安全无止境 防护要适度

日期: 2012-06-05 来源:TechTarget中国

  在前面三期中,国内著名信息安全专家,IP-guard(www.ip-guard.net)产品总监黄凯向我们阐述了他提出的IT人必须持有的四点安全观中的前三点“信息安全是一种生产要素”、“无安全事故不等于足够安全”以及“预防比补救更省成本”。那么本期IP-guard黄凯将继续分析安全观最后一点—安全无止境,防护要适度。

  安全之茧

  在我们谈到安全的时候,我们都很明白其目的是保障企业业务的持续发展,保护企业的利益,这也是企业做信息安全的意义。随着内部智力资产对企业愈加重要,加之信息泄露事件频发,企业逐渐意识到信息安全的重要性,大家纷纷加强安全预算,部署安全系统。企业对信息安全的重视度提高了,但是从采取的防护措施来看,大家对信息安全的理解显然还不够全面与深入。

  “目前企业的信息安全有一种为安全为安全的倾向。不少企业将安全等同于“0”安全事故;还有些企业误以为只要部署了防护措施就可以高枕无忧,当出现新威胁却束手无策。这是大多数企业面临的困局”,IP-guard黄凯说道。

  对于信息安全,IP-guard黄凯认为,安全无绝对,这包含两方面的含义。一方面,安全是一个相对的要求,企业不需要一味追求绝对的安全;另一方面,安全还是个动态过程,需要根据变化而不断改变。对此,黄凯结合ISO27001的内容进行深入阐述。

  第一,安全必须考虑成本,如果防护成本比风险发生造成损失还要大,反而得不偿失。ISO 27001中提到,风险评估要考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响;要根据主要的威胁和脆弱性、对资产的影响以及当前所实验的控制措施,评价安全失效发生的现实可能性;要估计风险的级别,然后确定风险是否可接受。“要牢记一点,安全以企业发展为前提,切勿步入为安全而安全的误区。”。IP-guard黄凯强调道。

  第二,企业所面临的内外部环境在不断变化,如新的安全威胁,企业规模增大、架构调整、人员变动等,因此,没有一劳永逸的安全解决方案,企业的信息安全管理需要根据变化不断调整。

  为摆脱安全困局,现在企业需要转变对安全的思考模式,以一种更加积极的态度,更加长远的眼光来看待它,然后根据公司的发展战略以及业务的实际需求,制定合理的信息安全计划。

  “被”安全到“要”安全

  那么企业到底应以一种怎样的方式去建设信息安全?IP-guard黄凯说到,“企业必须从一个被动的接受者向一个主动出去者转变。”

  首先要对公司的信息系统进行全面的风险评估,包括信息资产的脆弱性,可能面临的威胁,风险发生的后果等,然后根据评估结果,制定起码是中长期的信息安全计划,比如一至三年。在这个时间段中,也要定期进行安全评估,以随时调整控制策略,持续对防护的有效性进行改善。比如经过评估发现在近两月里面,职员跳槽频繁,并且有些人员有访问机密信息的权限,但并没有对这部分人员加强安全防护,那么接下来就应该调整公司的防护策略,有侧重性地针对敏感人群加强安全控制。

  其次根据评估结果,根据资产价值与威胁等级针对性部署轻重有别的防护措施。如可以将信息资产按重要性划分为普通、秘密、机密三个级别,普通级别可只运用审计对所有文档操作进行记录,以确保外泄行为发生时可有迹可循;对秘密级别文档可能要加上权限控制,以降低文档被有意无意外发的机率;而对于机密文档就要对其进行强制加密,以最大程度地保证其安全,即使外泄也不能正常打开。又如将威胁按其不同性质进行分类,有些服务如FTP,如果存在风险,而对组织又不是不可或缺,则可直接规避;有些风险即使发生,造成的损失也很小,甚至比防护的成本还要低,则可选择接受;对于不可接受的风险,企业应该尽一切可能将其降至最低,防止其发生。在处理风险时,企业需要根据面临的安全风险及安全需求进行轻重有别的防护,选择平衡安全、效率与成本的解决方案。而这也是IP-guard所提倡的信息防泄密理念。IP-guard综合运用审计、权限控制、加密等防泄密技术,帮助企业构建起防护力度轻重不一、立体化的信息防泄密体系。

  近几年我国信息安全领域事故频发,给个人、企业和社会都造成了不小的影响,国家也高度重视,对信息犯罪进行严厉的打击,但对于企业来说,如何做好信息安全建设尚存在很多不足,安全之路长路漫漫。最后IP-guard黄凯建议道,“没有绝对的安全,只有绝对的评估。只有不断地进行安全检查,及时发现问题并解决,才是长久的安全之道”。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 威胁情报:算了吧 数据才不是越多越好

    大多数时候,人们一般认为对于威胁情报来说数据越多越好,但iSight首席执行官John Watters则建议企业质量和上下文内容才是风险评估的重要所在。

  • 企业需要避免的十大IT风险评估错误

    在企业试图对IT的安全作出更好的决策时,最重要的就是IT风险评估。然而,虽然企业进行了风险评估,但他们经常出现一些错误,大大降低了风险评估的效果。

  • 预防比补救更省成本

    泄露出去的数据信息就如泼出去的水,势难收回。那么如何做好充分的准备呢?最重要的就是要对企业进行全面的风险评估。

  • 选购网络犯罪预防方案的六大要点(上)

    在考查网络犯罪预防方案的过程中,企业客户应当考虑多种需求。除了高效地预防欺诈这种核心需求,还需要解决部署成本、管理难度、客户影响、合规要求等问题。