13.6:保护计算机和信息
- Page ID
- 199765
5。 保护计算机及其所含信息的最佳方法是什么?
你有没有因为硬盘崩溃或删除了错误的文件而丢失过数周的学期论文? 你心烦意乱、愤怒和沮丧。 将这篇文章和你的感受乘以数百倍,你就能理解为什么公司必须保护计算机、网络及其存储和传输的信息免受各种潜在威胁。 例如,企业信息系统的安全漏洞(来自人类黑客或病毒和蠕虫等电子版本)正以惊人的速度增加。 对计算机的依赖日益增加,需要制定涵盖人为错误、停电、设备故障、黑客攻击和恐怖袭击的计划。 为了抵御大火、地震和洪水等自然灾害,许多公司安装了专门的容错计算机系统。
灾难不是对数据的唯一威胁。 任何了解计算机的人都可以轻易窃听或销毁大量数据,其中大部分是机密数据。 要保护您的网络免受来自内部和外部来源的未经授权的访问,需要正式的安全策略和实施程序。 移动设备(笔记本电脑、平板电脑和手机)以及无线网络的日益普及,需要新的安全措施。
为了应对日益增加的安全问题,各公司增加了技术支出,以保护其IT基础设施和数据。 除了专门的硬件和软件外,公司还需要制定特定的安全策略,在安全和技术问题开始之前采取主动的方法来预防这些问题。 但是,首席信息官最近的一篇文章对缺乏公司只有在黑客攻击或数据危机后才实施的基本安全策略表示遗憾。 15
数据安全问题
未经授权访问公司的计算机系统可能代价高昂,而不仅仅是金钱方面的代价。 瞻博网络估计,网络犯罪将在2019年使企业损失超过2万亿美元,而2001年的损失仅为4.5亿美元。 代价最高的威胁类别包括蠕虫、病毒和特洛伊木马(在本节后面定义);计算机盗窃;金融欺诈和未经授权的网络访问。 该报告还指出,几乎所有美国企业都报告了至少一个安全问题,将近20%的企业经历过多起安全事件。 16
计算机骗子一直在变得越来越老练,他们正在寻找进入超级安全网站的新方法。 技术研究公司IDC项目副总裁Chris Christiansen表示:“随着公司和消费者继续向网络和信息经济迈进,网络犯罪分子有更多的机会利用网络和计算机上的漏洞。” 17 早期的网络骗子通常是单独工作的业余黑客,而新的黑客则更专业,经常在帮派中工作,实施大规模的互联网犯罪以获得丰厚的经济回报。 犯罪分子可以躲在匿名屏幕名称后面的互联网增加了赌注,扩大了实施身份盗窃和类似犯罪的机会范围。 抓住这样的网络罪犯很困难,只有不到5%的人被抓获。 18
各公司正在采取措施防止这些代价高昂的计算机犯罪和问题,这些犯罪和问题分为几个主要类别:
- 未经授权的访问和安全漏洞。 无论是来自内部还是外部来源,未经授权的访问和安全漏洞都是 IT 经理最关心的问题。 这可能会对公司的系统造成严重破坏并破坏客户关系。 未经授权的访问还包括员工,他们可以复制机密的新产品信息并将其提供给竞争对手,或者将公司系统用于个人业务,这可能会干扰系统运行。 网络链接还使组织之外的人员更容易访问公司的计算机。
最新的网络犯罪形式之一是通过软件下载、电子邮件附件或共享文件秘密安装键盘记录软件。 然后,该软件将用户的按键操作(密码、PIN 和其他个人信息)从选定站点(例如银行和信用卡网站)复制并传输给小偷。
- 计算机病毒、蠕虫和特洛伊木马。 计算机病毒和相关的安全问题(例如蠕虫和特洛伊木马)是商业和个人计算机安全面临的最大威胁之一。 计算机病毒是一种将自身复制到其他软件中并传播到其他计算机系统的计算机程序,它可以破坏计算机硬盘驱动器的内容或损坏文件。 另一种形式被称为蠕虫,因为它会自动在计算机之间传播。 与病毒不同,蠕虫不需要电子邮件即可将其自身复制并传输到其他系统。 它可以通过有效的接入点进入。
特洛伊木马程序看似无害,来自合法来源,但会诱使用户安装它们。 运行时,它们会损坏用户的计算机。 例如,特洛伊木马可能声称已清除病毒,但却感染了计算机。 其他形式的特洛伊木马提供了一个 “活板门”,允许在用户不知情的情况下访问计算机。 但是,特洛伊木马不会感染其他文件或自我复制。 19
在开始损坏信息之前,病毒可以隐藏数周、数月甚至数年。 “感染” 一台计算机或网络的病毒可以通过共享磁盘或通过互联网下载受感染文件传播到另一台计算机。 为了保护数据免受病毒损害,病毒防护软件会自动监视计算机以检测和删除病毒。 程序开发人员定期提供更新,以防范新创建的病毒。 此外,专家们越来越熟练地追踪受到刑事指控的病毒作者。
- 故意损坏设备或信息。 例如,采购部门不满意的员工可能会进入公司的计算机系统,删除有关过去订单和未来库存需求的信息。 破坏活动可能会严重扰乱生产和应付账款系统。 故意破坏或更改计算机中数据的行为很难预防。 为了减少损失,公司应备份关键信息。
- 垃圾邮件。 尽管您可能认为垃圾邮件或未经请求和不需要的电子邮件只是一件令人讨厌的事情,但它也对公司构成了安全威胁。 病毒通过垃圾邮件附带的电子邮件附件传播。 垃圾邮件现在正在阻塞博客、即时消息、手机短信以及电子邮件收件箱。 垃圾邮件给公司带来了其他威胁:处理垃圾邮件会导致生产力损失和开支,例如打开邮件和搜索特殊垃圾邮件过滤器屏蔽的合法邮件。
- 软件和媒体盗版。 未付费的人复制受版权保护的软件程序、游戏和电影是另一种未经授权的使用形式。 盗版被定义为在没有许可证的情况下使用软件,它会从开发该程序的公司手中夺走收入,通常要付出高昂的代价。 它包括制作假冒光盘以供出售,以及个人复制软件以便与朋友分享。
预防问题
制定正式的书面信息安全政策以设定标准并为执法提供基础是公司安全战略的第一步。 不幸的是,最近一项针对全球IT高管的调查显示,超过三分之二的人预计在不久的将来会发生网络攻击。 数据安全专家斯蒂芬妮·尤因(Stephanie Ewing)表示:“有一个记录在案的、经过测试的流程可以为混乱的局势带来秩序,让每个人都专注于解决最紧迫的问题。” 如果没有信息安全战略,公司会花太多时间在被动模式下应对危机,而对预防的关注不够。 20
安全计划应得到最高管理层的支持,然后按照程序实施安全政策。 由于 IT 是一个动态领域,设备和流程不断变化,因此经常审查安全策略非常重要。 有些安全策略可以通过技术措施自动处理,而另一些则涉及依靠人来执行的管理策略。 管理策略的示例包括 “用户必须每 90 天更改一次密码” 和 “最终用户每周至少更新一次病毒签名”。 表 13.4 显示了公司用来保护数据的安全措施的类型。
关于数据保护的五个关注领域 | |
---|---|
百分比 | 对保护数据的担忧 |
52 | 不确定如何保护联网设备和应用程序 |
40 | 不要立即更改默认密码 |
33 | 不要以为他们可以控制公司收集个人信息的方式 |
33 | 家长承认他们对风险的了解还不够清楚,无法向孩子解释 |
37 | 使用信用监控服务 |
表 13.4 来源:改编自托尼·布拉德利,“隐私日需要关注的五大问题”,《福布斯》,https://forbes.com,2017年1月27日。
防止代价高昂的问题就像定期备份应用程序和数据一样简单。 公司应建立每天自动备份公司数据并将备份副本存储在异地的系统。 此外,员工应定期备份自己的工作。 另一个好的策略是维护一个包含所有 IT 硬件、软件和用户详细信息的完整且最新的数据库,以便更轻松地管理软件许可证和更新以及诊断问题。 在许多情况下,IT 人员可以使用远程访问技术自动监控和修复问题,以及更新应用程序和服务。
公司决不应忽视安全方程式中的人为因素。 局外人进入公司系统的最常见方式之一是冒充员工,首先从电子邮件中获取员工的全名和用户名,然后打电话给服务台要求忘记密码。 骗子还可以通过在附在桌面或计算机显示器的笔记上查看密码,使用员工离开办公桌时保持登录状态的机器,以及在公共场所不保护装有敏感信息的笔记本电脑来获取密码。
便携式设备,从手持式计算机到小型即插即用闪存驱动器和其他存储设备(包括手机),也存在安全风险。 它们通常用于存储敏感数据,例如密码、银行详细信息和日历。 当用户将受病毒感染的文档下载到公司计算机时,移动设备可能会传播病毒。
想象一下,如果员工在移动设备上看到 “meeting re:裁员” 之类的日历条目,局外人看到 “与ABC公司合并的会议”,或者员工丢失了包含新产品营销计划文件的闪存驱动器,可能会出现什么问题。 制造商正在通过为闪存驱动器添加密码保护和加密来回应 IT 经理对安全的担忧。 公司还可以使用闪存驱动器监控软件来防止对PC和笔记本电脑进行未经授权的访问。
如表 13.5 所述,公司有许多方法可以避免 IT 崩溃。
保护 IT 资产的程序 |
---|
|
表 13.5
保密 IT:隐私问题
装满个人信息的巨大电子文件柜的存在本身就对我们的个人隐私构成了威胁。 直到最近,我们的财务、医疗、税务和其他记录都存储在不同的计算机系统中。 计算机网络可以轻松地将这些数据汇集到数据仓库中。 公司还出售他们从保修登记卡、信用卡记录、网站注册、在线购买所需的个人数据表和杂货店折扣俱乐部卡等来源收集的有关您的信息。 电话推销员可以合并来自不同来源的数据,以创建相当详细的消费者档案。
2001 年 9 月 11 日的悲剧和其他大规模安全漏洞引发了更多的隐私问题。 结果,政府开始寻找改善国内情报收集和分析美国境内的恐怖威胁的方法。 复杂的数据库应用程序在一组数据中寻找隐藏的模式,这种过程称为数据挖掘,增加了跟踪和预测人们日常活动的可能性。 立法者和隐私活动家担心,诸如此类的计划和以电子方式窃听的计划可能会导致政府的过度监视,从而侵犯个人隐私。 风险也要高得多:商业公司的数据挖掘错误可能导致消费者成为不当广告的目标,而政府在追踪恐怖嫌疑分子方面的错误可能会对不公正的目标人造成难以估量的伤害。
越来越多的消费者正在努力重新获得对个人数据以及如何使用这些信息的控制权。 隐私权倡导者正在努力阻止出售政府和公司收集的信息。 例如,他们想阻止州政府出售驾驶执照信息,防止超市收集和出售在购物者使用条形码塑料折扣卡时收集的信息。 借助有关其购买习惯的信息,广告商可以针对特定的营销计划定位消费者。
公司面临的挑战是在收集所需信息与保护个人消费者权益之间找到平衡。 大多数询问收入和利息问题的注册和保修表都有一个方框供消费者检查,以防止公司出售他们的名字。 现在,许多公司在其隐私政策中声明,他们不会滥用所收集的信息。 监管机构正在对不尊重消费者隐私的公司采取行动。
概念检查
- 描述对数据安全的不同威胁。
- 公司如何保护信息免遭破坏和未经授权的使用?
- 为什么隐私权倡导者对数据仓库和数据挖掘等技术的使用感到震惊?