信息安全須重視 如何清除安全死角

申請免費(fèi)試用、咨詢電話：400-8352-114

信息安全須重視 如何清除安全死角

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，以及業(yè)務(wù)對網(wǎng)絡(luò)穩(wěn)健性需求的不斷強(qiáng)烈，信息安全成了CIO眼下最熱的話題之一。

記得兩年前的“沖擊波”嗎?這個病毒一下子讓無數(shù)企業(yè)網(wǎng)絡(luò)處于癱瘓狀態(tài)，造成的直接經(jīng)濟(jì)損失規(guī)模大的驚人。如今企業(yè)都面臨著是否要信息化的選擇，信息安全也隨之成了信息化的重要一環(huán)?？闪钊速M(fèi)解的是，眾多企業(yè)寧可花大把的錢購買服務(wù)器、交換機(jī)，卻很少愿意掏合適的價錢去加強(qiáng)企業(yè)網(wǎng)絡(luò)的安全措施，難道信息安全對企業(yè)一無所用?

沒有幾家用戶敢說自己擁有無懈可擊的信息安全計劃。事實(shí)上，在確保業(yè)務(wù)信息的可用性、完整性以及機(jī)密性方面，各行各業(yè)的用戶都面臨或大或小的挑戰(zhàn)。

隨著安全威脅的與日俱增和日益復(fù)雜，越來越多的用戶開始采取更主動的方法來實(shí)現(xiàn)信息安全: 將安全現(xiàn)狀與確保業(yè)務(wù)連續(xù)性所需要的安全目標(biāo)進(jìn)行比較分析，以此確定存在的問題和不足，并積極采取有針對性的措施，從而向創(chuàng)建和實(shí)現(xiàn)保護(hù)關(guān)鍵資產(chǎn)所需的可靠架構(gòu)邁出重要一步。

明確業(yè)務(wù)要求

一項(xiàng)信息安全計劃要想行之有效，就必須充分考慮人員、過程和技術(shù)三要素。因此用戶在確定存在安全差距時同樣需要考慮這些要素。

在確定差距時，用戶首先需要確定關(guān)鍵業(yè)務(wù)目標(biāo)，然后概括出實(shí)現(xiàn)這些業(yè)務(wù)目標(biāo)所需要的安全條件。這些業(yè)務(wù)目標(biāo)和要求將成為企業(yè)制訂信息安全計劃的基準(zhǔn)。接下來，用戶需要確定公司的長期戰(zhàn)略目標(biāo)、業(yè)務(wù)環(huán)境可能發(fā)生的變化、高優(yōu)先級的安全問題以及其他戰(zhàn)略戰(zhàn)術(shù)問題。

細(xì)分評估過程

以業(yè)務(wù)需求分析作基礎(chǔ)，接下來用戶需要將企業(yè)當(dāng)前的安全架構(gòu)與信息安全計劃的目標(biāo)進(jìn)行比較。這是一個費(fèi)時、費(fèi)力的過程。如果將人員、過程和技術(shù)評估細(xì)分到三個關(guān)鍵領(lǐng)域—戰(zhàn)略、組件與管理，這個過程就會得到大大簡化。

利用簡單的評分方法對關(guān)鍵領(lǐng)域進(jìn)行分級，可以使評估工作更加容易進(jìn)行。例如，零分表示完全沒有實(shí)現(xiàn)，1分表示部分實(shí)現(xiàn)，2分表示全面實(shí)現(xiàn)。不過，對于許多用戶來說，確定評估標(biāo)準(zhǔn)才是問題的關(guān)鍵。

回答一些關(guān)鍵問題，可以幫助用戶有效地確定評估標(biāo)準(zhǔn)和劃分信息安全計劃的等級。每個問題的答案都利用相同的評定標(biāo)準(zhǔn)進(jìn)行打分，這樣用戶就可以確定需要改進(jìn)的領(lǐng)域。

在評估有關(guān)人員要素的戰(zhàn)略時，用戶可以詢問以下問題：是否以書面形式制定了信息安全戰(zhàn)略，戰(zhàn)略是否定期更新，是否涉及一致性檢測或認(rèn)證，公司將信息安全戰(zhàn)略定性為被動的還是主動的。

在評估人員要素的組件時，用戶可以詢問以下問題: 是否擁有專職信息安全人員，是否由相應(yīng)稱職的人員來領(lǐng)導(dǎo)，是否有正在執(zhí)行的培訓(xùn)計劃等等。

在評估人員要素的管理問題時，可以通過以下問題來確定：是否定期向行政管理人員提交狀況報告，行政管理人員是否擁有信息安全計劃，信息安全計劃是否可以強(qiáng)制執(zhí)行等等。

在評估信息安全計劃的過程與技術(shù)要素時，可以詢問以下相關(guān)問題：信息安全過程和策略便于通過公司的內(nèi)部網(wǎng)查看嗎?安全過程組件部署到位了嗎?(安全過程組件包括賬戶管理、安全意識、應(yīng)急響應(yīng)、安全漏洞掃描和可以接受的使用組件。)安全技術(shù)部署到位了嗎?(安全技術(shù)包括防病毒軟件、防火墻、安全漏洞管理和入侵檢測系統(tǒng)。)

制訂路線圖與實(shí)施

一旦確定信息安全現(xiàn)狀與理想狀態(tài)的差距，用戶就可以動手制訂路線圖，以彌補(bǔ)當(dāng)前與未來信息安全計劃之間的差距。利用從業(yè)務(wù)需求分析和差距分析中得到的信息，用戶可以開發(fā)所希望的安全架構(gòu)。

行之有效的路線圖通常為彌補(bǔ)信息安全差距提供多種方案。路線圖應(yīng)當(dāng)包括今后兩年的戰(zhàn)略計劃以及更長遠(yuǎn)的計劃。用戶可以選擇符合業(yè)務(wù)優(yōu)先重點(diǎn)的路線。公司應(yīng)當(dāng)對進(jìn)展情況進(jìn)行密切監(jiān)視，以確保改進(jìn)持續(xù)進(jìn)行，并不斷得到管理層的支持。

通過確定關(guān)鍵業(yè)務(wù)需求、分析信息安全架構(gòu)的當(dāng)前狀況、劃定未來需要改進(jìn)的領(lǐng)域以及為實(shí)現(xiàn)信息安全目標(biāo)制定靈活的路線圖，用戶可以大大加強(qiáng)自己的安全優(yōu)勢。

隨著保護(hù)信息資產(chǎn)的人員、過程和技術(shù)部署的到位，用戶就擁有了確保信息保密性、完整性和可用性所需要的資源。（21CN）