大型企业信息安全管理实践(05年第六期)
2024-05-09 19:52:20
| 中兴通讯 陈 飞 | ||||||||||||||||||||||
|
我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念、安全技术、安全产品,感受到信息安全对一个企业怎么说都不为过的重要性。这里我想结合自己的工作经验谈一谈对如何保证企业信息安全的一些看法。
一、安全管理的重要性
信息安全“三分技术,七分管理”,安全管理是企业信息安全的核心,企业建立了安全管理体系后,安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构,明确架构成员的安全职责,这是企业安全管理得以实施、推广的基础;其次必须建立完善、可操作性强的安全管理制度,并严格执行。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险,如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
二、安全技术的重要性
解决信息安全问题不能仅仅只从技术上考虑,但也不是说不考虑技术,技术是安全的主体,管理是安全的灵魂。信息安全离不开安全技术的实施,安全产品的部署,但现在的安全技术、安全产品让人眼花缭乱,难以选择,这时就需要进行风险分析,可行性分析等,分析现在我们网络面临的风险在哪些方面,解决问题或最大程度降低风险的可行性,收益与付出的比较,哪些产品可使我们以最小的代价满足我们的安全需求,安全与效率的权衡等。对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
三、安全风险及需求分析
在分析企业局域网的安全风险时,应考虑到这个网络的特点,进行有针对性的风险分析,以我所在的企业局域网为例,它有如下几个特点:
1、网络与Internet直接连结,因此在进行安全方案设计时要考虑控制Internet连结的相关风险,包括控制可能通过Internet传播进来病毒,防止黑客攻击,制定远程访问管理规则,垃圾、病毒邮件过滤,不良网站过滤等。
2、网络中一些服务器,如WEB服务器需要允许外部直接访问,这时应采取加固系统、访问认证、防病毒系统、网络隔离、内容过滤等措施,避免公开服务器的安全风险扩散到内部。
3、病毒、蠕虫是企业局域网上的最大安全威胁,必须建立企业级的网络防病毒机制,部署企业级的网络防病毒产品;应建立系统补丁自动分发机制。
4、网络用户数目巨大,必须制定安全策略,使满足一定的条件的用户才可以接入公司网络。用户接入控制是企业信息安全管理工作的基础,它包括对接入网络计算机的信息获取,企业安全策略,如密码策略、软件策略、服务策略、外设策略的设定与分发等。
5、内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络进行逻辑或物理的分离。
6、根据从一些安全事件中得到的教训,企业应用系统的设计应充分考虑安全方面的因素,如强身份认证、日志审计等,防止攻击、泄密事件的发生。
7、移动存储设备的大量使用也带来了一系列的安全问题,应该从管理到技术两方面解决这一问题。
8、当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),应进行实时的检测、监控、报告与预警;事故发生后,应能提供攻击行为的追踪线索。
总之,要保证局域网中的信息安全,在进行安全风险和需求分析时,应结合企业局域网的特点,根据潜在的安全风险、安全产品的功能、价格等因素进行综合细致考虑。
四、安全改进措施
通过对企业局域网的风险和需求分析,我们认为企业的安全风险主要包括对服务器的安全保护、防黑客和病毒、不同网段的分级保护、接入控制、网络边界安全以及安全管理。因此,我们必须采取相应的安全措施杜绝安全隐患,我们已完成或正在进行的信息安全建设项目包括安全总控中心的建设,病毒防御系统的建设,防火墙的部署,IDS的部署,数字证书认证,邮件过滤,代理服务器的部署,接入控制和PC安全,文档安全,网络分离等。这些就不详细描述了。
五、对安全管理的一些想法
部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险,比如我们部署了防病毒系统,但病毒仍会通过各种途径出现,但它的危险程度降低了,影响范围缩小了,不再是不可控的了。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。
要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的。从防御的角度来说,对于外来的威胁有时很难准确把握,但对自己,应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时,才可以在保护这些资产的预算上作出明智的决定。
信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。这就要求企业的信息管理部门加强安全管理,提高系统全体人员的网络安全意识和防范技术,这涉及到信息安全的另一个重要环节:安全培训。企业必须组织开展多层次、多方位的信息安全宣传和培训,建立一个安全培训机制,增强用户安全防范意识和防范能力。
作为信息安全管理岗位员工,我们的任务是为用户构造一个最适合目前业务活动的“安全体系结构”,因为在用户的眼中“安全“不是目的,“业务应用”才是,“安全”只是保障其“业务应用”的一种手段。安全往往与业务、效率等有一些冲突,这时一些部门往往把安全保障看做一种负担,而作为安全管理的执行者,我们最希望的是大家能理解“好的安全”同时也是促进“业务应用”的手段。
六、对安全技术的一些想法
提到信息安全技术,我们会想到很多:防火墙、入侵检测系统、防病毒系统、VPN、多层交换、加密/解密算法等等。安全管理岗位要求我们了解最新的安全技术,因为我们的防御对象也在这样做。但是信息安全技术的发展日新月异,各种安全产品各有所长,让人难以选择,这时我们要记住安全并不是复杂的代名词,安全也不是要包揽一切,安全应尽可能简单,安全要以业务和相关的应用为中心; 安全防御不仅仅在边界而应是多层次的; 安全需要不断的实践和有效的管理;安全体系结构的设计开发技术应该更加开放。纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
表一 体现发展趋势的新产品/技术
企业的信息安全管理工作应该逐步走向规范化、制度化,建立起比较完善的管理和技术防范体系,这就是我在实践中感触最多的方面,这也是我们信息安全管理工作前进的方向。
|
大型企业信息安全管理实践(05年第六期)相关推荐
- 信息安全管理(CISP)—— 信息安全管理
目录 一.知识框架 二.信息安全管理基础 1.信息安全管理基本概念 2.信息安全管理体系 三.信息安全风险管理 1.基本概念 2.风险管理 3.常见的风险管理模型 GB/Z 24364<信息安全 ...
- 【文献翻译】信息安全管理自动化的可能性 - Automation possibilities in information security management
摘要 ISO 27001中定义的信息安全管理涉及建立.实施.操作.监控.审查.维护和改进信息安全管理系统.本文分析了信息安全管理自动化的可能性.该分析考虑了使用(i)风险管理中的安全本体,(ii)用于 ...
- 2022年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项竞赛规程
2022年山东省职业院校技能大赛 高职组"信息安全管理与评估"赛项竞赛规程 一.赛项名称 赛项名称:信息安全管理与评估 英文名称:InformationSecurity Manag ...
- ISO27001LA 信息安全管理体系主任审核师学习心得
天气不冷不热刚刚好的五月,绿意也葱葱,上海信息化培训中心ISO27001LA开班啦!这个班除了可以称为是信息安全管理体系主任审核师培训班外,还可以叫"学友再次联盟班",特别有缘,本 ...
- 2021年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项规程
2021年山东省职业院校技能大赛 高职组"信息安全管理与评估"赛项规程 一.赛项名称 赛项名称:信息安全管理与评估 二.竞赛目的 通过赛项检验参赛选手网络组建.安全架构.渗透测试. ...
- 2022年河南省高等职业教育技能大赛信息安全管理与评估赛项竞赛方案
2022年河南省高等职业教育技能大赛 信息安全管理与评估赛项竞赛方案 一.赛项名称 赛项名称:信息安全管理与评估 赛项组别:高职学生组 竞赛形式:团体赛 专业大类:电子与信息大类 主办单位:河南省教 ...
- 高职信息安全比赛攻防思路_30.LNGZ2020-30:2020年辽宁省职业院校技能大赛(高职组)“信息安全管理与评估”赛项规程...
1 2020 年辽宁省职业院校技能大赛 ( 高职组 ) 信息安全管理与评估赛项规程 一.赛项名称 赛项编号: LNGZ2020-30 赛项名称:信息安全管理与评估 英文名称: Information ...
- [第180期]我在51CTO的提问:如何做好企业信息安全管理
[第180期]我在51CTO的提问:如何做好企业信息安全管理 149banzhang 发表于 2010-10-15 14:08:51 第 5 楼 窗体顶端 李工:您好,很高兴能在51CTO与您交流,我 ...
- vue each_Vue 应用单元测试的策略与实践 05 - 测试奖杯策略
本文首发于 Vue 应用单元测试的策略与实践 05 - 测试奖杯策略 | 吕立青的博客 欢迎关注知乎专栏 -- 前端的逆袭(凡可 JavaScript,终将 JavaScript.) 欢迎关注我的博客 ...
最新文章
- xcode编译项目Permission denied错误
- 计组-I/O系统的基本概念
- Online DDL
- MapReduce过程卡在reduce处的67%
- 《Ray Tracing in One Weekend》——Chapter 6: Antialiasing
- 使用开源软件 Mantis 实施缺陷跟踪的成功实践
- PyTorch :transforms的二十二个方法
- forum.php 下载,PHPWind Forums
- python 背单词_python实现艾宾浩斯背单词功能,实现自动提取单词、邮件发送,部署在阿里云服务器......
- 微信开放平台开发常见错误(长期更新)
- 突发收购,亚信科技在谋划什么?
- 开关电源环路学习笔记(3)-系统框图
- Jmeter定时器之吞吐量整形定时器jp@gc Throughput Shaping Timer
- Dpark的安装测试
- 【自然语言处理基础技能(NLP)】jieba中文文本处理
- Spark(四)— Spark Streaming
- 接口测试—-工具篇,实现接口自动化
- 苹果真的需要iPad Mini吗?
- 【解决方案】血压计方案原理和产品参数
- C盘User下的中文名字修改为英文遇到的问题