没有网络安全就没有国家安全,看似宏观的一句话,其实需要我们每个人、每个企业真真切切的去落实。
有国才有家,而每个个体的强大也会推动整个国家的强大,引申到网络安全,每个企业都把信息安全重视起来,我们整个国家的安全水平也会提高。
1、信息安全的普遍现状
每天还在为衣食住行、孩子上学、老人看病奔波的我们,也许无法直观的感受到来自信息和网络层面的威胁,更无法感知到信息、网络安全的国际形势。我们来看一组数据:
从数据可以看出,科技企业和高校占据了所有攻击目标的一半还多,当然这也能从侧面说明我们企业的信息化水平在不断提高,但由此所带来的信息安全方面的挑战也日益凸显:
一方面,重建设、轻安全,缺乏必要的安全监管手段,风险隐患发现、监测预警和突发事件处置能力相对薄弱,未做到安全工作的统一协调,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清;
另一方面,随着信息技术在集团管理和运营领域的应用推广,在数据采集、处理、传输和存储等环节面临的安全问题日益突出,与传统安全防护手段相比,新技术在安全方面的要求更具有复杂性、艰巨性和挑战性。
因此,需要全面审视业务发展与安全的关系,在发展的同时兼顾安全,在全面发现和解决现有安全问题的同时,以长远发展的视角打造业务发展与信息安全工作的协同。
企业在信息化发展过程中,所面临的安全威胁包括:
也正是由于企业所面临的如此多的威胁,因此必须响应国家号召,从自身做起,重视信息和网络安全。
2、重视网络安全,从自身的风险评估开始
风险评估是为了查找并发现信息系统、IT环境、工作流程中存在的安全风险并进行修补,消除安全隐患,其实际意义包括:
1) 通过资产发现、脆弱点扫描等技术手段,对现有应用系统、网络、主机及工作环境进行全面的扫描发现和统计现有资产信息(包括设备、流程、制度等),从资产管理角度发现僵尸设备,从系统安全性角度发现隐藏的安全漏洞,了解系统的脆弱性;
根据资产发现的结果进行精准风险扫描,可针对特定漏洞实时进行全面排查,形成风险评估表,计算风险的严重性并加以改进和加固。经过上述一系列系统信息安全建设,能够在很大程度上提高信息系统的系统安全性和业务连续性。
2) 通过安全评估和脆弱性分析,制定适合企业客观条件、实际业务的安全策略、制度和目标;
通过安全风险评估,掌握信息系统的安全现状,提出安全解决建议;结合企业客观现状和业务需求,制定有针对性的安全策略和短期、长期可落地的信息安全目标;协助进行企业信息安全体系制度的建设与落地;提出有实际意义的信息安全体系建设方针;将安全评估的结果作为下一阶段工作的数据基础;完成安全加固工作;网络架构、主机安全、中间件及数据库安全、WEB安全和安全管理是安全评估的重点。
3、风险评估不应局限于信息化系统和网络
风险评估所囊括的范围,应该包括企业运营所涉及到的全部单元,不仅仅是网络环境、信息系统,还应包括各类信息化设备、流程、制度及人员。
4、 风险评估,不是为了评估而评估
风险评估,是为了不断提高企业的信息和网络安全水平和成熟度,从而变被动防御为主动出击。
5、注重人员安全意识的培养
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。企业,是由人组成的,因此提高人员的安全意识尤为重要。
专职安全技术人员要有主动出击、提前防范的意识
管理人员要有及时补救、亡羊补牢的意识
普通员工要有不越雷池、不触红线的意识
企业领导要有关心信息、重视安全的意识
