5、企业安全中的薄弱环节与应对策略

企业安全中的薄弱环节与应对策略

1. 数据访问与分类问题

在企业环境中，若缺乏“需要知道”原则的限制，任何层级的员工都可能访问到与其工作职责无关的敏感信息，这无疑增加了企业面临的威胁。敏感信息的界定并非绝对，低权限员工也有可能获取到这类信息。

在军事组织里，安全许可级别与数据分类直接对应，只有具备相应或更高许可才能访问特定数据。而商业组织主要采用基于角色的安全许可系统，该系统很少能像军事组织那样直接对应数据的敏感程度。不过，这并不意味着企业要采用军事风格的数据处理方式，但也不应走向另一个极端，即实施薄弱的数据分类系统，让所有人员都能访问所有数据。

2. 安全、可用性与功能性的关系

安全、可用性和功能性之间存在着明显的关系，常以三角关系呈现。当提升其中一个方面时，另外两个方面往往会相应降低。例如，若追求系统的功能性和可用性，安全性能就可能受到影响；若要使系统尽可能安全，就必须减少其功能和对用户的可用性。这里的“可用性”指的是系统对用户的可访问性，有时也被称为“易用性”。

大多数企业都面临着平衡安全和可用性的难题。以网络端口为例，如果大楼内到处都有可用的网络端口，攻击者就可能在任何地方插入笔记本电脑攻击网络服务，但用户却认为在会议室等地方能插入笔记本电脑很有用。企业若实施端口安全控制并禁用不必要的网络端口，虽能增强对攻击者的抵御能力，但频繁为合法用户启用和禁用端口会成为管理噩梦。

在社会工程攻击方面，这种平衡同样困难。比如，企业发现帮助台部门泄露了过多信息，于是限制帮助台工程师的言论，这虽增强了安全但降低了“功能性”。攻击者又会采用新的手段绕过防护，企业则进一步加强安全措施，却可能导致真正有紧急需求的员工无法得到有效帮助。