賽班斯法案來臨中國企業(yè)請關(guān)注安全審計

2013-10-21 11:05:12 網(wǎng)界網(wǎng)　點擊量：評論 (0)

筆者自打在金融行業(yè)中扎根，對于信息安全的關(guān)注，就沒有停止過。近期一些國有銀行在香港上市，以及美國搞的賽班斯法案，都讓筆者對于信息安全的意識再度緊繃?！　∈聦嵣希瑖鴥?nèi)的大型企業(yè)里面，幾乎沒有人真

筆者自打在金融行業(yè)中扎根，對于信息安全的關(guān)注，就沒有停止過。近期一些國有銀行在香港上市，以及美國搞的賽班斯法案，都讓筆者對于信息安全的意識再度緊繃。

　　事實上，國內(nèi)的大型企業(yè)里面，幾乎沒有人真正關(guān)心過賽班斯法案的問題。這從一個側(cè)面反映出，很多企業(yè)對于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣，不過筆者從幾個金融機構(gòu)的信息安全審計報告中發(fā)現(xiàn)，很多大企業(yè)的問題相當嚴重，且主要集中在網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫領(lǐng)域。

　　首先，很少有大企業(yè)考慮過綜合布線中的安全問題，從而導致日后一些設(shè)備做級聯(lián)的時候出現(xiàn)問題。最常見的，一些企業(yè)的大廈布線，當初規(guī)定一個房間布20個點，全部走暗盒模式?？赡茈S著日后業(yè)務(wù)的發(fā)展，某個房間需要增加幾個信息點，但是結(jié)構(gòu)所限，沒有辦法進行布線了，因此很多企業(yè)就會走級聯(lián)的設(shè)備，比如臨時接一個HUB，接入交換機端口，把這些設(shè)備級聯(lián)到HUB上。HUB不支持IP，不能被管理。事實上，即使再用一臺交換機進行級聯(lián)，仍然會有安全隱患。

　　其次，目前國內(nèi)的大型企業(yè)中，幾乎沒有部署補丁管理和智能蠕蟲防御系統(tǒng)，同時也無法從監(jiān)控點看清楚全國范圍內(nèi)所有交換機的端口業(yè)務(wù)。要知道，這幾大問題是企業(yè)目前最頭疼的。有意思的是，像IBM、艾森哲等一些專業(yè)的IT安全審計公司向筆者透露，由于很多國內(nèi)大型企業(yè)在安全制度、網(wǎng)絡(luò)拓撲、節(jié)點管理上問題極多，導致他們甚至無暇顧及更加細節(jié)的網(wǎng)絡(luò)狀況與安全漏洞。

　　第三，很多企業(yè)存在為了獲取大單，直接修改數(shù)據(jù)庫的問題。任何一個企業(yè)的IT經(jīng)理都不會允許這么做，但業(yè)務(wù)部門肯定會把數(shù)據(jù)安全和身邊的利益作對比。比如一張單子，與業(yè)務(wù)數(shù)據(jù)庫中設(shè)計的要求不符，無法進入系統(tǒng)。如果營業(yè)額只有10萬，可能眼睛都不眨地拒絕；100萬的時候，可能還是覺得無所謂；1000萬的時候，經(jīng)理們要考慮了；1個億，想都不用想，老板就下命令直接改數(shù)據(jù)庫了。對此，也許只有百年老店的企業(yè)，才能夠解決，而中國的大企業(yè)還有很長的路要摸索。