信息安全須重視 如何清除安全死角

申請免費試用、咨詢電話：400-8352-114

信息安全須重視 如何清除安全死角

隨著網絡規(guī)模的不斷擴大，以及業(yè)務對網絡穩(wěn)健性需求的不斷強烈，信息安全成了CIO眼下最熱的話題之一。

記得兩年前的“沖擊波”嗎?這個病毒一下子讓無數(shù)企業(yè)網絡處于癱瘓狀態(tài)，造成的直接經濟損失規(guī)模大的驚人。如今企業(yè)都面臨著是否要信息化的選擇，信息安全也隨之成了信息化的重要一環(huán)?？闪钊速M解的是，眾多企業(yè)寧可花大把的錢購買服務器、交換機，卻很少愿意掏合適的價錢去加強企業(yè)網絡的安全措施，難道信息安全對企業(yè)一無所用?

沒有幾家用戶敢說自己擁有無懈可擊的信息安全計劃。事實上，在確保業(yè)務信息的可用性、完整性以及機密性方面，各行各業(yè)的用戶都面臨或大或小的挑戰(zhàn)。

隨著安全威脅的與日俱增和日益復雜，越來越多的用戶開始采取更主動的方法來實現(xiàn)信息安全: 將安全現(xiàn)狀與確保業(yè)務連續(xù)性所需要的安全目標進行比較分析，以此確定存在的問題和不足，并積極采取有針對性的措施，從而向創(chuàng)建和實現(xiàn)保護關鍵資產所需的可靠架構邁出重要一步。

明確業(yè)務要求

一項信息安全計劃要想行之有效，就必須充分考慮人員、過程和技術三要素。因此用戶在確定存在安全差距時同樣需要考慮這些要素。

在確定差距時，用戶首先需要確定關鍵業(yè)務目標，然后概括出實現(xiàn)這些業(yè)務目標所需要的安全條件。這些業(yè)務目標和要求將成為企業(yè)制訂信息安全計劃的基準。接下來，用戶需要確定公司的長期戰(zhàn)略目標、業(yè)務環(huán)境可能發(fā)生的變化、高優(yōu)先級的安全問題以及其他戰(zhàn)略戰(zhàn)術問題。

細分評估過程

以業(yè)務需求分析作基礎，接下來用戶需要將企業(yè)當前的安全架構與信息安全計劃的目標進行比較。這是一個費時、費力的過程。如果將人員、過程和技術評估細分到三個關鍵領域—戰(zhàn)略、組件與管理，這個過程就會得到大大簡化。

利用簡單的評分方法對關鍵領域進行分級，可以使評估工作更加容易進行。例如，零分表示完全沒有實現(xiàn)，1分表示部分實現(xiàn)，2分表示全面實現(xiàn)。不過，對于許多用戶來說，確定評估標準才是問題的關鍵。

回答一些關鍵問題，可以幫助用戶有效地確定評估標準和劃分信息安全計劃的等級。每個問題的答案都利用相同的評定標準進行打分，這樣用戶就可以確定需要改進的領域。

在評估有關人員要素的戰(zhàn)略時，用戶可以詢問以下問題：是否以書面形式制定了信息安全戰(zhàn)略，戰(zhàn)略是否定期更新，是否涉及一致性檢測或認證，公司將信息安全戰(zhàn)略定性為被動的還是主動的。

在評估人員要素的組件時，用戶可以詢問以下問題: 是否擁有專職信息安全人員，是否由相應稱職的人員來領導，是否有正在執(zhí)行的培訓計劃等等。

在評估人員要素的管理問題時，可以通過以下問題來確定：是否定期向行政管理人員提交狀況報告，行政管理人員是否擁有信息安全計劃，信息安全計劃是否可以強制執(zhí)行等等。

在評估信息安全計劃的過程與技術要素時，可以詢問以下相關問題：信息安全過程和策略便于通過公司的內部網查看嗎?安全過程組件部署到位了嗎?(安全過程組件包括賬戶管理、安全意識、應急響應、安全漏洞掃描和可以接受的使用組件。)安全技術部署到位了嗎?(安全技術包括防病毒軟件、防火墻、安全漏洞管理和入侵檢測系統(tǒng)。)

制訂路線圖與實施

一旦確定信息安全現(xiàn)狀與理想狀態(tài)的差距，用戶就可以動手制訂路線圖，以彌補當前與未來信息安全計劃之間的差距。利用從業(yè)務需求分析和差距分析中得到的信息，用戶可以開發(fā)所希望的安全架構。

行之有效的路線圖通常為彌補信息安全差距提供多種方案。路線圖應當包括今后兩年的戰(zhàn)略計劃以及更長遠的計劃。用戶可以選擇符合業(yè)務優(yōu)先重點的路線。公司應當對進展情況進行密切監(jiān)視，以確保改進持續(xù)進行，并不斷得到管理層的支持。

通過確定關鍵業(yè)務需求、分析信息安全架構的當前狀況、劃定未來需要改進的領域以及為實現(xiàn)信息安全目標制定靈活的路線圖，用戶可以大大加強自己的安全優(yōu)勢。

隨著保護信息資產的人員、過程和技術部署的到位，用戶就擁有了確保信息保密性、完整性和可用性所需要的資源。（21CN）