時(shí)至今日，企業(yè)都在關(guān)注什么？這個(gè)問(wèn)題始終是懸在大家頭上的一把刀，答對了就能一帆風(fēng)順，創(chuàng )造輝煌;答錯了，則會(huì )被時(shí)代拋棄，一無(wú)所有。他們都在關(guān)注什么？

　　在過(guò)去的的一段時(shí)間里，移動(dòng)互聯(lián)來(lái)勢洶洶，大數據，可穿戴設備，云計算等理念，成為公眾討論的熱點(diǎn)，微信，微博淘寶，比特幣貨幣化，谷歌眼鏡，蘋(píng)果智能腕表，一個(gè)個(gè)消息不斷轟炸著(zhù)我們，新的時(shí)代已經(jīng)來(lái)臨了，現在人們動(dòng)輒就是移動(dòng)互聯(lián)，云計算。但是事情并不是那么的樂(lè )觀(guān)。

　　眾所周知，任何新事物的出現，都會(huì )伴隨著(zhù)相關(guān)事物的更新和同步。比如智能手機，智能手機的出現伴隨著(zhù)App，伴隨著(zhù)移動(dòng)互聯(lián)網(wǎng)，說(shuō)不清楚誰(shuí)先誰(shuí)后，但是他們必須是整體呈現在客戶(hù)面前，才能夠產(chǎn)生應有的價(jià)值。,這一點(diǎn)無(wú)可厚非.同樣可以肯定的是企業(yè)在關(guān)注這些新鮮事物了。當一部分企業(yè)開(kāi)始使用新產(chǎn)品的時(shí)候將會(huì )發(fā)生什么呢？不足!企業(yè)肯定會(huì )第一時(shí)間發(fā)現新產(chǎn)品的不足，甚至可以說(shuō)是漏洞!然后，追隨者也會(huì )開(kāi)始關(guān)注同樣的問(wèn)題，最后，誰(shuí)能夠解決這一系列的問(wèn)題，誰(shuí)就能夠贏(yíng)得大爆發(fā)時(shí)期的企業(yè)!少數企業(yè)的試水，最終將會(huì )引發(fā)這場(chǎng)爆發(fā)?；蛟S有人認為這個(gè)引發(fā)的流程已經(jīng)成為了必然趨勢，或許有人認為新產(chǎn)品(服務(wù))無(wú)懈可擊!這種狀況也許永遠都不會(huì )存在!問(wèn)題一直都在，就看怎樣找到它。

　　對比既有的互聯(lián)網(wǎng)模式，能夠更好的發(fā)現問(wèn)題的所在。相比傳統的IT模式，云計算的發(fā)展，讓互聯(lián)網(wǎng)產(chǎn)品的使用方式發(fā)生了改變;移動(dòng)互聯(lián)的成熟，讓互聯(lián)網(wǎng)的接入點(diǎn)極大的豐富了起來(lái);而大數據的發(fā)展，讓人們對于數據的理解和運用上了一個(gè)新的臺階。這些最基本的變化，引發(fā)了一系列復雜的變化。從用戶(hù)使用習慣，到體驗效果，再到對于互聯(lián)網(wǎng)的理解都產(chǎn)生了巨大的變化，互聯(lián)網(wǎng)變成了一個(gè)極度復雜的存在。如果說(shuō)以前的互聯(lián)網(wǎng)模式是“電子圍繞原子組成一個(gè)分子”的話(huà)，那么現在的模式就是碳六十四(六十四個(gè)原子和對應的電子組成)，基數變大，整體構成幾何倍數的復雜化!這種變化，造成很多原有規則的不適應，比如安全規則。簡(jiǎn)單的時(shí)候，需要關(guān)注的點(diǎn)少，相對容易控制，當變得復雜以后，在使用累加的方式來(lái)保證安全的話(huà)，恐怕不行吧。就像天冷了不能夠通過(guò)多穿幾件短袖t恤就能解決一樣。這個(gè)時(shí)候，互聯(lián)網(wǎng)行業(yè)，所有應用互聯(lián)網(wǎng)的企業(yè)，都需要一件棉衣，一件能夠保障新時(shí)代互聯(lián)網(wǎng)數據安全的棉衣!

　　泰然神州就在做這樣的棉衣。泰然神州新一代數據安全解決方案，一直希望通過(guò)運用新的邏輯方式來(lái)解決企業(yè)的安全問(wèn)題。通過(guò)對現有數據安全的統計和整合，探究問(wèn)題的來(lái)源，在一定高度上，統籌問(wèn)題，建立全新的數據安全構架。同時(shí)運用最成熟穩定的安全技術(shù)，來(lái)實(shí)現這一方案。通過(guò)新一代數據安全解決方案，可以幫助企業(yè)更快的適應新時(shí)代的互聯(lián)網(wǎng)環(huán)境，讓企業(yè)在新產(chǎn)品應用上沒(méi)有后顧之憂(yōu)，保障企業(yè)在競爭對手中優(yōu)越性，同其他企業(yè)拉開(kāi)距離。

　　泰然神州的解決方案，看起來(lái)很完美。首先，它有一個(gè)堅強的心。在新方案中，數據被賦予了絕對的高度。完全隔離的數據，時(shí)刻遠離泄露威脅，所有的數據運算都是通過(guò)投影來(lái)實(shí)現，危險找不到數據源。企業(yè)完全不用擔心數據本身的威脅。其次，它有一個(gè)絕對理性的心。在過(guò)去的不久的“棱鏡門(mén)”泄密事件中，企業(yè)都看到一種直觀(guān)的危機，那就是內鬼無(wú)處不在，防不勝防。如果能夠通過(guò)設備，邏輯，規則有效的約束人，那么這個(gè)不穩定的因素是不是就能剔除呢？是的，新一代數據解決方案就是通過(guò)絕對理性的機器語(yǔ)言和設備限定了管理員的權限和職能，加強了相互監督的方式和手段，不僅管理員能夠相互監督，更是要受到數據智能的監督，安全有保障。最后，新一代數據安全解決方案有一個(gè)靈巧的“心”，能夠適應各種運行環(huán)境和設備，保障相互之間的數據安全不被侵害。這就是全新的數據安全解決方案。

　　安全永遠是最核心的需求，這一點(diǎn)毋庸置疑。在企業(yè)爭相涌向新時(shí)代的時(shí)候，安全問(wèn)題不容忽視。不管企業(yè)在關(guān)注什么，安全都是這些關(guān)注的基本前提，沒(méi)有安全就沒(méi)有發(fā)展!安全，就是要保護企業(yè)的根!

原文出自【比特網(wǎng)】，轉載請保留原文鏈接：http://sec.chinabyte.com/253/12750753.shtml

企業(yè)信息安全系統工程的構建

2013-08-18 07:43 CIO時(shí)代網(wǎng) 佚名

　　企業(yè)內部信息遭遇操作不當、黑客攻擊、惡意盜取等威脅，都將不同程度的給企業(yè)帶來(lái)深遠影響。相信每個(gè)企業(yè)都對系統的安全性的重要地位心知肚明，其關(guān)鍵程度謂之左右企業(yè)全局也不為過(guò)。不少企業(yè)已經(jīng)花大量資金來(lái)投資于企業(yè)安全部署，但是需要提醒的是，安全不是花錢(qián)就能買(mǎi)來(lái)，不是相關(guān)產(chǎn)品的累計，而是整個(gè)企業(yè)內部的整體安全系統工程的構建。

　　企業(yè)信息安全系統工程的構建

　　企業(yè)信息安全系統的構建是一項長(cháng)期系統工程，從硬件方面，企業(yè)需要購買(mǎi)相關(guān)設備，從軟件方面，企業(yè)既要擁有一批能夠維護相關(guān)設備軟件的技術(shù)人員，同時(shí)還要強化公司所有人對信息安全保護的意識以及相關(guān)制度建設。

　　1 關(guān)鍵數據需保護

　　在部署方案前首先弄明白企業(yè)重要的數據資產(chǎn)的位置，由哪些員工掌握，然后從全局對企業(yè)的數據進(jìn)行安全防護。不僅如此，往往有些公司重要數據都存在于如ERP、OA、HR 等系統中，切實(shí)保障系統的安全，提供安全系統產(chǎn)品兼容企業(yè)其他信息系統是目前部門(mén)安全廠(chǎng)商研究的方向。

　　2 移動(dòng)安全需關(guān)注

　　小型、便攜式平臺已經(jīng)成為黑客們搶灘登陸的新目標。加強員工對移動(dòng)安全的保護意識，并且提供一套穩健的移動(dòng)辦公方案來(lái)讓移動(dòng)終端的訪(fǎng)問(wèn)處于安全防范之下。

　　3 安全更新需及時(shí)

　　企業(yè)的信息安全管理部門(mén)在幫企業(yè)處理安全事務(wù)的時(shí)候，要關(guān)注業(yè)內新的攻擊應對措施，軟件的新版本發(fā)布等，及時(shí)給全企業(yè)電腦進(jìn)行查漏、升級等安全檢查，改善安全性能。

　　4 安全投資需果斷

　　企業(yè)進(jìn)行安全部署的初衷當然是防范威脅帶來(lái)的致命危害，因此及時(shí)在企業(yè)運營(yíng)不景氣，想縮減成本的前提下，安全部署切記不能成為犧牲品。

　　5 入侵活動(dòng)需阻止

　　企業(yè)內部的服務(wù)器和設備經(jīng)常被頻繁訪(fǎng)問(wèn)，這種隱形威脅長(cháng)期存在，如果大家最大程度減少企業(yè)網(wǎng)絡(luò )的流入、流出數據量，那么惡意人士攔截到敏感信息的機率也會(huì )大大降低。

　　6 安全培訓需規劃

　　對新入職的員工、老員工進(jìn)行安全意識培訓規劃，告知企業(yè)信息的多種威脅、渠道、危害以及簡(jiǎn)單處理措施，讓員工具備安全意識的同時(shí)能做到簡(jiǎn)單防御。

   　企業(yè)信息安全中存在的問(wèn)題

　　信息時(shí)代的到來(lái)，從根本上改變了企業(yè)經(jīng)營(yíng)形式，企業(yè)實(shí)施信息化為其帶來(lái)便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險。由于我國企業(yè)信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問(wèn)題。比較常見(jiàn)的問(wèn)題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò )攻擊等，這些問(wèn)題給企業(yè)造成直接的經(jīng)濟損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著(zhù)風(fēng)險因素。

　　1 病毒危害

　　計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災，幾乎無(wú)孔不入，據統計，計算機病毒的種類(lèi)已經(jīng)超過(guò)4萬(wàn)多種，而且還在以每年40%的速度在遞增，隨著(zhù)Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統中傳播的速度越來(lái)越快，其破壞性也越來(lái)越來(lái)越強。

　　2 “黑客”攻擊

　　“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進(jìn)入其權限以外的計算機系統的人。黑客破解或破壞某個(gè)程序、系統及網(wǎng)絡(luò )安全，或者破解某系統或網(wǎng)絡(luò )以提醒該系統所有者的系統安全漏洞的過(guò)程。通常采用后門(mén)程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò )監聽(tīng)、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進(jìn)行信息破壞或占用系統資源，黑客攻擊已經(jīng)成為近年來(lái)經(jīng)常出現的問(wèn)題。

　　3 網(wǎng)絡(luò )攻擊

　　網(wǎng)絡(luò )攻擊就是對網(wǎng)絡(luò )安全威脅的具體表現，利用網(wǎng)絡(luò )存在的漏洞和安全缺陷對系統和資源進(jìn)行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò )攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的企業(yè)面臨著(zhù)前所未有的風(fēng)險。由此可知，企業(yè)的信息安全問(wèn)題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問(wèn)題的根源，并具有良好的安全管理策略。

  關(guān)于企業(yè)信息安全的現狀分析

    企業(yè)信息安全的現狀

　　我國企業(yè)信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網(wǎng)絡(luò )服務(wù)不中斷。計算機和網(wǎng)絡(luò )技術(shù)具有復雜性和多樣性，使得企業(yè)信息安全成為一個(gè)需要持續更新和提高的領(lǐng)域。就目前來(lái)看，主要存在以下三個(gè)方面的隱患。

　　1 企業(yè)缺少信息安全管理制度

　　企業(yè)信息安全是一個(gè)比較新的領(lǐng)域，目前還缺少比較完善的法規，現有的法規，由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無(wú)從制定合理的安全策略并確保此策略能被有效執行。企業(yè)的信息系統安全問(wèn)題是一個(gè)系統工程，涉及到計算機技術(shù)和網(wǎng)絡(luò )技術(shù)以及管理等方方面面，同時(shí)，隨著(zhù)信息系統的延伸和新興技術(shù)集成應用升級換代，它又是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程。因此對企業(yè)信息系統運行風(fēng)險和安全需求應進(jìn)行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業(yè)信息系統便利高效的同時(shí)，把握住信息系統安全的大門(mén)。

　　2 員工缺少安全管理的責任心

　　一個(gè)企業(yè)的信息系統是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因為他們才是企業(yè)信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來(lái)自企業(yè)內部，而不是來(lái)自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟損失主要是內部人員有意或無(wú)意的信息泄露事件。針對內部員工的泄密行為，目前還沒(méi)有成熟的、全面的解決，對于來(lái)自企業(yè)信息內部信息泄密的安全問(wèn)題，一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在。

　　3 信息系統缺乏信息安全技術(shù)

　　計算機信息安全技術(shù)是一門(mén)由密碼應用技術(shù)、信息安全技術(shù)、數據災難與數據恢復技術(shù)、操作系統維護技術(shù)、局域網(wǎng)組網(wǎng)與維護技術(shù)、數據庫應用技術(shù)等組成的計算機綜合應用學(xué)科。由于認識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設計過(guò)程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò )硬件、軟件系統多數依靠進(jìn)口，由此可造成企業(yè)信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業(yè)目的，許多黑客就是通過(guò)計算機操作系統的漏洞和后門(mén)程序進(jìn)入企業(yè)信息系統。隨著(zhù)網(wǎng)絡(luò )應用要求的越來(lái)越多，針對應用的攻擊也越來(lái)越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。
 
   企業(yè)信息安全建設存在的問(wèn)題分析

　　回顧我國企業(yè)信息化的發(fā)展，基本上是“從無(wú)到有，從有到精，從精到強”的過(guò)程，企業(yè)信息安全建設也是伴隨著(zhù)信息化的建設開(kāi)展的。但整體滯后。目前大多數企業(yè)的信息安全建設處于“零散實(shí)施，查缺補漏”的被動(dòng)防御階段，在信息安全建設中存在安全管理規范、制度和流程無(wú)法落實(shí)，安全審計工作不成體系。缺少有效的內控機制，沒(méi)有形成管控測評制度及測評指標體系，企業(yè)很難及時(shí)對公司整體信息安全現狀作出準確評估，安全防護更多來(lái)自被動(dòng)的事件驅動(dòng)，缺少信息安全標準、信息安全事件知識庫，缺少對流程的梳理與固化，服務(wù)響應速度不可控。信息運行工作量化的可視度低，企業(yè)安全管理所涉及的制度、規范不健全等諸多問(wèn)題。

　　仔細分析上述問(wèn)題，其中一個(gè)重要原因是因為企業(yè)的管理者沒(méi)有正確理解什么是信息安全治理，以及信息安全治理與信息安全管理的主要區別。實(shí)際上，兩者在工作內容、執行主體和技術(shù)深度3個(gè)層面有著(zhù)本質(zhì)的區別。

　　信息安全治理是為組織的信息安全運行定義了一個(gè)戰略性的框架，指明了具體安全管理工作的目標和權責范圍，使信息系統安全專(zhuān)業(yè)人員能夠準確地按照組織高層領(lǐng)導的要求開(kāi)展工作。企業(yè)進(jìn)行信息安全治理可以帶來(lái)以下好處：

　　(1)降低安全風(fēng)險。滿(mǎn)足行業(yè)合規性政策強制要求。提升控制和管理能力，阻止安全威脅，避免非法滲透，實(shí)現有效的風(fēng)險管理，降低業(yè)務(wù)損失。

　　(2)降低管理復雜度。降低信息基礎架構和業(yè)務(wù)應用系統的安全管理復雜度，提高企業(yè)安全管理效率，支持業(yè)務(wù)未來(lái)發(fā)展。

　　(3)減少費用。減少信息運維費用，減少信息安全重復投資;降低企業(yè)信息總所有成本(TC0)，提高企業(yè)競爭力。

　　所以企業(yè)要想解決信息安全建設中存在的種種問(wèn)題，必須開(kāi)展有效的信息安全治理工作。

  提高小企業(yè)信息安全的八個(gè)建議

   10月24日 配合國家網(wǎng)絡(luò )安全意識月，美國國家網(wǎng)絡(luò )安全聯(lián)盟(NCSA)和賽門(mén)鐵克公司公布了一項調查，這項調查的結果顯示大部分美國小型企業(yè)(少于250名員工)認為他們不會(huì )遭受到黑客攻擊或是感染上惡意軟件，即便他們的安全防御非常脆弱，甚至是根本毫無(wú)安全防護。

　　通過(guò)這項調查的結果，我們總結了如下8點(diǎn)建議，可以幫助那些小企業(yè)規范在線(xiàn)操作，改善網(wǎng)絡(luò )安全狀況。

　　1.了解你的企業(yè)都需要哪些防護：對于小企業(yè)來(lái)說(shuō)，一個(gè)數據的丟失就可能會(huì )造成大量的損失?？纯茨愕臄祿荚谀男┑胤奖皇褂貌⑶叶即娣庞诤翁?，這些地方都是需要著(zhù)重保護的。

　　2.強制使用長(cháng)密碼策略：用8個(gè)或更多的字符組成密碼，并使用字符、數字和符號(e.g., # $ % ! ?)進(jìn)行組合，這將大大提高數據的安全性。

　　3.馬上制定一個(gè)災備計劃：等到事發(fā)的時(shí)候就一切就晚了。首先確定好需要保護的資源，然后使用適當的安全與備份解決方案，并把重要的文件歸檔，還要經(jīng)常進(jìn)行安全檢測。

　　4.給機密信息加密：在那些臺式機、筆記本和移動(dòng)設備都應該進(jìn)行加密，未授權的訪(fǎng)問(wèn)都不能看到你的核心信息，進(jìn)而保護好你的知識產(chǎn)權，并讓你的客戶(hù)與合作伙伴等相關(guān)數據得到有力的保護。

　　5.選擇一個(gè)可靠的解決方案：現在很多安全解決方案不僅僅是防病毒和防垃圾郵件。有些方案可以定期掃描文件，檢查文件大小，看看它們是否發(fā)生了變化;檢測系統是否安裝了惡意軟件，對可疑的電子郵件附件發(fā)出警告。若是要保護好你的信息，前邊那些步驟都是非常有必要的。

　　6.數據防泄漏：其實(shí)你曾經(jīng)備份的業(yè)務(wù)信息更為重要。備份與安全解決方案相結合，基本上就能夠免除一切形式的數據泄漏。

　　7.保持更新：一套安全解決方案最好能夠保持更新到最新版本。每天都會(huì )誕生新的病毒，蠕蟲(chóng)，特洛伊木馬和其他惡意軟件，然而舊版本的軟件是無(wú)法檢測出這些新變種的。

　　8.員工培訓：制定網(wǎng)絡(luò )安全規章制度，教育員工們要安全地使用網(wǎng)絡(luò )，讓他們簡(jiǎn)單了解一下都有哪些最新的安全威脅;若是信息存放錯誤，或者感染了惡意軟件，要教給他們如何進(jìn)行處理