【摘要】:根据美国FBI/CSI等权威机构的调查,超过85%的安全威胁来自组织内部。事实上,信息安全的现实威胁主要是内部人员的疏忽和犯罪行为。除了个人疏忽或不负责的行为会给组织的信息系统带来安全威胁,内部人员也可能出于报复而主动攻击信息系统。
根据美国FBI/CSI等权威机构的调查,超过85%的安全威胁来自组织内部。事实上,信息安全的现实威胁主要是内部人员的疏忽和犯罪行为。
比如,计算机系统一般是通过口令来识别用户的。如果用户提供正确的口令,则系统会认为该用户是合法用户。假设一个合法用户把他/她的账户信息告诉给了其他人,那么非法用户也可以使用系统,并且无法被系统察觉出来。再比如,一个员工可能会依照一个电话请求改变自己的口令,而给攻击者提供了入侵的便利。还有,如果组织没有严格的管理规定,员工可以随意设置IP地址,则可能造成IP地址冲突,造成业务的中断。因此,对员工进行安全技术培训和安全意识教育十分重要。
除了个人疏忽或不负责的行为会给组织的信息系统带来安全威胁,内部人员也可能出于报复而主动攻击信息系统。这个时候,内部人员的攻击威胁比外部人员更加危险。因为内部人员通常比较清楚组织的计算机网络系统架构和操作规程,而且通常还会知道足够的口令跨越安全控制,而这些安全控制足以把外部攻击者挡在门外了。(www.daowen.com)
安全通常不会给企业带来直接的经济效益,但它能有效避免损失。比较糟糕的是,企业一般都认为在安全上的投资是一种浪费,而且为系统添加安全功能往往会使原来简单的操作变得复杂,从而降低处理效率。
信息安全不仅靠组织和内部人员具有相应的安全技术知识、安全意识和领导层对安全的重视,还必须制定一套明确责任、明确审批权限的安全管理制度,以及专门的安全管理部门,从根本上保证所有人员的规范化行为和操作。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
有关信息安全基础的文章