如何最大限度地利用认证工具节省安全费用

日期: 2009-10-09 作者:Karen Ethridge翻译:Lily 来源:TechTarget中国 英文

2009年,对于信息安全专业人员来说,是特别具有挑战性的一年。在这一年,整个行业预算紧张,而监管要求有所增加,且诈骗犯罪或窃取敏感数据的新方法不断涌现。   为了能在这种环境中取得成功,企业的身份和访问管理(IAM)专员必须不断地重新评估高优先级资源的验证过程,寻求并鉴定更严格的需求或者改进技术需求出现的时机。但是,由于当前经济状况不佳,只有最具战略性和成本效益的IAM投资才能摆到决策者面前。

  在本文中,我们将讨论在不超出预算的情况下,如何为高风险数据、系统或交易提供更好的安全保障。   这个过程,从那些如果被未授权的个人访问而造成无法弥补的损失的功能或者数据的认证开始。在金融服务业,重要……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

2009年,对于信息安全专业人员来说,是特别具有挑战性的一年。在这一年,整个行业预算紧张,而监管要求有所增加,且诈骗犯罪或窃取敏感数据的新方法不断涌现。

  为了能在这种环境中取得成功,企业的身份和访问管理(IAM)专员必须不断地重新评估高优先级资源的验证过程,寻求并鉴定更严格的需求或者改进技术需求出现的时机。但是,由于当前经济状况不佳,只有最具战略性和成本效益的IAM投资才能摆到决策者面前。

  在本文中,我们将讨论在不超出预算的情况下,如何为高风险数据、系统或交易提供更好的安全保障。

  这个过程,从那些如果被未授权的个人访问而造成无法弥补的损失的功能或者数据的认证开始。在金融服务业,重要领域应该由资金转移系统或包含信用卡信息的资料库组成。在大宗消费品行业或制药行业,最关键的系统包含市场战略或研究成果的系统。在这些行业,使这些关键领域成为安全焦点的重要因素是无形的:金融服务类公司的声誉,大宗消费品行业或者制药行业率先占领市场获得更多的市场份额。

  由于考虑到监管要求、竞争对手的实力和犯罪方法的变化,确定哪些系统或者哪些类型的信息是最关键的,不同公司之间是不同的。安全专业人士需要知道高级管理人员认为哪些系统和信息对公司财务来说是最关键的,并需要定期重新评估风险和资产所面临的威胁。

  导致信息保护问题的首要原因是人为误差。每个接触到公司信息的人都可以直接或者间接地引发这个问题。强大的商业实践,可以以一种具有成本效益的方式来减少绝大多数人为误差引发的风险。例如,其中的方法之一就是将特权访问划分成若干专门的管理员帐户,以尽量减少在生产环境中由有特权访问权限的数据库管理员和其他人不经意造成的改变。大多数用户的一些日常活动,如阅读电子邮件或查看生产信息或功能,都应该用他们常规的账号来完成。当他们需要特权访问时,才应该用他们的管理员帐户登录。就像高速路上的减速装置---要求人们切换帐户会让他们放慢脚步,并且使他们进一步意识到自己的位置和正进行什么操作。

  如果您确定哪些具体的区域需要额外的认证技术,来表明这里存在巨大的风险,可以考虑使用已有安全工具包里面的工具,或创造现场解决方案来解决这些具体需要。

  多重验证通常用于控制从互联网进入内部网络,这些工具同样可用于创建更多的保护壁垒,来围绕需要从内部或外部访问的特定的系统或数据。许多公司在他们内部网络的最高风险系统周围建立了防火墙,要求用户使用增强的认证工具,如令牌或智能卡,来登录到这些系统,而不仅仅用他们通常的用户名和密码。利用已有的远程访问认证工具,来确定内部网络上的高风险系统周围的额外保护区域,在实施和持续管理方面都具有成本效益。这仅仅是如何用新的方式利用现有的工具,来在您的网络中创建加强安全的目标区域的一个例子。

  交易认证,通常是金融服务公司用于面向客户的系统,也可能是欺诈的目标,查看用户IP地址、硬件和其他因素,以确定它们是否符合其通常的使用特性。如果不符合,管理员可以实时标记或增加其它问题,来确定用户是否就是他/她声称的人。在宏观层面上可采取这种方法,对每个尝试登录系统的人进行分析,或者局限于尝试启动某些特定的交易的人群,比如资金转移的交易层。这些方法,既包括确定最具有成本效益战略的每一个方法的实施费用,也包括持续管理费用。往往,一种在实施费用上更贵的方法(因为要将交易层额外的身份验证需求嵌入),在维护费用上就低得多(由于受它影响的用户数量以及相应的日常管理人员数量减少)。

  在预算紧张的时代,如果你的公司有需要额外保护的高风险特殊数据、系统或功能,探测所有可能的选择,包括扩展您现用的安全工具和程序。在现有安全投资上寻找新的方法,以相对较低的成本提供需要的保护。您会惊讶于发现利用现有的工具可以做的事情。如果没有,有针对性的认证产品是提高安全性的一个具有成本效益的方法。衡量任何潜在的安全产品的花费和它的性能,让它帮助定位得到您认同的具体风险。您会发现,您将能够以相对较小的代价改善您的安全状态。

翻译

Lily
Lily

相关推荐