企业安全

企业对于发送和接收大型文件很是头痛，他们通常会对邮件系统进行严格的文件大小限制，并且，他们也没有提供其他安全传输大型文件的方法，这使员工不得不使用个人电子邮件账户、Dropbox和其他不安全方法来传输文件。
　　本文将总结大型文件传输的安全问题，并为企业提供一些低成本方法（例如云服务、SSH FTP等）来确保文件传输活动不会造成数据泄露。
　　不安全文件传输的风险
　　发送文件是日常工作的一部分，但很多时候，企业的IT系统无法处理这些传输，或者被配置为以不安全的方式传输文件。在企业中，现在员工经常使用流行的个人存储网站来传输文件，但糟糕的密码设置或者服务供应商方面缺乏足够的安全保护都可能造成数据泄露。
　　这是信息安全团队需要发挥作用的领域，他们需要确保业务部门能够安全正常运作，同时保证其工作效率不受影响。信息安全团队的工作包括让业务部门了解安全风险，并让他们通过人力、流程和技术来缓解风险，最终让业务部门决定如何管理这些风险。
　　不安全文件传输的风险是巨大的：包含敏感的知识产权、营销战略或者销售预测的文件如果丢失，可能对企业带来负面影响；更糟糕的是，如果信用卡数据、医疗记录和其他客户信息没有安全传输，或者没有遵守PCI DSS和HIPAA法规要求，可能导致企业面临罚款或者失去客户的信任，最终让企业倒退几年。从这里来看，不安全的文件传输的风险比看起来更加严重。
　　企业必须限制员工访问Dropbox、YouSendIt、Google Drive等网站，并让员工使用经企业批准的安全文件传输系统或服务。很多这些网站使用HTTPS来传输文件，这使我们很难看到实际被传输（流入和流出网络）的内容。阻止这种不恰当的访问的最好办法之一是使用web过滤工具，同时仅向那些将其用于业务目的的人开放这些访问。另外，在域级别阻止是拒绝访问这些网站的最简单的方法。
　　企业还应该阻止这些网站以及基于代理和web的上传功能，这是切断敏感文件在不知情的情况下离开企业的主要途径。此外，这可以让安全团队来监测谁仍然在使用这些网站，以及检查特定用户或组是否出现了问题。这可能会突出特殊解决方案的业务需求。最后企业可能需要部署政策和程序来管理如何访问这些系统，并对谁访问了系统有明确的审计线索。从一开始就对用户可能的行为设置准则将帮助为安全传输大型文件打好基础。
　　解决问题
　　一些供应商（例如Accellion、ProofPoint和LiquidFiles）提供部署在企业内部的系统，作为“内部”个人存储设备。这些系统将文件本地存储在网络内的设备中，允许企业在组或者第三方之间分享资料。很多这些系统将文件存储在这个内部存储中，员工可以发送电子邮件或链接给收件人，让收件人从企业的站点来下载文件。有些供应商还提供移动应用，允许员工通过手持设备或平板电脑来访问和共享企业的文件。此外，在进入或者离开这些系统前，所有文件都可以进行审核以及扫描恶意内容。
　　此外，也有很多具有类似功能的云服务，但它们不是将数据存储在本地。这些产品允许更高的冗余、备份，并增加了存储和可扩展性。但它的一个缺点就是，企业需要确定这些数据被存储在哪里、谁能够访问数据以及厂商能怎样操作数据。虽然基于云的服务有很多好处，对于很多企业而言，云服务是可行的解决方案，但使用这种类型服务的企业首先要确保数据在存储中进行了加密，并且非常重要的数据不会被发送到云中。
　　最后，对于一些企业而言，使用SSH文件传输协议（SFTP）或安全文件传输协议（FTPS）等系统可能是最好的选择，这些系统允许企业以最低成本来保护文件传输。笔者看到过很多没有足够预算的小型企业使用标准FTP（这本身已经很危险），同时使用PGP加密软件来加密文件，再将文件发送到第三方或者供应商。请记住，这并不是理想的解决方案，但它比单独使用FTP等协议或者免费的公共服务更加安全。
　　结论
　　企业在确保安全文件传输时有很多选择，企业绝不能允许不安全的文件传输，因为这可能导致敏感数据以惊人的数据泄露出去。企业应该设置一个经批准的安全文件传输方法，并且对账户进行审计，这将是防止破坏性数据丢失的理想方式。
 

如今，安全威胁时时刻刻都在演化，但有许多问题却从未改变。在新的一年里，企业应当关注哪些安全技术和技巧，才能有效地保障企业信息的安全性呢？以下是笔者总结出来最为紧要的五条：

制造业的信息化一直被认为业界认为是最完善、最复杂的信息化系统，信息化的安全性在制造业中的地位至关重要，没有安全的信息化，企业就难有大的发展。也正是这种行业安全的理念“根深蒂固”，让制造业的信息化建设水平和信息化程度一直排在整个行业的前列。   正如前面所说，制造业与其他行业相比，信息化建设的情况现对完善，从制造业市场的调研、到生产、排程、物流、进销存、销售、客户管理、电子商务，可以说，其他行业里面所有的信息化过程都可以在制造业中体现。面对如此全面和复杂的制造业信息化系统，企业应该以什么样的思路来保证制造业整个生产流程的信息化安全？近日，记者采访到制造业信息化行业专家刘歆轶先生，他从国际ISO27001标准的风险评估的角度，研究和分析制造业信息安全全过程。   刘歆轶介绍说，制造业的信息安全体现与其他的ERP、CRM等系统一样，需要分析业务目标、制定一个评估标准，然后根据评估标准进行差异化分析，最后通过制定时间规划，进行信息化设备的选择和采购。其中信息化安全的部分，需要考虑信息化系统增长的状况与信息安全规划的协调。   企业信息化系统需要评估   制造业信息化安全的第一步是业务分析。在业务分析的基础上做风险评估。刘歆轶说到，制造业一般按照国际的ISO27001标准进行风险评估，标准中对企业的11个领域目前进而将来可能会存在的问题进行全面的评估。   具体来说，分以下几个部分，第一部分是企业制定具体的方针。整个企业需要具有信息安全的政策，并且全企业全部贯彻实施。这个政策最好是企业最高层级别的质量手册，这样可以保证方针的有效执行。   第二部分企业信息安全的组织需要完善。刘歆轶特别提到，目前很多公司认为信息安全只是IT部门的职责，实际上，信息安全与每个员工都是息息相关的，通过企业的信息安全的组织形式，如建立信息安全委员会(公司的最高层担任委员会的主席)、信息安全核心工作小组(主要做安全工作的跟踪和实施)、审计小组(对企业整个信息情况进行年度或季度内审)、信息安全成员小组(对信息安全策略进行传达)可以贯彻执行企业信息安全制度。   企业信息安全的第三部分是对企业信息资产的控制。企业所有包含企业信息的设备都是信息安全部门需要保护的对象。除了最常用的办公工具电脑外，复印件、打印机等具有输出信息功能的设备都是IT资产保护的一部分。此外，再把信息安全管控的因素加进去，把设备的类型、资产类型进行分类、标识、资产发放、合理授权，这样便于企业对其信息资产进行控制。   第四部分内容是保证人力的安全。“人”在某种程度上讲也算是信息的资产的“携带者”。每一个信息化环节上的人员都有特定的角色扮演。而每一个角色担当需要经过严格的聘用条件，选拔，以及雇佣保密协议的限制，这是从企业信息化在人员安全角度必须考虑的问题。   第五部分是信息化系统的物理安全，需要对物理边界进行把控。例如企业日常办公中的门禁系统，门禁权限分配与管理、权限申请与把控。刘歆轶介绍说，对于生产制造型的企业来说，其生产部分、研发部门因为职能的不同，对人员进出的要求也不同。尤其是研发部门，实验室的物理安全性非常重要。   第六部分是对通信等网络设备的安全管控。从广义上的服务器，到狭义上的信息化安全产品的实施和规划、验收、网络的黑客攻防，网络的安全管理，磁盘的备份都是需要做管控。一般企业的IT也是最关心这类的安全内容。   第七部分是访问控制，企业对信息系统的体系和环节都需要访问控制和人员把关，其中包括各种软件的账号管理、网络设备登陆登出管理、权限变更、人员访问和等级划分。   第八部分是信息系统的获取和开发。信息系统的开发一般包括ERP、CRM等各种软件系统的开发和实施。在开发和实施过程中需要符合一点标准。刘歆轶介绍说，美国的萨班斯法案里面的条款的要求，系统的输入保证不出现错误、中间的运算过程不能出现误差、输出结果正确无误。换句话说，如果企业自己开发的系统输入和输出有偏差，企业的CEO或者CIO可能会收到法律的制裁。特别是外企，或者在国外上市的中国企业对信息系统软件的开发的要求相对较高，企业一定要有足够的证据证明自己所开发的系统是能够做到正常输入，防止勿操作、错误数据无法输入，运算过程可追溯还有经过黑箱测试和白箱测试。此外、除了企业自己开发外，企业购买供应商软件产品时，也要要求供应商提供相应的资质证明。   第九部分是对信息安全事故的管理。企业一旦发生信息安全事故，信息安全事故的处理机制就显得尤为重要。比如发现问题、汇总问题、问题分析、事故处理、问题回顾、再次检测、事故报道撰写、证据收集、案例调整等，都需要对信息安全进行事故管理。   第十部分是业务连续性管理。该部分主要包括容灾恢复与备份、应急预案。刘歆轶说到，从美国911事件之后，地震、火灾、海啸、台风等灾难对于企业业务联系性的影响也越来越受企业重视。与灾难恢复不同的是，该部分注重企业业务连续性的要求，特别是制造业，需要让企业的业务尽快的恢复运行，通过让业务人员的访问其他代替的系统，来保证企业业务不中断。   第十一部分是企业系统的合规性。合规性体现在企业生产安全过程要符合国际的法律、法规，比如说上市公司要符合萨班斯法案、银行金融业需要符合银监会的要求、产品策略需要符合政府的要求，而这些要求最终要体现在信息系统上，所以信息系统上要有检测合规性的模块，使得这套信息系统要符合企业安全的管控要求。   企业信息化目标差距分析   企业依照以上11个方面对信息化系统进行评估后，就自然而然的了解了信息化系统整体的状况。这时候，企业的IT部门需要对评估后的结果进行差距分析。   通过差距分析，可以让企业的IT部门了解是造成的差距原因是什么，如何解决这些差距。刘歆轶特别提到，不仅仅是制造业，几乎所有的企业都面临着“可接受性”影响。比如说，很多企业认为有的风险虽然存在，但是不影响企业的核心价值，这个时候IT部门可以认为这个风险可以暂时存在，没有必要马上解决。企业的IT部门工作的职能不是“消灭所有的风险”，而是把风险降低到可以接受的这条线之上。这也是目前IT人经常容易忽略的问题。很多企业的IT部门经常在遇到一个问题时就要立刻解决掉，但是实际上解决一些小的问题的人力和财力成本，这样对于企业来说没有价值。   所有企业在进行差距分析的一个重要内容就是风险底线的分析，如果超多这个底线，就需要解决掉。经过差距分析后，信息化系统的问题，处理的时间、资金支持、资源支持的诉求可以确定，企业的信息化整体的工作计划也可随着出台。   整体计划包括可以是5年计划，3年计划，和1年计划等，通过计划的轻重缓急，企业的IT部门可以对人力进行合理分配，重点项目跟进，部门协调等等，最后经过企业高层人员的评估，确认、审批后就可以进入到具体的实施阶段。   信息安全产品选型是最后一环   谈到信息安全产品的选型，刘歆轶说到，经过上面的介绍可以看出，信息安全产品的选型在整个安全信息化项目的实施过程中是最后一个环节，举例说来，通过评估和差距分析后，信息化系统需要弥补外网的攻击的风险，这时候IT部门通过查看针对外网攻击的属于哪类安全风险，然后查看具体在计划中的哪一年的哪个月份开始实施，然后再考虑具体选择哪个供应商的产品和解决方案。   以上是整个信息化安全系统方案在企业中实施的全过程，此外企业内部还会对项目的实施效果进行审查和审计，如果企业需要做认证的话，还需要进行外部审计。

网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（Advanced Persistent Threat）攻击，或者称之为“针对特定目标的攻击”。
一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。
此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。
更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。
对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用0day漏洞的攻击）。
下面列举几个典型的APT攻击实例，以便展开进一步分析。
Google极光攻击 2010年的Google Aurora（极光）攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。该攻击过程大致如下：
1）                对Google的APT行动开始于刺探工作，特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2）                接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行（由于其中部分程序的编译环境路径名称带有Aurora字样，该攻击故此得名）。
3）                接下来，攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4）                最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。
夜龙攻击 夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。该攻击的攻击过程是：
外网主机如Web服务器遭攻击成功，黑客采用的是SQL注入攻击； 被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描； 内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解； 被黑机器被植入恶意代码，并被安装远端控制工具（RAT），并禁用掉被黑机器IE的代理设置，建立起直连的通道，传回大量机敏文件（WORD、PPT、PDF等等），包括所有会议记录与组织人事架构图； 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。
RSA SecurID窃取攻击 年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网络通讯方式，直接寄送电子邮件给公司职员，并附带防毒软件无法识别的恶意文件附件。其攻击过程大体如下： 1）  攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”，寄件人是webmaster@Beyond.com，正文很简单，写着“I forward this file to you for review. Please open and view it.”；里面有个EXCEL附件名为“2011 Recruitment plan.xls”；

2）  很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞（CVE-2011-0609）。这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”（叉）。而这个叉实际上就是内嵌的一个Flash。
3）  该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自BotNet的C&C服务器（位于 good.mincesur.com）下载指令进行任务；
4）  首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
5）  RSA发现开发用服务器（Staging server）遭入侵，攻击方随即进行撤离，加密并压缩所有资料（都是rar格式），并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹；
6）在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司（例如上述防务公司等）进行攻击了。
另一个与此攻击类似的攻击事件是针对Comodo的颁发数字证书的系统攻击，结果导致很多由Comodo签发的伪造数字证书，成为了攻击者的强大武器。
超级工厂病毒攻击（震网攻击） 遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个0day漏洞，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。

Shady RAT攻击 2011年8月份，McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等。其攻击过程如下：
1）  攻击者通过社会工程学的方法收集被攻击目标的信息。
2）  攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参加某个他所在行业的会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅某个真实存在的项目的预算，等等。
3）  当受害人打开这些邮件，查看附件（大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls），受害人的EXCEL程序的FEATHEADER远程代码执行漏洞（Bloodhound.Exploit.306）被利用，从而被植入木马。实际上，该漏洞不是0day漏洞，但是受害人没有及时打补丁，并且，该漏洞只针对某些版本的EXCEL有效，可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。
4）  木马开始跟远程的服务器进行连接，并下载恶意代码。而这些恶意代码被精心伪装（例如被伪装为图片，或者HTML文件），不为安全设备所识别。
5）  借助恶意代码，受害人机器与远程计算机建立了远程Shell连接，从而导致攻击者可以任意控制受害人的机器。
综合分析以上典型的APT攻击，可以发现，现在的新型攻击主要呈现以下技术特点：
攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现； 攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，邮件内容分析也难以奏效； 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范； 初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击； 在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力； 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了； 还有的企业部署了内网审计系统，日志分析系统，甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。 8）受害人的防范意识还需要进一步提高。攻击者往往不是直接攻击最终目标人，而是透过攻击外围人员层层渗透。例如先攻击HR的人，或者首轮受害人的网络好友，再以HR受害人的身份去欺骗（攻击）某个接近最终目标人的过渡目标，再透过过渡目标人去攻击最终目标人（例如掌握了某些机密材料的管理员、公司高管、财务负责人等）。
因此，在APT这样的新型攻击面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。
【鸣谢】感谢张延佳同学给我提供的资料。

1、做一个项目为什么培训那么多次，一直是个困扰我的问题，今天突然明白了一个简单的道理：安全关键是人的安全，是三分技术，七分的管理，所以要把安全意思贯彻下去才是一个安全项目的成败所在啊！协助有效的把筛选出来的制度根据步骤执行下去：需要执行相关制度的人员进行培训同时进行考核。
2、安全制度和企业的制度结合起来才能生效，否则那只是变成了费力不讨好根源。企业的文化一旦形成，你想动制度，比较难，所以我们现在能做的就是技术管理了。
  3、现在的企业全部注视企业效率,企业的盈利,对于安全方面的事情,往往不会提到桌面上进行讨论,甚至懒得提到嘴边进行讨论,这样就造成cio提出的方案根本不可能得到真实的反馈，一般草草了之；  造成了一但安全制度和行为影响了业务部门的业务流程操作，领导就会将这些问题归咎为it部门的过错，进行强制工作，将之安全制度抛之脑后；  但是，一旦企业出现安全漏洞，安全危机影响了企业的经济效益，这时候他们又会跳出来，指责it部门为什么没有之前采取措施，又将it 部门放到讲台上进行炮轰；
  4、这里的管理不是你说的那个技术管理，  人员管理：合法和拥有合理权限的人的管理，避免其范认为错误造成损失。避免其到竞争单位去泄密，避免其乱丢机密文件等等造成的损失。  物理管理： 能够被人一手拎走的取款机，怎么说也是不安全的。  操作管理：避免人思维不完善造成误操作或忘记步骤造成的风险。  法律遵循:要保证所作所为要符合法律要求，同时具备可追踪性。
  5、人员管理：从计算机技术而言重要的是其操作人员管理，包含口令管理和授权管理等等，在我这里，对口令管理现在使用指纹认证＋口令管理，能够很大程度上防范非法人员进行非授权系统，我不是说技术可以解决所有安全问题，而是说技术管理也更需要新的有效的技术手段，至于泄密问题，现在我们采取的措施有几个，一个是将核心数据分离，在专用网段上操作，和普通办公网络进行分离（物理上），一个是对重要数据进行加密存放。这些技术手段采用可以加强系统安全，现在也有一些动态口令卡等技术可以采用了，不过考虑成本问题还没有应用，当然规章制度等配合执行也是必须的。  物理管理：对于请几个保安和使用指纹门禁监控系统，我们采用的是后者，也是技术手段。 操作管理：对于技术人员进库进行数据调整等重要工作，现在已引进了一个数据库集中调整工具，可记录、可审计、报警，由操作人员提出需求，技术人员编写sql脚本，审核后进入调帐系统进行操作，对于多个分散的数据库只需在一个设定的工作台上才能进行，对于其他一些操作，尽量不直接使用操作系统的命令，而是做成菜单进行调用，控制操作步骤，防止误操作。  当然任何手段都不是绝对的，最终是人的因素决定的，管理和技术其实都是无处无时不在，严格分离没有很大意义，管理需要技术手段，技术最终靠人来管理，所以从我的经验来看要并重的，也就是我说的五分技术五分管理。
  6、现在在实际操作中，就要将无形的管理有形化，现在ITIL推行流程管理等，也是将无形的管理通过流程管理和配置管理等工具变成有形的、可审计的、可量化的，同时支持IT的量化绩效管理。
  7、对于信息安全，当没有这些那些技术的时候，就是管理，忽略技术，我们依然能做信息安全，依然能做管理，可是忽略管理呢？技术能做什么？只是技术人员的游戏了。所以我想这才是他所说“三分技术，七分管理”核心。 技术只是便于管理，况且有些问题向计算机病毒，网络攻击这些问题是IT技术本身不完善带来的，相对来说也增加了管理的负担，所以其言“三分技术，七分管理”。
  8、IS部门是服务部门，IS工作者要优先考虑企业的文化、目标、业余、高级管理层对待风险的态度才能够制定符合企业需要的安全策略。若IS工作者仅考虑事故对工作的影响而无法站在企业的角度去考虑问题那么他仅仅是一名合格的Admin而不时ISO  企业体系结构 风险分析 成本效益分析是当前国内安全咨询顾问急需填充的新的知识体系。
  9、其实领导们都只是关心管理，他们不会关心技术的。这就是信息中心的作用了。领导们在关心企业盈利“之余”，如果还有精力关心信息安全的话，那么他也只会关心效果。  他们会把信息中心主任叫到办公室来，并对他说：  “我们要做到如下一二三四五点，技术上能不能做到？如果能，需要多少钱和多少时间？如果不能，那么保证一二三点，可以吗？需要多少钱和多少时间？至于第四、第五，不能完全做到，那能够做到什么效果？能不能采用变通的办法做到？这个变通的办法，需要多少时间多少钱？至于变通会带来多少不方便？这些不方便，如果可以忍受，我们就颁布新的管理制度，要求大家严格遵守，至少让他们不敢公开的在会上跳起来骂你们部门。”    这就是技术和管理在领导的头脑中的关系。
  10、安全管理工作中要始终坚持“安全第一，预防为主”的指导方针。并且每个人的责任一定要明确到位。
  11、安全所说的三分技术，七分管理并不是在区分技术与管理孰轻孰重，在实际工作经验中，应该是五五并存的，技术花钱就可买到，管理却不行。信息安全管理的底层的是靠ITIL来支撑的，所谓P.P.T，人员、技术、流程三者密不可分，大多数人太过重关注技术，一有问题就会考虑从技术层面进行解决，其实如果将人和流程管理好了，技术反而是次要的了。   12、三分技术七分管理的思想我是接受的,但如果把客户的安全意识建立在这个基础之上是很难的.  人都是喜欢亡羊补牢的—-虽然很多人连补都不愿补!  只有真正出现了安全事件,人的安全意识才能够提高.  所以杀毒软件公司制造病毒,安全公司进行漏洞测试等都是一个道理,就是把事件制造出来,人的意识才能够提高上去.不吓唬吓唬,怎么能够把产品卖出去呢。
  13、一般来说，知识越密集的企业，安全工作越好作，因为它的影响很大。可是国内的情况是，拼人力成本，大部分企业都是劳动密集型的。
  14、技术是形式，安全管理是内容，形式是为内容服务的
。 15、信息安全是一个动态的、预防为主的、多层面的、整体的、全员参与的持续过程。
  16、一个安全服务项目,重要不是要你多做,而是要你多说.  怎么说呢?    不是乱说,而是用你的公司或个人理念灌输到用户脑子去,从而另一个方面提高用户的安全意识.    只要达到这一点,你的项目也就是基本到初验阶段了.  17、在做项目的时候，经常会遇到一些管理方面做的很到位的大客户，但是经过高强度的渗透测试也还是能发现很多重大的业务安全问题。
  18、做安全就个人来说一定要有敏感性，对技术动向的把握和领悟，对企业来说，管理和标准化才是安全做大做强的保障，可能你的团队在技术方面已经领先于其他企业，但是如果管理和标准化跟不上，带来的弊病是相当严重的，高端人才的培养，核心骨干的挽留，安全服务的标准化，企业整个流程都应当是相当清晰和规范的。同时，企业更要注重一个知识库的积累，包括技术方面，经验方面和管理方面等等，绝对不能因为人才的出走或其他原因而导致某些方面一撅不振，人才的知识和经验在企业内部的扩散是很有必要的。
  19、和所有的网络攻击一样，最难预防的是，一切的操作隐藏于正常行为之中，以前的多篇blog中也有描述，这是网络攻击的最高境界，也是最难防御的。而一般的杀毒、IDS、ips、防火墙一类的安全设备，都是通过特征匹配的，所以，只要攻击行为换套马甲，安全设备就需要升级特征码，如果攻击行为更有创意，更有思路，安全设备几乎就全部废了。 这就是咱们的安全现状，这就是我们最担心的地方。

很久以前，Jerry Saltzer和Michael Schroeder发表了一篇论文，题为“计算机系统中的信息保护”，该论文的第三部分提供了信息安全的一些基本设计原则。人们都说，他们给安全界带来启发式的影响，其实不仅如此，在近40年后的今天，他们早在1975年提出的原则仍然实用。

尽管软件即服务（SaaS）和基础架构即服务（IaaS）环境在都包含外包服务上类似，但是一个要确保SaaS应用安全的客户战略却更为复杂。因为SaaS和IaaS环境主要的不同在SaaS环境缺乏控制，确保SaaS应用安全战略也就完全不同。在这篇文章中，我将住处SaaS环境中的职责。

长期以来，统一威胁管理（UTM）及其升级版可扩展威胁管理（XTM）一直被视为网络安全的一站式解决方案，但中小企业现在仍然喜欢用这个技术吗？还是独立产品又卷土重来了？

现阶段，人们使用最多的通信工具是移动电话和平板电脑，用圆珠笔办公的日子已经离我们远去。随着高科技的日益普及，人们更习惯用自己熟悉的工具来工作。

RightScale安全与合规总监 Phil Cox在RightScale的官方博客上发表 文章，介绍RightScale如何监控公共云IaaS中的安全。