精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

《企業(yè)網(wǎng)D1Net》11月4日訊

企業(yè)信息安全保護(hù)涉及的工作有很多，其中IT安全風(fēng)險(xiǎn)評(píng)估是非常重要的一項(xiàng)，它會(huì)直接影響后期企業(yè)對(duì)于信息安全方面的投入和運(yùn)營(yíng)決策，因此不可馬虎。而企業(yè)在實(shí)際操作時(shí)往往會(huì)犯錯(cuò)，這些錯(cuò)誤將大大影響評(píng)估結(jié)果。根據(jù)歸納總結(jié)，企業(yè)主要需避免以下五條錯(cuò)誤，也就是五大“雷區(qū)”。

1. 忘記評(píng)估第三方風(fēng)險(xiǎn)

大多數(shù)IT安全風(fēng)險(xiǎn)專家都認(rèn)為，現(xiàn)在大部分企業(yè)都沒有評(píng)估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)，而這些基礎(chǔ)設(shè)施通常會(huì)觸及企業(yè)最敏感的的數(shù)據(jù)。

很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后)，他們勢(shì)必將錯(cuò)過關(guān)鍵的細(xì)節(jié)信息，這將提高風(fēng)險(xiǎn)。舉例來說，客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲(chǔ)在公共云中。

2.評(píng)估的目光過于短淺

大多數(shù)大型企業(yè)往往在其風(fēng)險(xiǎn)評(píng)估中忽略關(guān)鍵資產(chǎn)和評(píng)估指標(biāo)。其中最常見的問題是識(shí)別漏洞為‘風(fēng)險(xiǎn)’，而沒有其他信息，例如可能提供對(duì)數(shù)據(jù)的訪問權(quán)限或者被利用，也可能將個(gè)人標(biāo)記為‘風(fēng)險(xiǎn)’，而沒有對(duì)特定風(fēng)險(xiǎn)資產(chǎn)進(jìn)行標(biāo)記。

大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評(píng)估它們。更重要的是，即使他們經(jīng)常評(píng)估的完整的數(shù)據(jù)集，但這通常是在單獨(dú)的孤島進(jìn)行，使其難以了解相互依存關(guān)系。

3. 評(píng)估沒有考慮業(yè)務(wù)背景

IT安全風(fēng)險(xiǎn)評(píng)估完全是關(guān)于背景知識(shí)，無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識(shí)中，其對(duì)業(yè)務(wù)的重要性就不能真正反映在風(fēng)險(xiǎn)評(píng)估中。

在評(píng)估風(fēng)險(xiǎn)時(shí)，很多時(shí)候，首席信息安全官缺乏對(duì)業(yè)務(wù)背景的了解。換句話說，他們需要詢問：什么數(shù)據(jù)被訪問了以及這它對(duì)業(yè)務(wù)的影響力?沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個(gè)技術(shù)觀點(diǎn)，而不是業(yè)務(wù)加技術(shù)的觀點(diǎn)。

4.過于依賴評(píng)估工具

幫助企業(yè)持續(xù)監(jiān)測(cè)IT資產(chǎn)的自動(dòng)化工具不應(yīng)該是風(fēng)險(xiǎn)評(píng)估的全部。因?yàn)橛行╋L(fēng)險(xiǎn)必須要通過手動(dòng)滲透測(cè)試深入挖掘才能夠被發(fā)現(xiàn)。通常情況下，最重要的風(fēng)險(xiǎn)只能通過專門的手動(dòng)分析被發(fā)現(xiàn)，例如網(wǎng)站的邏輯缺陷。首席信息安全官應(yīng)該注意這個(gè)問題，因?yàn)檫^于依賴風(fēng)險(xiǎn)評(píng)估工具會(huì)給帶來虛假的安全感，不能找出某些漏洞。

5.忘記考慮設(shè)備的物理安全性

當(dāng)企業(yè)運(yùn)行其評(píng)估時(shí)，經(jīng)常被忽視的一個(gè)問題是物理安全性。設(shè)施的物理安全通常會(huì)直接影響內(nèi)部的技術(shù)資產(chǎn)。物理安全性不僅影響著員工的安全、設(shè)備或硬拷貝數(shù)據(jù)資產(chǎn)的安全，而且還可能被用來植入秘密設(shè)備來允許攻擊者遠(yuǎn)程發(fā)動(dòng)攻擊。

D1Net評(píng)論：

文中提到的5點(diǎn)確實(shí)是企業(yè)在實(shí)際進(jìn)行IT安全風(fēng)險(xiǎn)評(píng)估時(shí)非常容易走入的誤區(qū)。當(dāng)然，這里面有涉及到管理的，也有涉及技術(shù)方面的問題。如果在技術(shù)方面遇到問題，可以求助更專業(yè)的評(píng)估服務(wù)團(tuán)隊(duì)，但是管理方面的問題則必須由企業(yè)管理者來著手解決，這些問題反而顯得更關(guān)鍵。