7月9日,一名前蘋果華人員工遭FBI起訴,罪名是竊取商業機密,一旦罪名成立,將面臨最高10年監禁和25萬美元罰款。
蘋果公司祕密製造電動汽車或設計無人駕駛系統的“泰坦計劃”自2014年啓動以來,對外披露的信息一直寥寥,外界目前尚不知道該項目進展如何。不過此次事件一出,可能會讓外界側面瞭解到蘋果在汽車項目上的進度。
而僅僅在一個月以前,據國外媒體CNBC稱,特斯拉CEO馬斯克向所有的員工發送了一封郵件。郵件的內容令我們震驚,馬斯克在郵件中稱特斯拉內部出現了蓄意破壞公司產業的人員,這位特斯拉員工的破壞行爲包括了:將公司的內部消息共享給外界人員、更改特斯拉的操作系統代碼、製造工廠火災等。
短短不到兩個月的時間,兩家大型企業遭遇信息泄露安全問題,但事實上,企業所面臨的安全風險絕不僅限於信息保密問題,這不禁讓人思考,到底有沒有什麼辦法能夠儘可能避免此類事件的發生?
基於此,今天咱就來聊一聊企業安全的幾項需求及應對策略。
1、安全事件
公司主頁被纂改造成不良聲譽影響,業務場景存在安全缺陷導致被惡意攻擊造成財產損失,內網服務器被遠程植入挖礦腳本佔用大量系統資源,…各種安全事件層出不窮。
企業除了需要掌握必備的安全技能來應對安全事件的發生外,還應該充分認識到每次安全事件的寶貴性,合理、充分的利用安全事件。首先是對產生的原因、影響、危害等進行分析、評估、止血,其次是對原因進行深挖與擴展,聯想到企業當前的安全威脅,使之與當前進行的安全項目甚至即將開展的、潛在的安全項目結合,發揮“一次安全事件,一波安全整改,一次企業安全能力提升”的實質效果。
而最治標治本的辦法,就是在企業瀏覽器入口上下功夫,採取身份接入驗證、設備接入驗證、應用訪問權限控制等可謂之最有效的辦法。
2、合規檢查
不少行業都會有相關機構的安全檢查,比如擁有支付牌照的支付公司而言,每年多次的人民銀行安全檢查,各種合規性要求各種指標都需要達標。此外針對部分系統還要求過等級保護,這無疑又是一層安全的壁壘。
各種合規檢查無疑是目前來說具備效果的方法之一。因爲沒有統一詳細落地的行業安全標杆,所以很難甄別是否具備足夠的安全防禦水平。基本需求是“有,總比沒有好”,更高的渴望是“充分利用合規檢查”落實企業安全建設。
企業的安全能力與相關負責人、安全團隊息息相關,究竟是務實還是專心搞政治分心做安全,往往取決於人。
3、內部問題
當手握企業大量敏感數據,當工作不再那麼負責與忠誠,當個人價值觀遠遠高於企業價值觀,再受到外部的金錢誘惑,企業內鬼很容易就會產生。
“日防夜防,家賊難防”這句話說的很有道理,唯有進行一些安全建設,比如讓員工遠離敏感數據(敏感數據分級管理)、企業文檔不落地、對重要文件進行嚴密保護或監控、員工上網行爲管理、數據遠程擦除防竊取等,才能減少該類事件的發生,從而避免企業遭受損失。
4、產品競爭力
安全不是業務發展的阻力,而是產品的競爭力。這句話聽着耳熟,但說起來容易,做起來難。不過無疑也是企業安全項目實施的推動力,從產品的角度出發,讓安全成爲產品的一個重要特性甚至是閃光點,吸引用戶並使用戶放心。
這部分可向客戶介紹產品的安全設計理念、先進技術、安全架構甚至提供第三方權威機構的安全評估報告證明。
合作源於信任,而信任源於安全,越早重視企業安全,企業的防護也會越早發揮作用,避免不必要的風險。