28
2017-12
2016年里全球发生了许多安全事件,包括希拉里邮件门事件、NSA再陷泄密风波, SWIFT系列攻击事件,台湾第一银行ATM欺诈取现事件等。通过事件的披露并结合信息安全**的分析,我们看到在这些安全事件再次印证人的因素永远是信息安全控制中最为脆弱的环节。对于过去的时间而言,我们熟悉的APT攻击、网络钓鱼、勒索软件、恶意软件均是从个人环节进行入手。因此当金融机构的CSO、CTO、CIO在讨论目前最新的一些信息安全解决方案时,千万不能忽略来自内部人员的信息安全威胁。
工个人信息安全的问题涉及到个人和企业两方面。从企业角度来看,造成该问题的原因不局限于企业未形成安全意识文化、安全意识教育培训不到位、人员工作和安全意识未紧密结合这三个主要原因,缺乏有效减少针对员工个人攻击面的技术手段和措施也是另一个关键的原因。这诸多的技术手段中笔者认为尤其需要关注漏洞补丁管理、邮件网关防护以及终端安全防护三个关键和基础的技术防护手段。