注册
登录
| 关键词: 单位 安全 网络安全 政府 预案 应急 基层 意识 技术 策略 |
关键词:应急响应预案;第三方风险管理;政府单位;外包;安全意识培训;风险评估 根据实际经验和过往风险评估结果,我们可以发现基层政府单位在网络安全领域存在六大共性问题: n 缺少灾难恢复预案 超过八成的政府单位并没有准备一套稳健的、文档健全的灾难恢复方案或者业务连续性管理制度。这使得这些单位极易遭受数据丢失,并且在安全事件面前的应对能力基本取决于运气。 n 缺少第三方风险控制措施或策略 超过六成的政府单位采用IT外包服务,但是很少有单位具备第三方风险管理制度来评估外包服务引入的风险和脆弱性。 n 急需密码管理策略 大多数政府单位不具备足够的密码管理策略,有些单位甚至根本不存在密码管理策略,还有一些单位的策略早已过期。而现在的密码破解技术能够相当轻松地破译8字符密码。 n 急需安全意识培训 只有极少部分的政府单位具有行之有效的信息安全意识培训计划。缺少安全意识培训,员工便难以在日常工作中抵御诸如勒索病毒或钓鱼攻击等信息安全方面的危害。 n 邮件存在泄密风险 许多政企在发送敏感信息时未采用加密手段,这样容易遭受数据包嗅探和其他方式的数据截取。 n 设备回收/销毁程序不严密 二到三成的政企没有处置保修/报废信息化设备的适当手段,许多存有敏感数据的老化设备仅仅是被封存了起来,而得不到正确的消密。 地方政府的财政预算与其网络安全保障水平之间有着明显联系。财政充裕的政府单位网络安全形势较好的一个重要原因是它们往往拥有自主的信息技术团队。即便团队精简,单位自身的专业IT技术人员也能起到维持网络安全的作用。但在政府单位将IT外包的情况下,IT服务供应商仅会按照甲方提出的要求提供服务,而不会未雨绸缪地主动改进服务内容(他们至多只会提出更改服务内容的建议),更不会负责落实制度。因此,外包IT服务的政府单位通常缺少综合全面的安全制度和安全策略(例如备份和密码策略)。 那么,选择外包IT服务的政府单位该如何在缺乏财政支持和技术支撑的情况下保障网络安全呢?本文将为这些政府单位的管理阶层给出四条网络安全建议: 1. 开始行动——现在开始加强管控! 基层政府决策层应该已经意识到,基层党政机关是黑客攻击的首要目标。基层党政机关往往会生成、存储和处理大量的敏感数据,但是其信息系统却存在诸多在网络犯罪中可能被利用的脆弱点。但是,虽然已经意识到网络安全的关键性,许多政府管理者依然不愿正视实施和落实安全制度和安全策略的紧迫性,面对的滞后,往往会以“还未发生安全事件”为由推迟网络安全方面的建设和保障工作。 这种处理思路就如同“只要车还跑得动,我就不加油”。在网络安全事件发生后再去寻求处置之道将会耗费极大的成本,并且未必能有效解决问题。而且,管理者所知的“还未发生安全事件”并不一定意味着其信息系统从未遭受过网络攻击:一方面许多单位选择瞒报攻击事件,另一方面许多单位由于技术首先,根本无法知晓自身系统已被攻破。 亡羊补牢,犹未晚矣。所以,现在开始行动,加强网络安全管理,控制风险吧! 2. 提供安全意识培训 大多数基层党政机关缺少正式的网络安全意识宣教。单位的安全防护水平受到信息技术最薄弱环节的制约。如果缺乏基础的培训,那么一个工作人员打开恶意文件或者点击恶意链接,就有可能导致整个单位的系统被攻击。 只有通过提供安全意识培训,使普通员工了解基本的信息技术、掌握一定的系统操作知识、明确应当警惕哪些可疑现象,才有可能消除政府单位在非技术人员方面的安全防御“短板”。 3. 制定应急响应预案 绝大多数基层党政机关并不具备灾难恢复、业务连续性或者事件响应方面的方案和制度。许多采用外包IT服务的政府单位只有这样的“应急预案”——“给技术单位打电话!”如果系统被攻击瘫痪或者遭遇勒索病毒,“给技术单位打电话”又能解决些什么呢?正确的解决思路应该是与IT服务提供商商讨安全事件应急响应程序,制定可行、有效的应急响应预案,并做好应急预案的宣贯工作。 网络安全应急预案在控制和降低灾难或攻击造成的影响方面的作用是非常关键的,具体、对单位有针对性的应急预案的作用则更为重大。 4. 找一个网络安全“大牛” 拥有一两个懂得技术、并且能够与IT厂商配合为单位进行安全防护的雇员的小型基层党政机关单位是幸运的。这样的雇员通常来自具有较为严格的安全管控条例的行业,比如金融公司或审计公司。为单位寻找这样的雇员可以解决很多安全相关的问题。 面对不容乐观的安全形式,上海蓝盟IT外包希望基层政府单位的网络安全水平取得长足的进步。 |
| 本文出处: https://www.toutiao.com/a6735654681340543500/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
