@南馆潇湘
2年前 提问
1个回答

企业信息输出安全的风险有哪些

安全小白成长记
2年前

企业信息输出安全的风险有以下这些:

  • 办公网安全问:无统一桌面安全标准,办公计算机没有加域、无企业防病毒系统无准入标准和控制设施,只要制度密码就可以接入办公内网Wi-Fi。

  • 生产网安全问:线上开放高危端口,暴露面广,开放不必要的端口和服务,IDC仅有防火墙,无Web入侵防护系统、无DDOS防护系统。

  • 缺乏入侵检测:服务器无统一安全基线要求,缺乏安全运维审计设施,没有针对外部威胁的防护措施和防护设备。

  • 产品安全问题:线上高危漏洞多,存在大量SQL注入、XSS、越权漏洞,邮箱或内部运营系统弱口令多,同时缺乏产品安全风险控制流程,无漏洞管理机制。

  • 数据泄露风险:权限控制不严,生产数据可以导出,存在数据泄露风险,办公计算机、邮箱可以随意外发文件,存在信息泄露风险,生产服务器可以访问任何外网资源,没有通过代理服务器进行权限控制。

  • 安全应急响应:没有建立安全应急响应机制,缺少安全应急预案。

  • 安全管理:员工安全意识不足,没有开展安全培训和宣传,安全管理制度缺失。

企业信息安全的管理方法有以下这些:

  • 信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。

  • 信息的机密性要求数据不被外泄或被他人利用其特性。原本系统本身很难保证数据在传输过程中不被非授权者访问,所以我们对于一些重要的文件需要进行加密处理。对于企业而言,外部人员要想访问内部系统时,一定需要领导授权,授权后的访问权限也要有所限制,即便被不怀好意的人用非法手段获取了一些文件数据,没有密钥也是无济于事的。其次对于内部员工也要有权限的限制,还要签订负法律责任的保密协议。

  • 完整性就需要保持数据原有的特性,存储器中的数据或经网络传输后的数据,必须与传输前的数据在内容与形式上保持一致,保证信息系统上的数据没有受损,使数据不会因为有意或者无意的事件被改变或者被破坏。负责企业信息安全的网络部门需要制定一些故障应急方案和预防性措施,服务器可结合金笛短信平台建立报警系统,如有异常可第一时间发现并及时处理。

  • 数据的可用性要求非授权访问者不能占用所有的资源而阻碍授权者的工作,需要时随时可以取得数据,访问资源,是网络设计和安全的基本目标。企业的员工拥有各自的账号与密码,在登陆系统时都需要自己的手机短信验证码,确保万一本人密码遗失,他人无短信验证码同样无法登陆,从而也确保了账号的安全性。

  • 数据的可控性是指可以控制授权范围内的信息流向以及行为方式。在企业内部,首先针对员工岗位的不同,设定不同的操作权限,访问不同的系统模块,这一点就是通过访问控制和授权来实现的。其次,每个员工都有固定的工号,在员工离职后就会立即收回此工号的所有权限,防止资料外泄。