赛班斯法案来临 中国企业请关注安全审计
笔者自打在金融行业中扎根,对于信息安全的关注,就没有停止过。近期一些国有银行在香港上市,以及美国搞的赛班斯法案,都让笔者对于信息安全的意识再度紧绷。 事实上,国内的大型企业里面,几乎没有人真
笔者自打在金融行业中扎根,对于信息安全的关注,就没有停止过。近期一些国有银行在香港上市,以及美国搞的赛班斯法案,都让笔者对于信息安全的意识再度紧绷。
事实上,国内的大型企业里面,几乎没有人真正关心过赛班斯法案的问题。这从一个侧面反映出,很多企业对于信息安全的重视大多停留在口头上。这么说也许有些朋友不服气,不过笔者从几个金融机构的信息安全审计报告中发现,很多大企业的问题相当严重,且主要集中在网络、系统和数据库领域。
首先,很少有大企业考虑过综合布线中的安全问题,从而导致日后一些设备做级联的时候出现问题。最常见的,一些企业的大厦布线,当初规定一个房间布20个点,全部走暗盒模式。可能随着日后业务的发展,某个房间需要增加几个信息点,但是结构所限,没有办法进行布线了,因此很多企业就会走级联的设备,比如临时接一个HUB,接入交换机端口,把这些设备级联到HUB上。HUB不支持IP,不能被管理。事实上,即使再用一台交换机进行级联,仍然会有安全隐患。
其次,目前国内的大型企业中,几乎没有部署补丁管理和智能蠕虫防御系统,同时也无法从监控点看清楚全国范围内所有交换机的端口业务。要知道,这几大问题是企业目前最头疼的。有意思的是,像IBM、艾森哲等一些专业的IT安全审计公司向笔者透露,由于很多国内大型企业在安全制度、网络拓扑、节点管理上问题极多,导致他们甚至无暇顾及更加细节的网络状况与安全漏洞。
第三,很多企业存在为了获取大单,直接修改数据库的问题。任何一个企业的IT经理都不会允许这么做,但业务部门肯定会把数据安全和身边的利益作对比。比如一张单子,与业务数据库中设计的要求不符,无法进入系统。如果营业额只有10万,可能眼睛都不眨地拒绝;100万的时候,可能还是觉得无所谓;1000万的时候,经理们要考虑了;1个亿,想都不用想,老板就下命令直接改数据库了。对此,也许只有百年老店的企业,才能够解决,而中国的大企业还有很长的路要摸索。
事实上,国内的大型企业里面,几乎没有人真正关心过赛班斯法案的问题。这从一个侧面反映出,很多企业对于信息安全的重视大多停留在口头上。这么说也许有些朋友不服气,不过笔者从几个金融机构的信息安全审计报告中发现,很多大企业的问题相当严重,且主要集中在网络、系统和数据库领域。
首先,很少有大企业考虑过综合布线中的安全问题,从而导致日后一些设备做级联的时候出现问题。最常见的,一些企业的大厦布线,当初规定一个房间布20个点,全部走暗盒模式。可能随着日后业务的发展,某个房间需要增加几个信息点,但是结构所限,没有办法进行布线了,因此很多企业就会走级联的设备,比如临时接一个HUB,接入交换机端口,把这些设备级联到HUB上。HUB不支持IP,不能被管理。事实上,即使再用一台交换机进行级联,仍然会有安全隐患。
其次,目前国内的大型企业中,几乎没有部署补丁管理和智能蠕虫防御系统,同时也无法从监控点看清楚全国范围内所有交换机的端口业务。要知道,这几大问题是企业目前最头疼的。有意思的是,像IBM、艾森哲等一些专业的IT安全审计公司向笔者透露,由于很多国内大型企业在安全制度、网络拓扑、节点管理上问题极多,导致他们甚至无暇顾及更加细节的网络状况与安全漏洞。
第三,很多企业存在为了获取大单,直接修改数据库的问题。任何一个企业的IT经理都不会允许这么做,但业务部门肯定会把数据安全和身边的利益作对比。比如一张单子,与业务数据库中设计的要求不符,无法进入系统。如果营业额只有10万,可能眼睛都不眨地拒绝;100万的时候,可能还是觉得无所谓;1000万的时候,经理们要考虑了;1个亿,想都不用想,老板就下命令直接改数据库了。对此,也许只有百年老店的企业,才能够解决,而中国的大企业还有很长的路要摸索。
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络
