正确管理企业信息系统必须考虑数百个变量,并且为每个变量做出正确选择非常重要。

下面列出网络安全中最常见的错误

安全政策和法规:

  • 忽视法规合规要求;
  • 认为只要要求员工和经理阅读法规、policy和memo,他们就会阅读;
  • 使用保护模板而不进行定制;
  • 采用ISO 27001/27002等framework,却没有准备好所需变化;
  • 创建无法执行的安全政策;
  • 应用尚未批准的政策;
  • 制定安全政策只是为了在“公司待办事项”中勾选一个check-box;
  • 聘请某人制定安全政策,但此人不了解自身业务或流程;
  • 在多语言环境中,可能需要把安全政策翻译成不同语言。错误可能在于不同译文之间不一致;
  • 只因为安全政策去年有效,就认为它仍然优秀;
  • 认为制定了安全政策就意味着真正安全;
  • 认为政策不适用于高管;
  • 躲避auditor。
安全工具:
  • 部署安全产品前没有先调优和测试;
  • 把IDS(Intrusion Detection System)设置得过于或过少选择性;
  • 购买安全产品时没有考虑维护和实施成本;
  • 购买安全产品时以为它们不会有并引入安全问题;
  • 只依赖Anti-virus和Firewall,而不进行进一步检查;
  • 安装安全产品但不配置;
  • 定期执行漏洞扫描,却不考虑结果;
  • 让安全软件/硬件以自动方式工作;
  • 使用不同技术却不理解其安全影响;
  • 只因为由“IBM”销售,就购买昂贵产品,而一个更便宜产品本可以解决问题。
风险管理:
  • 对所有IT资产和公司所有部门使用同一安全政策,而不考虑各自风险画像;
  • 聘请安全负责人,却不给他决策权;
  • 认为自己的公司太小、太无足轻重,不值得保护;
  • 因为最近没有被攻破就不担心;
  • 不考虑资产价值或暴露因素而变得偏执;
  • 把所有数据都归类为top secret。
安全实践:
  • 不对系统、appliances、网络设备、应用和数据库进行周期性检查;
  • 把基础设施锁得太紧,以至于工作变得困难或不可能;
  • 每次有人提出请求就回答“no”;
  • 施加安全条件,却不提供必要工具和培训;
  • 专注于预防机制,忽视周期性检查;
  • 没有为可从互联网访问的server设置DMZ (Demilitarized Zone)
  • 想当然地认为patch管理器正在工作,因此不去检查;
  • 因为 log文件太大读不了就删除它们;
  • 相信SSL能解决Web应用的所有安全问题;
  • 禁止使用USB设备,却不限制互联网访问;
  • 用自己的决定压过网络、系统和开发团队负责人;
  • 不跟进新技术和攻击方法;
  • 在新技术成熟前采用;
  • 只因为某人有一堆认证就聘用他;
  • 不告知其他负责人您的努力避免了哪些安全问题;
  • 不对IT员工、人员和管理者进行网络安全问题培训。
密码管理:
  • 要求用户过于频繁地修改密码;
  • 期望用户不写下来也能记住密码;
  • 强制不现实的password policy;
  • 在不同系统上使用同一密码;
  • 设定密码要求时不考虑密码被重置的容易程度。
想了解自己的风险暴露吗?

EasyAudit WEB是检查网站、门户、Web应用和受限区域的理想entry level解决方案。

EasyAudit NET让您检查暴露在互联网的网络安全。

想知道您的网站暴露到什么程度吗?

EasyAudit WEB为中小企业检查网站、门户和电子商务,提供专业外部审计。

了解EasyAudit WEB