企业面临的四种数据泄露风险及应对策略

　　企业管理人员也许不接触关键的商务应用程序运行，但他们却管理许多敏感的公司信息。企业官员经常批准助手和记录员访问战略性数据和通信以便更方便地工作。因此，这些善意的助手经常是黑客、诈骗分子和间谍的目标。对于企业数据安全，管理人员应该了解如下四件事情。

　　1.了解“假托”攻击

　　据Asero Worldwide安全咨询公司北美分公司副总裁Douglas Beaver说，70%的IT突破事件是内部人员所为。在许多情况下是员工意外泄漏了信息。

　　管理人员必须防备“假托”诈骗攻击。这种攻击包括设计一个方案劝说一个目标发布信息或者采取一个行动。

　　Beaver解释说，这种攻击通常是经过电话实施的，简单的就像撒个谎一样。假托攻击者事先进行一些研究工作并且利用一些已知的信息(如生日或者社会保险号码等)在攻击目标的头脑中建立合法的印象。这种信息包括如何访问系统、客户信息或者其它任何种类的数据。

　　针对年轻人的攻击可能会有很大收获。没有经验的员工很容易成为假托攻击者的猎物。

　　IT应对措施：Beaver劝告企业要培训员工如何正确地鉴别电话。建立一些政策规定员工能够发布什么信息和不能发布什么信息。定期重新培训员工，让他们了解现实世界的例子。

　　2.管理人员可成为间谍攻击的目标

　　在2005年，以色列诈骗调查人员破获了一个重大的间谍案。在这个案子中，一些公司雇用私人侦探在管理人员的PC中秘密安装软件。这些PC就被能够窃取金融信息的木马程序感染了。

　　据调查人员称，创建这种软件的黑客采用两种方法把恶意软件安装到目标计算机上。一种方法是通过电子邮件发送。另一种方法是用光盘的方式发送给目标公司，声称里面包含一家熟悉的公司提供的商业建议，这样就不会引起怀疑。当员工把光盘放在计算机中阅读这个商业建议的时候，这个木马程序就感染了那台计算机。

　　IT应对措施：让员工了解间谍攻击的各种手段。防火墙管理公司Algorithmic Security的首席技术官Avishai Wool说，丢失下个季度的销售规划造成的破坏可能比在网络上受到病毒感染给IT部门带来不方便的后果更严重。

　　3.不要接受陌生人的礼物

　　大多数管理人员在开会时或者贸易展会时喜欢拿一些免费的礼品。但是，这些光盘和存储棒可能装有能够破坏你的系统的软件。

　　IT应对措施：制定一个政策，不允许员工把这些礼品带到工作场所。Wool说，如果有人给你一个免费的CD或者DVD，即使是在贸易展会或者商业会议上给的，你也不要把这些光盘插入你的工作计算机。一定不要插入优盘，因为优盘能够存储可以自动运行的软件。

　　4.如果你要在企业步步高升 请保持干净的记录

　　当雇佣一个管理人员的助手时，这个职位也许不需要进行犯罪或者金融背景检查。但是，随着这些人员在企业的职位晋升，一个干净的记录就变得非常重要了。

　　告诉员工他们应该保护自己。他们应该保持自己的金融和警察记录上没有污点。风险控制公司Control Risks Group的高级顾问Bill Nichols说，你有一个高层管理人员现在有一张信用卡订购旅行服务。或者这个首席执行官有一个大量开支的账户。他们没有注意到这个员工在购买一台计算机之后在付账的时候要在eBay拍卖网站上出售。

　　IT应对措施：偶尔进行检查。了解员工在首次雇佣之后没有犯罪或者陷入财务困难的记录。