国产日韩欧美在线视频2021_国产午夜精华视频在线不卡_Chinese猛男白袜喷浆_亚洲无码动漫一区_久热这里只有精品视频6_女人午夜啪啪性刺激免费看_久热精品一级片_中国少妇的bbb真爽_亚洲区小说区另类_免费h无码动漫在线观看网址

企業(yè)通用信息安全

欄目:網絡信息安全 發(fā)布時間:2018-06-10

一、企業(yè)信息安全的需求

目標:構建信息安全體系,支撐企業(yè)發(fā)展戰(zhàn)略隨著國內大部分企業(yè)信息化程度的提升,企業(yè)的信息資產與業(yè)務運營所面臨的安全威脅也在日益加劇。雖然企業(yè)對于安全防護的投入逐年遞增,但在面對愈來愈頻繁和復雜的病毒  破壞與黑客攻擊等安全問題時,仍停留在兵來將擋的被動應付階段。安全需求來自于業(yè)務本身,而非 IT 技術驅動,安全問題貫穿于整個企業(yè)的運作。

 

企業(yè)信息安全概述

l商業(yè)機密信息安全

企業(yè)的商業(yè)秘密的泄露會使企業(yè)喪失競爭優(yōu)勢,失去市場;企業(yè)必須防止商業(yè)信息泄露或篡改的現象發(fā)生。

l保障業(yè)務持續(xù)運轉

防止企業(yè)經營或商務活動的中斷,保護關鍵商務過程免受重大故障或災難的影響,建立和管理安全強壯的信息系統必不可少。

l新技術帶來的安全隱患

虛擬化和云計算增加基礎架構復雜性,新興技術的應用導致安全違規(guī)和安全攻擊事件的大量增加,數據量每隔 18 個月翻一番,圍繞著信息上下文的存儲、安全和發(fā)現技術變得越來越重要。信息安全問題越來越凸現出來 使得企業(yè)規(guī)避信息安全風險的需求日趨緊迫。

l保護企業(yè)客戶信息和內部員工信息

企業(yè)的內部組織信息,員工信息,以及企業(yè)的客戶信息,商務伙伴的資料與數據等,是企業(yè)賴以生存的基礎,都是需要保護的重要資產。

l完善安全管理策略,降低企業(yè)風險

為了實現有效的安全策略,構建企業(yè)安全平臺,企業(yè)必須建立一個基于風險分析,策略定義,方案實施,管理和審計的循環(huán)往復的流程周期。

 

二、企業(yè)信息安全的歷程

l通信安全

在早期,通信技術還不發(fā)達,電腦只是零散的位于不同的地點,信息系統的安全僅限于保證電腦的物理安全以及通過密碼(主要是序列密碼)解決通信安全保密問題。如果一臺電腦上的數據需要讓別人讀取,而需要數據的人卻在異地,只有將數據拷貝在介質上,派專人秘密的送到目的地,拷貝進電腦再讀取出數據。這個階段人們強調的信息系統安全性是指信息的保密性,對安全理論和技術的研究也僅限于密碼學。

l信息安全

60年代,對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段,主要保證動態(tài)信息在傳輸過程中不被竊取,即使竊取了也不能讀出正確的信息;還要保證數據在傳輸過程中不被篡改,讓讀取信息的人能夠看到正確無誤的信息。

l信息保障

90年代,信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標。信息安全也轉化為從整體角度考慮其體系建設的信息保障階段。

l面向服務的安全保障

現在,隨著“軟件定義”的出現,網絡架構和應用架構都出現了不同程度的發(fā)展,安全保障不僅是組件間的環(huán)節(jié)控制,對組件本身的安全同樣需要。對單個業(yè)務的安全保障需求演變?yōu)閷Χ鄠€業(yè)務交叉系統的綜合安全需求,IT基礎設施與業(yè)務之間的耦合層度逐漸降低,安全也分解為若干單元,安全不再面對業(yè)務本身,而是面對使用業(yè)務的客戶,具體地說就是用戶在使用IT平臺承載業(yè)務的時候,涉及該業(yè)務安全保障,由此,安全保障也從面向業(yè)務發(fā)展到面向服務。

 

、企業(yè)信息安全體系架構解決方案

企業(yè)信息安全框架從上到下由安全治理、風險管理及合規(guī)層,安全運維層和基礎安全服務和架構層三個層次構成。安全治理、風險和合規(guī)作為ESF 架構頂層的核心內容,是第二層安全運維的服務對象,同時,它們也是企業(yè)信息安全策略制定的基礎和依據,此外,這一層也為最下層,基礎安全服務和架構層中的各個子系統提供選擇和建設的依據。

 

l基礎安全服務和架構層

基礎安全服務和架構定義了企業(yè)信息安全框架中的五個核心的基礎技術架構和相關服務:物理安全、基礎架構安全、身份/訪問安全、數據安全和應用安全?;A安全服務和架構是安全運維和管理的對象,其功能由各自的子系統提供保證。

l安全運維

在安全策略的指導下,安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。

l安全治理、風險管理和合規(guī)

安全治理和風險管理及合規(guī)的內容主要包含企業(yè)信息安全建設的戰(zhàn)略和治理框架、風險管理框架以及合規(guī)和策略遵從。安全治理、風險管理合規(guī)是企業(yè)信息安全框架的最頂層,是業(yè)務驅動安全的出發(fā)點。通過對企業(yè)業(yè)務和運營風險的評估,確定其戰(zhàn)略和治理框架、風險管理框架,定義合規(guī)和策略遵從,確立信息安全文檔管理體系。

總結

企業(yè)信息安全框架參考了眾多企業(yè)所積累的經驗,充分吸取行業(yè)中的最佳實踐。在具體運用中可結合信息安全相關方法論、模型及標準,將所有的內容與要求基于企業(yè)的業(yè)務需求和的現狀轉化到信息安全設計與規(guī)劃的具體項目中分別予以實現并提供了可參照執(zhí)行的演進思路。從企業(yè)需求出發(fā),參照企業(yè)信息安全管理框架,通過評估和風險分析等方法,定義企業(yè)安全需求,根據企業(yè)的安全需求定義企業(yè)信息安全建設的內容和方向。

 

l可審查

對出現的網絡安全問題提供調查的依據和手段。

l可控性

可以控制授權范圍內的信息流向及行為方式。

l完整性

只有得到允許的人才能修改數據,并且能夠判別出數據是否已被篡改。

l機密性

確保信息不暴露給未授權的實體或進程。

l可用性

得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。