CIO:信息安全的6個(gè)評(píng)估標(biāo)準(zhǔn)保護(hù)傘
在信息防泄漏的“戰(zhàn)爭(zhēng)”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業(yè)顯然略失先機(jī)。但如果企業(yè)能夠做到預(yù)先防御,在對(duì)手出招之前采取針對(duì)性的保護(hù)措施,就能從根本上“轉(zhuǎn)被動(dòng)為主動(dòng)”,做好內(nèi)部數(shù)據(jù)安全防護(hù)。
因此,良好的信息防泄體系的前提就是要時(shí)刻掌握企業(yè)動(dòng)態(tài),做到要有的放矢。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的“可視化”,以隨時(shí)監(jiān)測(cè)整個(gè)信息系統(tǒng)的安全狀況,做到迅速反應(yīng),甚至還能預(yù)測(cè)到潛在的風(fēng)險(xiǎn),化被動(dòng)防御為積極防御。
防泄漏建設(shè)是否從全局角度出發(fā),最大程度避免疏漏
安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解——無(wú)論怎么豪華的防線,一個(gè)漏洞就可以毀滅所有一切。在企業(yè)中,有時(shí)候可能是一個(gè)小小的U盤(pán)就毀滅了幾百萬(wàn)投資的努力,或者一封無(wú)意的郵件就能讓企業(yè)損失慘重。
因此,在解決安全問(wèn)題之時(shí),不能僅僅依賴透明加密等技術(shù)手段,“頭痛醫(yī)頭,腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞,而是需要站在一個(gè)更高的戰(zhàn)略角度來(lái)通盤(pán)考慮。如果缺乏一個(gè)整體的分析視角,你可能會(huì)忽視或者低估某個(gè)安全攻擊的真正威脅,相應(yīng)采取的安全措施也可能無(wú)法解決真正的問(wèn)題。所以,在實(shí)際的防泄漏建設(shè)中,我們必須從整體上來(lái)評(píng)估企業(yè)的信息安全狀況,運(yùn)用統(tǒng)一的平臺(tái)來(lái)進(jìn)行風(fēng)險(xiǎn)和安全管理,檢測(cè)出內(nèi)部問(wèn)題,從而描繪出整個(gè)企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景,采取針對(duì)性的防護(hù)措施,最大限度降低企業(yè)的安全風(fēng)險(xiǎn)。
是否根據(jù)涉密程度不同,防護(hù)力度輕重有別
企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時(shí)并不是一刀切,不分輕重地在全公司范圍內(nèi)采取相同的策略,這樣雖然看似達(dá)到了最為安全的效果,但對(duì)業(yè)務(wù)造成的巨大影響,以及因此產(chǎn)生的高額成本,對(duì)企業(yè)來(lái)說(shuō),都是巨大的負(fù)擔(dān)。
對(duì)信息安全來(lái)說(shuō),威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起,安全保護(hù)工作也就應(yīng)該輕重有別,將重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。什么是高價(jià)值信息資產(chǎn)?通過(guò)風(fēng)險(xiǎn)評(píng)估,你會(huì)知道,它是你業(yè)務(wù)依賴的信息系統(tǒng),無(wú)論軟件、硬件、服務(wù)還是人。那么,在安全建設(shè)過(guò)程中,對(duì)涉密程度高的部門(mén)或崗位進(jìn)行力度大的防御,對(duì)涉密程度低的部門(mén)采取相應(yīng)的安全防御。同時(shí)衡量提升安全性可能帶來(lái)的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問(wèn)題,是企業(yè)必須要做的事情。
比如透明加密的成本,以及對(duì)企業(yè)效率的影響遠(yuǎn)高于審計(jì)和管控,在企業(yè)實(shí)施過(guò)程中,往往需要結(jié)合企業(yè)的實(shí)際情況,對(duì)三種技術(shù)手段整合運(yùn)用:首先,在全公司范圍內(nèi)進(jìn)行安全審計(jì),掌握企業(yè)操作,發(fā)現(xiàn)安全隱患;其次,對(duì)特殊崗位和部門(mén),進(jìn)行嚴(yán)格管控,限制信息的帶出;最后,在核心部門(mén)內(nèi)部,對(duì)機(jī)密信息進(jìn)行透明加密。這樣既可保證公司的正常業(yè)務(wù)運(yùn)作,又能有的放矢地實(shí)現(xiàn)最優(yōu)化的信息防泄漏管理。對(duì)于企業(yè)來(lái)說(shuō),還大大節(jié)約了投資成本。
能否及時(shí)發(fā)現(xiàn)安全威脅,實(shí)現(xiàn)動(dòng)態(tài)性的防護(hù)
動(dòng)態(tài)性的信息泄露防護(hù),對(duì)于目前泄密手段日益增多的企業(yè)來(lái)說(shuō),非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對(duì)現(xiàn)在的策略進(jìn)行被動(dòng)的調(diào)整。這種“吃一塹、長(zhǎng)一智”的防護(hù)模式,對(duì)于企業(yè)而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補(bǔ)牢,為時(shí)已晚。
企業(yè)需要建立一個(gè)動(dòng)態(tài)性的安全防護(hù),前瞻性地發(fā)現(xiàn)安全威脅,并通過(guò)對(duì)技術(shù)或管理上的策略進(jìn)行及時(shí)調(diào)整更新,防范潛在的安全風(fēng)險(xiǎn)。如目前便攜設(shè)備發(fā)展迅速,智能手機(jī)、iPad等便攜設(shè)備日益成為企業(yè)的泄密威脅,在此基礎(chǔ)上,企業(yè)應(yīng)該調(diào)整安全策略,對(duì)便攜設(shè)備的使用進(jìn)行規(guī)范。
能否隨需而變,實(shí)現(xiàn)擴(kuò)展性的體系
信息防泄漏可以看成是一場(chǎng)永無(wú)止境的戰(zhàn)爭(zhēng)——你剛剛應(yīng)對(duì)完一次安全威脅,下一個(gè)威脅又接踵而至。IT部門(mén)作為企業(yè)信息防泄的神經(jīng)中樞,必須能夠適應(yīng)安全需求的不斷變化,迅速滿足新需求、快捷響應(yīng)新威脅。如果企業(yè)只單純使用加密或監(jiān)控某一種技術(shù)手段,當(dāng)新需求出現(xiàn)之時(shí),IT部門(mén)不得不求助于新產(chǎn)品,重新選型、試用,操作流程復(fù)雜且安全風(fēng)險(xiǎn)增加。
所以,企業(yè)在建立信息防泄漏體系時(shí),要確保該體系能夠根據(jù)新的需求實(shí)時(shí)擴(kuò)展,無(wú)須重新選擇新的產(chǎn)品,只需加固同一管理平臺(tái)上的功能,就能進(jìn)行更多防泄密功能的擴(kuò)展,做到無(wú)縫集成,消除因選型遲緩而產(chǎn)生的安全風(fēng)險(xiǎn)。
安全體系是否容易使用和維護(hù)
如今,市場(chǎng)上五花八門(mén)的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂,某些企業(yè)為了確保自己信息防泄漏高枕無(wú)憂,盲目地為自己配備上各種安全產(chǎn)品,并企望這種“強(qiáng)強(qiáng)組合”能給企業(yè)套上萬(wàn)無(wú)一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本,并增加了技術(shù)的復(fù)雜性,還容易導(dǎo)致產(chǎn)品軟件沖突等問(wèn)題,企業(yè)雖然“裝”了安全產(chǎn)品,但根本“用”不了。
目前,能夠提供整體解決方案的單一安全產(chǎn)品成為一種優(yōu)良選擇,它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺(tái),無(wú)論是對(duì)企業(yè)安全邊界防護(hù),到內(nèi)部使用都做了整體、全面的考慮,而且簡(jiǎn)化了日常的操作與管理,降低系統(tǒng)的資源占用,避免了軟件沖突等多種問(wèn)題。使用和維護(hù)起來(lái)非常方便,大大節(jié)約了IT人員的時(shí)間和精力。這種產(chǎn)品為企業(yè)帶來(lái)諸多功能集成方案的易管理和高性價(jià)比優(yōu)勢(shì),對(duì)于企業(yè)將具有更大的吸引力。
如果你的信息防泄漏建設(shè)符合以上6條檢測(cè)標(biāo)準(zhǔn),那么你已經(jīng)建立了一個(gè)完善的整體信息防泄漏體系,機(jī)密信息也得到了最大化的保護(hù),實(shí)現(xiàn)了“成本、效率、安全”三者的最佳平衡,這也是近年來(lái)被大家認(rèn)可的“整體信息防泄漏”理念的核心。實(shí)際上,信息防泄本身就是一種博弈,是企業(yè)和人的博弈。它是一場(chǎng)思維的交鋒,企業(yè)只有掌握了內(nèi)部的行為操作,同時(shí)針對(duì)內(nèi)部安全威脅建立全面、立體化的安全防護(hù),信息防泄才會(huì)立于不敗之地。
責(zé)任編輯:黎陽(yáng)錦
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》