数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
什么是企业信息安全?企业信息安全是什么?国际、国内对信息安全的论述大致分为两大类:一类是具体的信息安全技术系统的安全;另一类是指某些特定的信息体系(如银行系统、军事指挥系统)的安全。但也有人认为这两种定义也不能完全概括信息安全问题。
对企业信息安全的认识会存在什么误解?
1、信息安全只是IT部门的事情
2、有了防火墙和杀毒软件就可以了
3、上云就可以了
4、外包出去就可以了
首先,信息安全一定要自上而下,必须由企业的高层管理者推动实施,最低也要是CIO的级别,最好是CEO或者企业的拥有者来推动。原因很简单,信息安全管理必然是一定程度上的牺牲便利性为代价的,所以在推动的过程中或多或少会遭到一些阻力,有了强大的背书才能使各个部门积极配合,共同打造企业的安全防御体系。
其次,业务为王,一切技术和制度都应该是为业务服务的,而不是阻碍业务的发展。没有企业是为了安全而存在的,最安全的企业应该是一个不存在的企业。安全性应当是企业业务的一个属性,需要所有部门共同来打造,它代表企业业务的健壮程度,能够提供更稳健的服务,而不能让安全成为企业业务的负担。
有的企业认为信息安全管理就是上设备,把市场上的一些时髦的网安设备加到现有的架构中就可以了,有的企业觉得把业务数据上云后就和自己没有关系了,云供应商会保证信息安全,等等。这样的理解其实是片面的,上云和加防火墙和杀软(前提是防火墙真的启用了),确实能一定程度上防范一些攻击,但弊端在前面也讲过,规则难以制定。
另外,根据现在流行的渗透方式来说,纯靠技术手段去窃取信息和搞破坏的案例并不多,更多的是员工的误操作和社工(社会工程学攻击),一个精心设计的钓鱼邮件足以让企业的安全措施土崩瓦解,一个注入了后门的“绿色免安装”软件让企业信息系统变成矿机也不是什么难事。所以,企业信息安全应当做到技术和管理两手准备,这样才能达到一个满足期望的效果。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数字化转型网默然。
