由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部的威胁管理,那么现在就应该看看了。
组织内部的威胁控制的执行过程,要以把重要信息按照影响级别分为机密性,完整性和可用性。NIST SP 800-60提供了信息类别和影响解析的例子。 数据类型 机密性 完整性 可用性 商业机密 高 &n……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部的威胁管理,那么现在就应该看看了。
组织内部的威胁控制的执行过程,要以把重要信息按照影响级别分为机密性,完整性和可用性。NIST SP 800-60提供了信息类别和影响解析的例子。
| 数据类型 | 机密性 | 完整性 | 可用性 |
| 商业机密 | 高 | 高 | 中 |
| 人力资源 | 高 | 中 | 低 |
| 金融 | 高 | 高 | 中 |
既然数据已经按照机密性,完整性和可用性解析分类,就要识别系统边界。边界应该包括系统,数据流,网络,人才和硬拷贝输出。
翻译
相关推荐
-
如何恰当地限制特权账户?
无论是为了经济利益、报复或意外事故,受信任的雇员或内部人员都拥有访问权限、知识、机会、时间来进行攻击……
-
网络欺诈背后的数据
根据注册欺诈审核师协会(ACFE)的《Report to the Nations》报告显示,每年企业因欺诈损失5%的收益。大多数欺诈者在为其雇主工作多年后才开始进行数据盗窃。
-
别忽略了内部人员威胁
对于无休无止的威胁,我们往往将过多的精力放在了外部威胁上,对内部人员可能造成的威胁却重视不足。
-
应对内部威胁:可尝试基于角色的访问控制
基于角色的访问控制可以极大增加企业网络的安全性,尤其可以有效地对付内部的非法入侵和资源使用。