率和影响程度。
2. 专家咨询:请相关专家参与项目评估,从他们的经验中发现潜在的风险。
3. 风险讨论会:邀请项目团队成员共同参与,通过头脑风暴和讨论,识别可能的风险。
二、应对风险识别风险后,项目管理团队需要采取相应的措施来应对风险。
以下是一些常见的应对策略:1. 风险规避:通过采取预防措施,降低风险发生的概率。
例如,对于技术风险,可以提前进行技术评估和验证,选择可靠的技术方案。
2. 风险转移:将风险责任转移给第三方,通过签订合同或购买保险等方式来减轻项目团队的压力。
例如,通过外包来减少人员风险。
3. 风险降低:通过采取措施来降低风险的影响程度。
例如,建立备份系统来应对数据丢失风险。
4. 风险接受:对于一些无法避免或转移的风险,项目管理团队需要接受并制定相应的应急措施。
例如,制定漏洞修复计划来应对安全风险。
三、挑战与解决方案除了风险管理,IT项目中还存在一些挑战,需要项目管理团队积极应对。
以下是一些常见挑战及其解决方案:1. 沟通与合作:在IT项目中,不同部门和团队之间的合作和沟通十分重要。
IT行业廉政风险点及防控措施一、廉政风险点在IT行业中,存在着一些廉政风险点,需要引起我们的关注。
1.贪污受贿:IT行业中的项目采购和合作伙伴选择过程中,可能存在贪污受贿行为。
一些供应商或商业伙伴可能试图通过行贿获取合同或项目,并获得不当利益。
2.信息泄露:IT行业涉及大量敏感信息的处理和存储,包括客户数据、商业机密等。
不当处理或泄露这些信息可能导致严重的安全和商业风险,如数据被盗用、用户个人信息被泄露等。
3.虚假宣传:IT企业在市场竞争中可能采取虚假宣传手段来获得商业利益。
这可能损害消费者权益,引发消费者对该企业的不信任感。
二、防控措施为了防范廉政风险,IT行业应采取以下防控措施:1.制定和执行严格的廉政政策:IT企业应制定明确的廉政政策,规定员工在业务活动中的行为准则,并建立举报机制,鼓励员工积极揭发腐败行为。
2.加强供应链管理:IT企业应在选择合作伙伴和供应商时进行尽职调查,确保合作伙伴具备廉政和合规意识,并签订合同明确禁止贪污受贿行为。
3.加强信息安全管理:IT企业应建立完善的信息安全管理体系,包括加密数据、限制访问权限、定期进行安全审计等,以防止信息泄露和黑客攻击。
4.加强监督和培训:IT企业应加强对员工的监督和培训,提高员工的廉政和法律意识,增强他们对廉政风险的认识,确保员工遵守相关规定和政策。
总结IT行业廉政风险点包括贪污受贿、信息泄露和虚假宣传。
为了防范廉政风险,IT企业应制定廉政政策,加强供应链管理,强化信息安全管理,以及加强员工监督和培训。
这些措施可以帮助IT企业确保廉政风险的防控,维护企业声誉和市场信任。
IT行业中的网络安全风险和防范措施随着互联网的迅猛发展,网络安全问题日益成为IT行业中不可忽视的重要议题。
在信息时代,各类企业都离不开网络,并存储了大量敏感数据。
与此同时,黑客、病毒和其他恶意软件也在不断进化,给网络安全带来了巨大威胁。
因此,在IT行业中了解并采取相应的网络安全防范措施就显得尤为重要。
一、网络安全风险1. 黑客攻击黑客是指那些具有高度计算机技术能力,并且利用自身技术破坏或窃取他人信息的人员。
黑客攻击可能导致企业数据泄露、财务损失以及商誉受损等后果。
2. 病毒和恶意软件病毒和恶意软件是通过计算机网络传播并感染电脑系统的软件程序。
它们可以窃取用户账号密码、个人隐私信息,并且危害到企业内部信息系统的运行稳定性。
3. 社交工程攻击社交工程攻击是一种利用心理学手段欺骗用户,窃取其个人信息或机密信息的方法。
黑客通常通过诱骗、伪装成可信任的实体(如银行或电子邮件提供商)来实施社交工程攻击。
二、网络安全防范措施1. 加强密码和身份认证管理合理设置复杂的密码策略,并定期更换密码,确保用户账号的安全。
采用多因素身份认证可以进一步提高安全性,例如使用短信验证码和指纹识别等技术方式。
2. 增强网络设备的安全性及时更新网络设备(如路由器、防火墙)的固件和软件版本,并关闭不必要的服务,以减少入侵可能性。
同时,配置有效且复杂的访问控制策略和防火墙规则,限制远程访问以及不明来源的流量。
3. 定期进行网络安全演练与培训教育员工识别并应对各类网络威胁是预防黑客攻击和社交工程攻击的关键。
企业应定期进行专业培训,使员工了解最新的网络安全风险,并且学会自己保护个人信息。
4. 实施数据加密技术对重要的企业数据进行加密可以有效地防止黑客入侵和大规模数据泄露。
通过使用安全协议和加密算法,保护数据传输过程中的机密性和完整性。
5. 建立完善的数据备份与恢复机制定期进行数据备份,并将备份存储在离线、可控制访问权限的设备上,以应对病毒攻击或其他数据丢失情况。
数据安全风险点及防控措施1. 数据安全风险点在当今数字化时代,数据安全已经成为企业和组织面临的重要风险之一。
以下是常见的数据安全风险点:a) 网络攻击网络攻击是最常见的数据安全风险之一。
黑客可以通过网络渗透企业的内部网络,并窃取、篡改或破坏敏感数据。
常见的网络攻击方式包括DDoS攻击、SQL注入、恶意软件等。
b) 数据泄露数据泄露是指未经授权的人员或组织获取到敏感数据。
这可能是因为内部员工的不当行为,或者是外部攻击导致的。
无论是因为员工的错误或恶意行为,还是因为黑客攻击,数据泄露都可能导致企业声誉受损,客户信息泄露,甚至面临法律责任。
c) 内部安全漏洞内部安全漏洞是指企业内部存在的不安全操作或控制措施不足,导致数据被泄露、篡改或滥用的风险。
这可能是因为薄弱的访问控制、密码管理不当、员工培训不足等原因造成。
d) 物理安全风险除了网络上的安全风险,物理安全也是数据安全的重要方面。
未经授权的人员进入办公室或数据中心,并获取到硬件设备或存储介质,也可能导致数据被泄露。
2. 防控措施为了保护数据的安全,企业需要采取一系列的防控措施。
以下是一些常见的防控措施:a) 网络安全措施企业应该采取有效的网络安全措施来保护其内部网络。
这包括但不限于:构建防火墙、安装入侵检测系统、加密敏感数据的传输以及运用合适的网络安全软件等。
b) 数据备份与恢复数据备份是防止数据丢失的重要手段。
企业应该定期备份数据,并将备份数据存储在安全可靠的位置。
此外,测试数据恢复步骤的有效性也非常重要,以确保在数据丢失或破坏时能够快速恢复。
c) 强化内部安全控制企业应加强内部安全控制,确保员工只能访问到其工作岗位所需的数据和系统。
这可以通过合适的访问控制机制、加强员工培训和意识教育、规范密码管理等方式实现。
d) 物理安全措施为了避免物理安全风险,企业应该加强对办公室和数据中心的物理安全控制。
此外,应确保硬件设备和存储介质的安全存放,并定期检查和维护。
IT风险治理:规避五大数据安全风险如果企业认为自己的数据存储已经非常安全了,那就大错特错了。
目前,企业数据泄露的问题非常突出,这里我们介绍五种常见的数据安全风险,并给出规避风险的建议。
让我们一起来思考一个问题:企业数据所面临的最大安全威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。
的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用网络文件共享或者乱用笔记本电脑造成数据泄露的可能性最大。
据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的最大威胁,由此造成的数据安全事故高达78%。
在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。
存储网络工业协会(SNIA)曾发布过企业存储安全性自我评估方法,用来测试企业对数据的保护程度。
结果显示,目前大多数企业受到数据泄露问题的困扰。
ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%。
“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。
” ITRC的创始人、身份认证管理专家Craig Muller说。
事实上,现在人们应该充分意识到问题的严重性了。
Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。
但是,到目前为止,企业还不知道该如何保护自己。
在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。
目前,解决问题惟一的方法就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。
下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。
内部窃取2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。
随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。
事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。
Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。
还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。
根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。
他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。
依据这些犯罪记录,法院宣判其服刑18个月。
代价:在DuPont的案例中,虽然最终美国政府为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。
而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。
据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。
在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。
分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。
原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。
CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。
虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。
可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。
建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。
比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。
此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。
其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。
此外,保存客户和员工信息的数据库更应当对访问加以严格限制。
事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。
再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。
这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。
但是目前,很多企业都没有应用类似的审查记录工具。
此外,加强内部控制和审计也非常重要。
举个例子,企业可以通过设立网络审查或记录数据库活动等方式来进行监督。
保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。
当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。
设备失窃2006年5月,由于美国退伍军人事务部的一名工作人员丢失了自己的笔记本电脑,致使2650万退伍军人的个人资料丢失。
万幸的是,最后小偷被捕,并没有酿成更严重的后果。
虽然事后FBI(美国联邦调查局)宣称数据没有被泄露,但这个事件的发生还是给退伍军人事务部带来了巨大的影响。
无独有偶,2007年1月,退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件,致使53.5万退伍军人和超过130万内科医生的个人数据被泄露。
代价:在事件发生后的一个多月的时间里,退伍军人事务部为了支撑回答人们关于数据被窃问题的电话应答中心,每天就要花费20万美元,此外,他们还要支付100万美元用来打印和邮寄通知信。
退伍军人事务部因此还遭到了联名起诉,起诉中包括要求其对每个人造成的损失赔偿1000美元。
在2007年第二次数据泄露事件之后,退伍军人事务部为现役和已经退伍的军人总共赔偿了2000多万美元,才结束了这场联名诉讼。
为此,美国政府还为其拨款2500万美元用来补偿损失。
分析:设备失窃成为了数据泄露的最主要原因—在2008年,大约占到了20%。
据芝加哥法律事务所Seyfarth Shaw的合伙人Bart Lazar介绍,在他所处理的数据泄露案件中,由于笔记本电脑丢失而造成的数据泄露占绝大部分。
建议:首先要对存储在笔记本电脑上的个人身份信息加以限定。
比如说,不要将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息放在一起保存。
可以将这些数字“截断”存储,或者考虑建立个人特殊信息,比如说将每个人的姓氏与社会保险号码的后四位连在一起保存。
其次,对笔记本电脑上存储的个人信息进行加密,尽管这会产生一些潜在成本(大约每台笔记本电脑50到100美元),同时还会损失一些性能,但这是必须的。
美国存储网络工业协会负责存储安全的副主席Blair Semple曾表示,对数据进行加密,需要企业和员工都形成这种强烈的意识才行,在很多情况下,对数据进行加密并不困难,但人们却没有这么做,不难看出,管理层面上的问题才是最大的。
最后,建议在数据载体上设置保护性更强的口令密码。
外部入侵2007年1月,零售商TJX Companies 发现其客户交易系统被黑客入侵,令人不解的是,此入侵从2003年就已经开始了,一直延续到2006年12月,黑客从中获取了9400万客户的账户信息,而数据被盗事件在4年后才因一次伪造信用卡事件被发现。
2008年夏天,11人因与此事相关而被起诉,这是美国法律部门有史以来受理的最大规模的黑客盗窃案件。
代价:据估计,TJX在此次数据泄露事件中的损失大约在2.56亿美元,包括恢复计算机系统、法律诉讼费、调查研究以及其他支持费用,损失中还包括对VISA和MasterCard的赔偿。
此外,美国联邦商务委员会还要求TJX必须每隔一年委托独立的第三方机构进行安全检查,并持续20年。
甚至有人预测,TJX因此受到的损失会达到10亿美元以上,因为还要将法律和解费用以及因此失去很多客户的代价计算在内。
据Ponemon在2008年4月进行的一项研究表明,通常发生数据泄露事故的企业将会失去31%的客户基础和收入来源。
在Ponemon最近发布的年度数据泄露损失统计报告中显示,每泄露一份客户信息,公司就将损失202美元,而在1997年,这个数字是197美元,其中因数据泄露失去的商业机会所带来的损失是损失增长中最重要的部分。
分析:据Ponemon的研究,黑客入侵造成的数据泄露在安全威胁中名列第五。
据ITRC的调查,在2008年有记载的数据泄露事件中有14%是由黑客攻击所造成的。
但这并不意味着企业对此就应该束手无策,甚至放任不管。
在TJX的案例中,黑客是利用War-Driving渗透到系统内并入侵企业网络的。
而这主要是因为TJX使用的网络编码低于标准规格,且在网络上的计算机并没有安装防火墙,传输数据也没有进行加密,这才使得黑客可以在网络上安装软件并访问系统上的客户信息,甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。
建议:如果对数据库的访问非常容易的话,那么建议企业使用高级别的数据安全措施和数据编码。
员工大意Pfizer公司的一名员工一直是通过网络和笔记本电脑进行远程办公的,没想到,他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件,致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息,其中包括姓名、社保账号、地址和奖金信息等。
统计显示,大约有1.57万人通过P2P软件下载了这些数据,另外有1250人转发了这些数据。
代价:为了将数据泄露事件的危害降至最低,并避免类似事件的发生,Pfizer 与一家信用报告代理商签署了一项“支持与保护”合同,合同包括对与泄露数据相关的信息进行为期一年的信用监控服务,以及一份因数据泄露对个人损失进行赔偿的保险单。
