监控用户行为

Gartner的研究副总裁Jay Heiser表示，监控是CIO们急需加强的环节。很多企业过去只是忙着切断隐患通道，而不是去主动监测通道上发生的一切。

“传统上，人们都觉得在门上多加几把锁会更有效。但是，如果有人从窗户里进来怎么办？”Heiser举例说：“如果说2014数据安全事故的集中爆发带来了什么变化，就是人们充分认识到了主动监控的重要性。”

有些企业已经受益于入侵行为发现技术，后者可以监测到用户带有恶意的行为。IT首先要知道什么行为模式是正常的，然后才能识别异常进而检测是否有入侵发生。

“如果通常一周有5000次用户登录，近期这个数字突然变成15000，你就应该好好调查下发生了什么。”Mediaocean的Baker解释到。

过去，正常行为模式中一个小的尖峰凸起很可能被管理员忽略。但是，现在CIO们会在远程监测这种异常。很多时候，这样做并不是为了防止或化解明显的攻击，而是为了发现潜在的高级攻击行为。

“当出现异常时，你不能就是说‘哦，看看它下次什么时候出现’。你必须要想到这可能是有人正在进行攻击，然后采取相应的措施。”Baker说。

　　员工培训：保持警觉、及时汇报

根据事后排查结果，有些安全事故是由于员工的不规范或不谨慎行为导致的。企业安全措施的很大一部分就是对员工进行培训，使之对于自己在网上的行为保持足够的警觉。

专家表示，即便对一封来自于不常联系的同事或合作伙伴的电子邮件，都应该保持警惕，尤其是当对方要求打开附件或提供敏感信息时。当收到这类或其他可疑的电子邮件时，员工应主动联系IT部门。因此，需要对员工进行培训，但不要期望仅凭短期的培训就能够建立起这种警觉。

“你不可能在一个礼拜甚至一个月内就教会员工这些。但是，如果每天都被灌输一点，慢慢就会变成习惯。”一位来自于某安全公司的IT经理表示。这家公司为客户提供这方面的培训软件，帮助客户的员工建立安全的行为规范。

这些用于消减内部威胁的措施不能仅限于员工队伍。同很多CIO一样，Appian的Beckley也开始把企业顾问和合同工纳入进来 – 这些人同样能够在不同级别上对企业系统进行访问。对于那些临时性的员工(包括即将离职的员工)，必须禁止他们在离开后访问系统。

“当这些人访问系统时，必须有严格的流程控制和身份认证。当他们离开后，必须废除密码，撤销访问授权。”Beckley说。

一家网络安全初创公司(专注于开发企业服务点威胁监测工具)发现，对员工进行企业安全风险培训的最佳途径是先教会他们保护自己，比如在社交网络发言、网络购物和打开电子邮件时该注意哪些事情。

“最主要的就是当你上网浏览、打开邮件和点击链接时，清楚了解自己正在做的事情，知道可能存在的安全隐患，”该公司的CIO说：“如果员工能在家里时也有保护个人隐私的概念，那么在工作中就可以自觉保护公司信息。”

　　远程访问和数据加密

IT领袖们认为，员工在移动技术的使用方面也应该有足够的谨慎。比如，不要在处理公司敏感数据时通过公共WiFi访问互联网。这类警觉性对IT员工来说是应有之义，但对那些已经习惯于用智能手机来处理个人事务员工来说则需要加强。

Baker表示，他禁止员工在公司以外将数据下载到远程设备上。

“员工无法通过自己的设备直接连接到公司的系统。”Baker说：“尽管可以看到相应的界面，但是此时设备只相当于一个哑终端，无法进行数据的交互。”

对于那些有远程访问企业系统的公司来说，设备加密的办法正逐渐流行，以此保证数据内容的不可访问。而且，IT团队还能远程擦除或剔除一个遗失或被窃的设备。

Appian的Beckley认为，毫无疑问，数据加密肯定比用密码登陆更为安全，后者密码容易丢失和被复制：“个人密码就是梦魇一场，迟早要被抛弃。我们需要的是诸如指纹类的生物认证，以及对设备的加密。”

(责任编辑：安博涛)