企業網路資訊保安管理

2021-05-28 09:17:58 字數 1989 閱讀 9194

講述資訊保安資訊保安實際上是乙個架構,其中包括一套完整的作業流程及運作機制。iso27001(原bs7799標準)正是這樣一套資訊保安領域的國際標準。它已經成為世界上應用最廣泛的、典型的資訊保安管理標準。iso27001的資訊保安架構共包括11個控制域、39個控制措施、133個控制點。其中的控制域包括:安全策略、資訊保安組織、資產管理、人力資源安全、物理和環境安全、通訊和操作安全、資訊系統獲得,開發和維護、訪問控制、資訊保安事件管理、業務連續性管理、符合性。

熟知資訊保安的三個主體

人。首要的主體也就是人,再安全的架構,缺乏安全意識的人去使用,也照樣漏洞百出。資訊保安團隊的建置,合理的權責界限,合格的第三方支援人員等等,涉及到安全管理活動鏈條中的每個角色都必須經過安全評估。管理的是人,被管理的也是人。看似矛盾過程,但實際上是乙個相互制約相互促進的過程。另外,企業安全的執行需要企業高層的支援,中層的督促,員工的執行。缺少任何乙個,所有的工作都會成為徒勞。安全是需要全員的參與,提高全員的安全意識,才能全面做好整個企業的安全工作。

流程。有了安全意識的人員,沒有安全的流程,一旦企業資訊環境發生了變化,安全將不復存在。故而定製可高效執行的,可管理的流程,標準化各個方面的作業管理,是維持企業資訊保安的有力支柱。如果說人是整個安全體系中最重要的主體,那麼流程則是安全體系中的靈魂,通過流程,可以了解及控制整個安全專案的作業標準、規範及完整性。如果安全性改善在實施過程中發現問題,就需要通過預定的流程,提出改善建議,向指定部門提交報告,從而不斷完善整個流程的合理性及適用性。

技術。有了安全的人和安全的流程,還需要匯入有效的工具,以控制流程的安全執行,因為最有安全意識的人,也會懈怠!技術是人和流程上的乙個補充,通過技術實現自動化控制的最大化,是實施安全技術的基本原則。例如,建置soc系統,以提高安全事件的響應;匯入資產管理系統,以加強軟硬體的集中、自動化的管理。

這三個安全主體構成了企業資訊保安穩定的體系架構,缺一不可。

了解資訊保安架構

資訊保安的體系架構在設計之前,需要深入到企業內部了解兩方面的問題:

定義資訊保安範疇

任何乙個專案的執行都必須定義範疇,沒有執行範疇的專案只能是漫無邊際而又毫無效率!而如何定義資訊保安所覆蓋的範疇(scope),以及評估範疇內各個方面所面臨的風險(risk),就成為資訊保安架構的要素。

範疇(scope)的界定非常重要。它關係到企業內業務的保護層面。現在,我們在前期所做的工作就有用了。根據前期對業務的調查,界定資源保護的層面。其實所有評定條件的標準都需要依據企業內業務的內容、性質作為前提條件。

風險(risk)的評估更為重要。因為企業內各項資源的重要及安全級別的評量,將直接影響到企業內業務的保護程度。這將需要我們花費大量的時間和精力,根據界定的範疇來評量這些需要保護的資源的風險。

只有做到清晰的範疇界定和符合原則的風險評估,方可在一定的成本預算下,對需要保護的資源實現最大程度上的保護,盡可能降低整體的安全風險係數。

制定資訊保安策略

接下來,我們根據範疇界定以及風險評估,設計相應的安全策略(policy)。這裡可能需要重點強調一下,安全策略的設計一定要符合企業的安全性原則。我曾經在實際的安全審核過程中,看到使用者把密碼寫下來貼在顯示器上或辦公桌上,原因是密碼過於複雜,難以記憶。可見,策略設計不合理,就會適得其反。這樣的事情,在不合理的資訊保安策略制定過程中非常常見。完整的資訊保安策略制定過程,是乙個持續的過程,包括四個階段:匯入安全控管系統,建置作業流程,定期審核和偵察,後續做持續改善。

小結

資訊保安的整個架構中,安全事件的發生是不可能完全杜絕的,我們所要做的,就是降低已知存在的風險,減小對企業業務影響。實施資訊保安保護需要在安全性和易用性之間尋找合適的平衡點,追求絕對安全在大多數情況下是不合適的。資訊保安防護是乙個長期的、持續的過程,而非一蹴而就的。在這個過程中,還需要我們不斷地重複安全監視、偵防、審核以及改善過程。

企業網路安全對策

摘要 本文針對企業資訊系統安全性作了分析,提出資訊系統安全實施方案,建立防病毒 防火牆 系統保護以及入侵檢測的多級多方位的安全防禦系統,以達到保護資訊系統安全執行的目的,保證網路上執行的資料安全 資訊完整,防範各種安全風險。0 引言 隨著資訊科技的飛速發展,為了更好地適應資訊化建設的要求,提高企業競...

企業網路安全策略

調查表明 網路安全的威脅80 來自網路內部。其原因是 網路使用者不及時公升級系統補丁 公升級病毒庫的現象普遍存在,私設 伺服器 私自訪問外部網路 使用系統管理員禁止使用的軟體等行為在企業網路內部比比皆是。但就目前來說,解決企業網路安全問題仍是乙個比較棘手的事情,因為它涉及面特廣了,必須系統 全面地綜...

RouterBOARD企業網路管理應用

routerboard路由器能應用於各種企業管理,如有效的qos管理 多線路接入功能 防火牆過濾 802.11abg的無線應用和vpn應用,幾乎具備了現在主流企業級路由器的所有功能。最大特點是routerboard基於routeros的核心路由系統,具備hotspot web認證系統,即能給公司內部...