對(duì)于陳冠希艷照泄漏的根源,,坊間流傳著不同的版本:電腦送修時(shí)看管不嚴(yán),、黑客入侵,、廢棄硬盤等等,但歸根結(jié)底,,都是安全意識(shí)淡薄或保護(hù)手段不力所致。“艷照門”的影響終將淡去,,但對(duì)于企業(yè)而言,,陳冠希的狼狽無(wú)奈正為我們長(zhǎng)期忽視信息安全的企業(yè)敲響了警鐘。 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《網(wǎng)絡(luò)安全工作報(bào)告》指出,,各種網(wǎng)絡(luò)安全事件都有顯著增長(zhǎng),,僅在2007年上半年,網(wǎng)絡(luò)仿冒事件和網(wǎng)頁(yè)惡意代碼事件已分別超出2006全年總數(shù)14.6%和12.5%,,被植入木馬的主機(jī)IP遠(yuǎn)遠(yuǎn)超過(guò)2007年全年,,增幅達(dá)21倍,而且攻擊者的目標(biāo)越來(lái)越明確,、攻擊手段越來(lái)越多變,、而攻擊行為的趨利化特點(diǎn)表現(xiàn)得也越來(lái)越明顯……面對(duì)越來(lái)越猖獗的網(wǎng)絡(luò)勒索、信息犯罪,,許多專家感嘆,,信息安全將逐漸成為中國(guó)企業(yè)的阿喀琉斯之踵,也許,,在不久的將來(lái),,許多企業(yè)版的“艷照門”將會(huì)陸續(xù)上演。 從信息經(jīng)濟(jì)學(xué)的角度來(lái)看,,信息資產(chǎn)(Assets),、其所受的威脅(Threats)以及風(fēng)險(xiǎn)防范措施(Risk management)構(gòu)成了信息安全體系最核心的三要素,而在這三方面,,中國(guó)企業(yè)普遍存在著三大誤區(qū): 一,、信息資產(chǎn)角度 在理念上對(duì)信息資產(chǎn)認(rèn)識(shí)不足,企業(yè)內(nèi)部缺乏管理信息資產(chǎn)的專門組織,。對(duì)一個(gè)組織而言,,信息和其他商業(yè)資產(chǎn)一樣有價(jià)值,信息也是一種資源,、一種資產(chǎn),,甚至信息可能比其他資產(chǎn)更具價(jià)值,需要像對(duì)待資金一樣重視,、保護(hù),。許多企業(yè)家都研習(xí)過(guò)木桶理論,但信息時(shí)代的新木桶理論告訴我們,,一個(gè)木桶能不能裝水,,裝多少水,,除了看最短的木板之外,還要看其他一些關(guān)鍵的因素:一是這個(gè)木桶是否有堅(jiān)實(shí)的底板,,二是木板之間是否有縫隙,。在信息時(shí)代,信息資產(chǎn)就是企業(yè)這個(gè)木桶的底板,,而信息資產(chǎn)的保護(hù)體系是否得當(dāng),,便決定了木桶的各個(gè)木板間結(jié)合得是否緊密。 99%的企業(yè)家都缺乏一個(gè)意識(shí):在信息時(shí)代,,信息資產(chǎn)才是一個(gè)企業(yè)最寶貴的資產(chǎn)!因此,,企業(yè)應(yīng)該在組織上進(jìn)行調(diào)整,在決策層給信息安全工作以一席之地,。在西方企業(yè)中,,一般都由管理層牽頭、組織專門的信息安全管理小組來(lái)討論和批準(zhǔn)信息安全策略,、分派安全任務(wù),、協(xié)調(diào)安全工作的實(shí)施,這樣才能高效應(yīng)對(duì)層出不窮的信息威脅,。 二,、信息威脅角度 在工作重心上重硬輕軟、重外輕內(nèi),,缺乏有效應(yīng)對(duì)信息威脅的管理模式,。信息資產(chǎn)是非常脆弱的,各式各樣的威脅行為都可能會(huì)對(duì)信息資產(chǎn)造成無(wú)可挽回的損失,。信息安全的作用便是要保證信息資產(chǎn)的保密性,、完整性,一個(gè)完善的信息安全系統(tǒng),,必須符合“五不原則”: 1. 進(jìn)不來(lái),,通過(guò)物理隔離等手段,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò),。 2. 拿不走,,使用屏蔽、防下載機(jī)制,,實(shí)現(xiàn)對(duì)用戶的權(quán)限控制,。 3. 讀不懂,通過(guò)認(rèn)證和加密技術(shù),,確信信息不暴露給未經(jīng)授權(quán)的人或程序,。 4. 改不了,使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有允許的人才能修改數(shù)據(jù),。 5. 跑不掉,,使用日志、安全審計(jì),、監(jiān)控技術(shù)追蹤進(jìn)攻者,,并通過(guò)證據(jù)的保存使得攻擊者不能抵賴自己的行為。 信息安全不僅是一個(gè)技術(shù)問(wèn)題,,也是一個(gè)管理問(wèn)題,,技術(shù)是手段,而管理是基礎(chǔ),。中國(guó)企業(yè)在信息化建設(shè)中普遍重硬件、輕軟件,,許多企業(yè)認(rèn)為買了幾臺(tái)電腦,、建了個(gè)局域網(wǎng),能夠接入互聯(lián)網(wǎng)就是實(shí)現(xiàn)了信息化,,IT人員在企業(yè)中沒(méi)有相應(yīng)的地位,,很多打著信息經(jīng)理、信息主管頭銜的IT人實(shí)際上只是“高級(jí)硬件佬”,,裝裝軟件,、修修硬件、最多進(jìn)行些簡(jiǎn)單的網(wǎng)絡(luò)維護(hù),。與此同時(shí),,中國(guó)企業(yè)在信息風(fēng)險(xiǎn)防范上普遍重視對(duì)外部攻擊的防御,而忽視了對(duì)內(nèi)部員工的管理,。許多企業(yè)總是把注意力集中在防火墻是否完善,、殺毒軟件是否先進(jìn)上。但西方成功企業(yè)的經(jīng)驗(yàn)表明,,信息化實(shí)施,,三分技術(shù),七分管理,,安全事故75%是由于疏忽造成,,25%才是來(lái)自于外部的攻擊,大部分的信息安全問(wèn)題是由于企業(yè)沒(méi)有必要的安全管理制度而產(chǎn)生的,。例如,,企業(yè)員工利用工作電腦上網(wǎng)聊天玩游戲、瀏覽不良網(wǎng)站,、擅自下載安裝軟件,、未經(jīng)允許拷貝敏感文件,甚至使用黑客軟件等,這些行為如果不能有效制止,,會(huì)大大增加信息網(wǎng)絡(luò)的風(fēng)險(xiǎn),。 先進(jìn)的信息安全技術(shù)是必須的,但要保障信息安全,,僅僅依靠技術(shù)上的優(yōu)勢(shì)是遠(yuǎn)遠(yuǎn)不夠的,,只有建立一套科學(xué)的信息安全管理體系,才能從管理上,、程序上確保信息的安全,。如果企業(yè)有比較系統(tǒng)全面的信息安全制度,并能在企業(yè)內(nèi)部得到貫徹執(zhí)行,,90%的信息安全威脅都是可以避免的,。因此,建立一個(gè)全面系統(tǒng),、有整體規(guī)劃的信息安全管理體系,,才是保障企業(yè)信息系統(tǒng)與業(yè)務(wù)的安全與正常運(yùn)作的關(guān)鍵所在。 三,、風(fēng)險(xiǎn)防范角度 在具體做法上重細(xì)節(jié)輕體系,,缺乏信息安全的規(guī)范流程和標(biāo)準(zhǔn)。中國(guó)企業(yè)的信息風(fēng)險(xiǎn)防范工作,,往往給人以顧頭不顧尾的感覺(jué),,許多IT人員都在抱怨:“今天讓我們打系統(tǒng)補(bǔ)丁,明天讓我們升級(jí)殺毒軟件,,一天到晚疲于奔命,。但做事越多,要做的事情也越多,,安全事故還是一波未平一波又起,,我們都變成專業(yè)打雜了。”其實(shí),,做好信息安全工作,,關(guān)鍵是要建立一個(gè)內(nèi)部控制的標(biāo)準(zhǔn),這樣才能治標(biāo)治本地解決安全問(wèn)題,。 為了更好地進(jìn)行信息安全管理和信息安全體系的建設(shè),,國(guó)際上也出臺(tái)了相應(yīng)的安全標(biāo)準(zhǔn),其中BS7799是世界上應(yīng)用最廣泛的信息安全管理標(biāo)準(zhǔn),,至2005年全部被國(guó)際標(biāo)準(zhǔn)化組織吸收,,形成了ISO/IEC2700l:2005信息技術(shù)—安全技術(shù)—信息安全管理體系要求和ISO/IECl7799:2005信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則兩個(gè)國(guó)際標(biāo)準(zhǔn)。它包括11個(gè)控制領(lǐng)域,、39個(gè)控制目標(biāo)和133項(xiàng)控制措施,,能為企業(yè)提供全方位的信息安全保障,。 簡(jiǎn)單地說(shuō),ISO27001標(biāo)準(zhǔn)便是要求企業(yè)首先通過(guò)規(guī)范的信息安全管理體系風(fēng)險(xiǎn)評(píng)估流程(見圖1),,識(shí)別,、控制信息風(fēng)險(xiǎn),而后建立策略,、組織,、操作和技術(shù)四個(gè)風(fēng)險(xiǎn)管理的框架層次。 1. 策略架構(gòu):體現(xiàn)整個(gè)組織的信息安全方針,、標(biāo)準(zhǔn),、制度、規(guī)范,、指南等,。 2. 組織架構(gòu):建立有效的信息安全組織,并賦予組織中的人員明確的角色和職責(zé),,實(shí)施安全教育,,提高全員的安全意識(shí)。 3. 操作架構(gòu):用戶管理,、物理和環(huán)境安全,系統(tǒng)的開發(fā)和維護(hù),,業(yè)務(wù)的持續(xù)性等,。 4. 技術(shù)架構(gòu):網(wǎng)絡(luò)安全的最新技術(shù)和產(chǎn)品。 總之,,中國(guó)企業(yè)只有先在意識(shí)上認(rèn)識(shí)信息資產(chǎn)的重要性,,在組織架構(gòu)、管理模式和管理流程上做出應(yīng)有的改進(jìn),,才有可能在新的時(shí)代里打贏信息安全這場(chǎng)無(wú)硝煙的戰(zhàn)爭(zhēng),。 更多資訊請(qǐng)關(guān)注銷售與市場(chǎng)微信公眾號(hào)。 責(zé)任編輯: 趙艷麗 責(zé)任校對(duì): 肖亞超 審核:徐昊晨 免責(zé)聲明:本網(wǎng)部分文章來(lái)源于第三方平臺(tái),,不代表本網(wǎng)觀點(diǎn),,如有侵權(quán)請(qǐng)聯(lián)系我們刪除! |
銷售與市場(chǎng)官方網(wǎng)站 ( 豫ICP備19000188號(hào)-5 )
GMT+8, 2024-12-25 10:46 , Processed in 0.036873 second(s), 19 queries .
Powered by 銷售與市場(chǎng)網(wǎng) 河南銷售與市場(chǎng)雜志社有限公司
© 1994-2021 sysyfmy.com