| |
CIO:应从安全审计上获得更多
| |
铭万网
|
时间:
2008年02月04日10:11
|
信息来源:
eNet硅谷动力
| | 编 者 按 :在被盗的Vista数据资料中,许多是由于安全审计部门错误地清除了资料而造成的。安全专家认为,审计部门对CIO尚未知道的问题缺乏足够的重视。
|
在被盗的Vista数据资料中,许多是由于安全审计部门错误地清除了资料而造成的。安全专家认为,审计部门对CIO尚未知道的问题缺乏足够的重视。
安全审计部门通常是由所在公司成立的,负责财务审计方面的事务。相当于一家公司的安全监理。但是在实际情况中,许多安全审计部门在高压的行政管理下,只能反映公司CIO所不知道的少数安全隐患问题。
审计部门经常会忽略一个常见的安全隐患:系统的相互依赖。例如,一个制造厂可能会由于网络病毒的感染等问题而不得不被公司关闭。但是同样有些自作聪明的公司却没有这样,而是将其网络系统与财政部门的网络连接了起来,从而让黑客轻而易举就得手了。
滥用网络域名很容易导致用户名和数据资料被盗,因为它会有意去造成一个合法公司的网络堵塞,然后复制其密码和许多其它的重要信息。
公司如何才能更有效的发挥审计部门的作用?
行政管理人员必须明确他们买来的是什么。安全审计部门常常被和安全评估单位混为一谈“一份漏洞百出的安全评估绝不等于安全审计。”安全评估的有效性仅占安全审计的13%到15%。但是也可以认为,一份详尽全面的安全评估就像安全审计一样发挥着作用。但是安全审计的要求水平是远远高于一份安全评估的。
美国计算机网络犯罪审判部门的前任负责人Mark Rasch 以及政府部门的网络安全负责人Robert Tappeny 一致认为:安全审计和安全评估这两个概念确实存在一定的迷惑性,但事实上它们是相互对立的。Rasch认为,安全评估比安全审计很容易让人理解。
其实,这两项策略都是源自一个问题,同时它们还牵涉到了其它的许多财政问题,投资者应该被清除的告知他们现在需要注意的是什么,什么样的问题该找什么样的人来评估。
事实上,安全审计还存在着很大的问题。管理人员希望审计部门能告诉他们一些对公司有帮处的建议。他们也许希望审计部门能主动地发现存在的安全隐患,而不仅仅只评估他们认为该评估的事情。
|
| | | |
本网引文仅用于传播,无经营目的;文章观点纯属作者个人意见,不代表本网观点;与本文相关意见及异议,请发信至zhaofeng@mainone.cn或致电:58271212-545。
| | |
| | | |
|
