数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
企业如果不重视信息安全会有多严重的后果?这可能会对一个国家的安全造成危害,让我们来看一个真实的案件。2017 年,美国三大信用评级公司之一的 Equifax未能保护好其客户与消费者的敏感数据,导致近 1.5 亿人的个人信息泄露。这其中包括姓名、社会保险号码、出生日期、地址等重要信息。黑客甚至还偷走了 20.9 万张信用卡号和 18.2 万份包含个人身份信息的文件。
征信数据对于个人的重要性不言而喻,因为这次事故,美国将近一半人口的信息安全都处于风险之中。那这一切到底是怎么发生的?经过事后调查发现,Equifax 公司对于信息安全的忽视简直到了麻木的程度。首先,未能修补已知的严重漏洞,使其系统面临长达 145 天的安全风险;其次,未能实现基本的安全协议,包括文件完整性监控、网络分隔;最后,在攻击者获取数据的过程中,安全设备的证书过期19个月,又使得可以提前发现的攻击行为被掩盖。
所以,对于一家企业来说,信息安全建设应该有一个完整的体系,包括安全意识、软硬件设备、防护策略、运营管理等。要如何形成这样的体系呢?答案就在《企业信息安全体系建设之道》这本书中。我们先来弄清楚企业的信息安全都包括哪些方面。
一、什么是企业信息安全
信息安全,是指为数据处理系统建立和采用的技术、管理方面的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。这些有价值的信息就称为信息资产,是企业要重点保护的目标。信息资产有三个重要的属性,也称为信息安全三要素:保密性、完整性以及可用性(Confidentiality、Integrity 和 Availability,缩写为 CIA)。基本上企业所有的安全防护策略都是围绕 CIA 设计和实施的。企业信息安全存在风险是因为攻击者可以利用系统漏洞破坏信息资产的 CIA。企业要做的就是通过有效的防护措施,降低被攻击的可能性,减少系统漏洞,保护企业信息资产。
信息安全的基本概念之间的关系防护措施必须要形成体系才能发挥出最大作用,企业要在特定范围内建立安全风险管控方案,通过使用不同的安全策略、安全产品与系统,从技术和管理两个层面管控整个企业产品系统的安全。企业信息安全体系应当包含哪些关键点?
二、全方位打造企业信息安全之道
如果企业从上到下对信息安全已经高度重视,那接下来的问题就是如何构建信息安全体系。书中内容分为安全基础、安全管理、安全技术、安全运营等四大部分,论述全方位打造企业信息安全体系的设计与实践。
安全基础安全人员要知道相关基础知识,如信息安全的基本概念、安全控制措施、实现措施的手段以及攻击与防御等信息安全基础知识。熟悉可信安全相关基础知识,包括可信计算机系统、可信计算技术,以及零信任理念的架构与技术。
零信任架构书中将信息安全体系建设的指导思想总结为“道、法、术、器、势”,并提出了包含五个过程的建设步骤,基于 PDCA(即Plan计划、Do执行、Check检查和 Act处理) 的建设方法,周而复始地运转,持续完善及更新,实现系统的迭代升级。
1、安全管理
企业安全建设工作的第一步是建立合理的安全管理组织机构。组织应该有效制定共同目标,合理、科学地确定组织的成员、任务和各项活动之间的关系,并协调、配置资源。安全管理工作的一个重点是针对系统漏洞的风险管理,企业需要识别和评估风险并制定相关计划和安全措施,使风险降到可控程度。企业开展安全管理工作也要符合监管规定,并且要有安全体系认证,要具体了解《中华人民共和国网络安全法》等法律条文。最后,企业要重视员工全周期的安全管理和安全意识培训,让员工明确自己在整体安全建设工作中的角色和责任,增强安全意识并降低企业整体安全风险。
2、安全技术
这一部分对安全防护措施和软硬件系统进行了详细的介绍,有以下六点:
· 访问控制与身份管理:使用集中身份认证管理,做到用户认证、授权、审计的集中化处理;
· 物理环境安全:具体措施有门禁系统、保安巡查、物理入侵检测、照明系统、闭路电视、消防联动控制系统等;
· 安全域划分:建立网络隔离策略、网络准入及远程用户访问,利用防火墙及访问控制列表进行网域划分;
· 安全计算环境:从系统安全、加密技术、反恶意程序、入侵检测技术、蜜罐技术、安全审计等方面,介绍构建企业安全计算环境的安全技术措施;
· 应用安全防护:介绍了 Web 安全、App 安全、API 安全等防护手段。说明了部署高可用设备,以及做好备份、恢复、防范 DDoS 攻击措施的方法;
· 数据安全防护:介绍了层级纵深防御机制,企业应当贯彻纵深防御理念,将企业数据资产保护在多重防线下。
防火墙示例
安全运营这一部分介绍安全人员在安全运营方面所使用的安全流程、方法和系统。介绍了保持企业安全防护状态的各种办法,例如,用于开发安全产品的安全开发生命周期管理;用于上下游第三方管控的供应链管理;威胁情报(用来收集内外部情报,从而进行针对性保护的方法);日常的安全监控和安全扫描(用来评估系统状态)。在面对灾害时,要能够估计潜在的损害和损失,对潜在的灾难进行分类和排序,并在这些事件真的发生时制定可行的替代方案,让业务可以持续运营。最后介绍安全运营中心,构建企业中的各安全设备及系统协同运行,实现对各类网络安全资源的集中监控、统一策略管理、智能审计,以及多种安全功能模块之间的关联分析。一家企业如果能将这四个方面的安全工作做好,就可以为业务保驾护航,抵御风险的侵袭,从而赢得客户的信任,在市场上不断成长。
三、结语
企业的信息安全体系建设不是一朝一夕之事,应该制定并实施严格的信息安全策略,包括保护网络和系统的安全,加强员工的安全意识和培训,定期进行风险评估和漏洞扫描,并建立应急响应计划来应对安全事件。将所有这些事情联接整合好,就是体系化建设的意义所在。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数字化转型网默然。
