当今,
网络攻击事件层出不穷,
许多企业把如何抵御黑客入侵视为风险管理的重中之重。
他山之石,可以攻玉。
美国国防部管理安全漏洞的经验值得企业学习。
美军最核心的经验是:
技术固然重要,
但更关键的是减少人为失误。
为了根除人为失误,
企业必须遵循6项原则:正直、知识深度、
遵守流程、有力后援、
质疑态度和沟通正式化。
美军的IT系统曾经漏洞百出,
现在却日益坚固,
可以在几小时甚至几分钟内
搜索到入侵对象并进行补救。
仅从2014年9月
到2015年6月,
美军就瓦解了已知的3000
多万次恶意进攻。
对系统造成破坏的
漏网之鱼不足0.1%。
向军事网络发起的攻击
往往相当复杂,
美军取得这样的成绩实属不易。
美军最核心的经验是:技术升级固然重要,但更关键的是减少人为失误。网络管理员和用户的失误造成了绝大多数袭击得逞。这些错误包括未能及时给系统遗留漏洞添加补丁、参数设置错误、违反标准程序等。
在解决上述问题的过程中,一位上将功不可没。他就是“核动力海军之父”海曼·里科弗(Hyman Rickover)。由他发起的核动力推进项目在60年间保持了零入侵纪录。里科弗竭力避免人为失误,核动力军舰上所有推进装置的操作者必须经过严格培训,避免出现操作失误;另一条原则是,在异常现象造成重大故障前及时修正。美国国防部在IT保卫战中一直参考里科弗的方法。本文的两位作者桑迪·温内菲尔德和克里斯托弗·基希霍夫都曾深入参与其中,他们写作此文的目的是希望推广国防部的方法,供企业领导借鉴。
企业网络和国防部网络类似,时刻面对着各方的攻击。攻击来源多样:单一民族国家、犯罪组织、网络黑客、无耻对手、不满的内部人员。索尼、塔吉特、家得宝、内曼·马库斯百货、摩根大通银行、Anthem医保等公司都曾被黑客盗取或破坏过数以亿计的信用卡或客户信息。某些能源公司刚刚完成地质勘探时,网络窃贼就盗取了油气储藏信息;重大交易前夕,黑客从公司内网中删除了谈判策略;国防部承包商手中的武器系统数据也惨遭删除。在过去3年里,美国针对化学、电气、水力和交通领域的重要基础设施-系统的网络入侵增加了17倍,难怪美国政府将提高公共及私人领域的网络安全列为国家要务。但是,近期联邦政府人事管理局被黑客入侵一事爆出,大家意识到问题依然严峻。
已有0人发表了评论
哈佛网友评论