時至今日，企業(yè)都在關(guān)注什么？這個問題始終是懸在大家頭上的一把刀，答對了就能一帆風(fēng)順，創(chuàng)造輝煌;答錯了，則會被時代拋棄，一無所有。他們都在關(guān)注什么？

　　在過去的的一段時間里，移動互聯(lián)來勢洶洶，大數(shù)據(jù)，可穿戴設(shè)備，云計算等理念，成為公眾討論的熱點，微信，微博淘寶，比特幣貨幣化，谷歌眼鏡，蘋果智能腕表，一個個消息不斷轟炸著我們，新的時代已經(jīng)來臨了，現(xiàn)在人們動輒就是移動互聯(lián)，云計算。但是事情并不是那么的樂觀。

　　眾所周知，任何新事物的出現(xiàn)，都會伴隨著相關(guān)事物的更新和同步。比如智能手機，智能手機的出現(xiàn)伴隨著App，伴隨著移動互聯(lián)網(wǎng)，說不清楚誰先誰后，但是他們必須是整體呈現(xiàn)在客戶面前，才能夠產(chǎn)生應(yīng)有的價值。,這一點無可厚非.同樣可以肯定的是企業(yè)在關(guān)注這些新鮮事物了。當一部分企業(yè)開始使用新產(chǎn)品的時候?qū)l(fā)生什么呢？不足!企業(yè)肯定會第一時間發(fā)現(xiàn)新產(chǎn)品的不足，甚至可以說是漏洞!然后，追隨者也會開始關(guān)注同樣的問題，最后，誰能夠解決這一系列的問題，誰就能夠贏得大爆發(fā)時期的企業(yè)!少數(shù)企業(yè)的試水，最終將會引發(fā)這場爆發(fā)。或許有人認為這個引發(fā)的流程已經(jīng)成為了必然趨勢，或許有人認為新產(chǎn)品(服務(wù))無懈可擊!這種狀況也許永遠都不會存在!問題一直都在，就看怎樣找到它。

　　對比既有的互聯(lián)網(wǎng)模式，能夠更好的發(fā)現(xiàn)問題的所在。相比傳統(tǒng)的IT模式，云計算的發(fā)展，讓互聯(lián)網(wǎng)產(chǎn)品的使用方式發(fā)生了改變;移動互聯(lián)的成熟，讓互聯(lián)網(wǎng)的接入點極大的豐富了起來;而大數(shù)據(jù)的發(fā)展，讓人們對于數(shù)據(jù)的理解和運用上了一個新的臺階。這些最基本的變化，引發(fā)了一系列復(fù)雜的變化。從用戶使用習(xí)慣，到體驗效果，再到對于互聯(lián)網(wǎng)的理解都產(chǎn)生了巨大的變化，互聯(lián)網(wǎng)變成了一個極度復(fù)雜的存在。如果說以前的互聯(lián)網(wǎng)模式是“電子圍繞原子組成一個分子”的話，那么現(xiàn)在的模式就是碳六十四(六十四個原子和對應(yīng)的電子組成)，基數(shù)變大，整體構(gòu)成幾何倍數(shù)的復(fù)雜化!這種變化，造成很多原有規(guī)則的不適應(yīng)，比如安全規(guī)則。簡單的時候，需要關(guān)注的點少，相對容易控制，當變得復(fù)雜以后，在使用累加的方式來保證安全的話，恐怕不行吧。就像天冷了不能夠通過多穿幾件短袖t恤就能解決一樣。這個時候，互聯(lián)網(wǎng)行業(yè)，所有應(yīng)用互聯(lián)網(wǎng)的企業(yè)，都需要一件棉衣，一件能夠保障新時代互聯(lián)網(wǎng)數(shù)據(jù)安全的棉衣!

　　泰然神州就在做這樣的棉衣。泰然神州新一代數(shù)據(jù)安全解決方案，一直希望通過運用新的邏輯方式來解決企業(yè)的安全問題。通過對現(xiàn)有數(shù)據(jù)安全的統(tǒng)計和整合，探究問題的來源，在一定高度上，統(tǒng)籌問題，建立全新的數(shù)據(jù)安全構(gòu)架。同時運用最成熟穩(wěn)定的安全技術(shù)，來實現(xiàn)這一方案。通過新一代數(shù)據(jù)安全解決方案，可以幫助企業(yè)更快的適應(yīng)新時代的互聯(lián)網(wǎng)環(huán)境，讓企業(yè)在新產(chǎn)品應(yīng)用上沒有后顧之憂，保障企業(yè)在競爭對手中優(yōu)越性，同其他企業(yè)拉開距離。

　　泰然神州的解決方案，看起來很完美。首先，它有一個堅強的心。在新方案中，數(shù)據(jù)被賦予了絕對的高度。完全隔離的數(shù)據(jù)，時刻遠離泄露威脅，所有的數(shù)據(jù)運算都是通過投影來實現(xiàn)，危險找不到數(shù)據(jù)源。企業(yè)完全不用擔心數(shù)據(jù)本身的威脅。其次，它有一個絕對理性的心。在過去的不久的“棱鏡門”泄密事件中，企業(yè)都看到一種直觀的危機，那就是內(nèi)鬼無處不在，防不勝防。如果能夠通過設(shè)備，邏輯，規(guī)則有效的約束人，那么這個不穩(wěn)定的因素是不是就能剔除呢？是的，新一代數(shù)據(jù)解決方案就是通過絕對理性的機器語言和設(shè)備限定了管理員的權(quán)限和職能，加強了相互監(jiān)督的方式和手段，不僅管理員能夠相互監(jiān)督，更是要受到數(shù)據(jù)智能的監(jiān)督，安全有保障。最后，新一代數(shù)據(jù)安全解決方案有一個靈巧的“心”，能夠適應(yīng)各種運行環(huán)境和設(shè)備，保障相互之間的數(shù)據(jù)安全不被侵害。這就是全新的數(shù)據(jù)安全解決方案。

　　安全永遠是最核心的需求，這一點毋庸置疑。在企業(yè)爭相涌向新時代的時候，安全問題不容忽視。不管企業(yè)在關(guān)注什么，安全都是這些關(guān)注的基本前提，沒有安全就沒有發(fā)展!安全，就是要保護企業(yè)的根!

原文出自【比特網(wǎng)】，轉(zhuǎn)載請保留原文鏈接：http://sec.chinabyte.com/253/12750753.shtml

企業(yè)信息安全系統(tǒng)工程的構(gòu)建

2013-08-18 07:43 CIO時代網(wǎng) 佚名

　　企業(yè)內(nèi)部信息遭遇操作不當、黑客攻擊、惡意盜取等威脅，都將不同程度的給企業(yè)帶來深遠影響。相信每個企業(yè)都對系統(tǒng)的安全性的重要地位心知肚明，其關(guān)鍵程度謂之左右企業(yè)全局也不為過。不少企業(yè)已經(jīng)花大量資金來投資于企業(yè)安全部署，但是需要提醒的是，安全不是花錢就能買來，不是相關(guān)產(chǎn)品的累計，而是整個企業(yè)內(nèi)部的整體安全系統(tǒng)工程的構(gòu)建。

　　企業(yè)信息安全系統(tǒng)工程的構(gòu)建

　　企業(yè)信息安全系統(tǒng)的構(gòu)建是一項長期系統(tǒng)工程，從硬件方面，企業(yè)需要購買相關(guān)設(shè)備，從軟件方面，企業(yè)既要擁有一批能夠維護相關(guān)設(shè)備軟件的技術(shù)人員，同時還要強化公司所有人對信息安全保護的意識以及相關(guān)制度建設(shè)。

　　1 關(guān)鍵數(shù)據(jù)需保護

　　在部署方案前首先弄明白企業(yè)重要的數(shù)據(jù)資產(chǎn)的位置，由哪些員工掌握，然后從全局對企業(yè)的數(shù)據(jù)進行安全防護。不僅如此，往往有些公司重要數(shù)據(jù)都存在于如ERP、OA、HR 等系統(tǒng)中，切實保障系統(tǒng)的安全，提供安全系統(tǒng)產(chǎn)品兼容企業(yè)其他信息系統(tǒng)是目前部門安全廠商研究的方向。

　　2 移動安全需關(guān)注

　　小型、便攜式平臺已經(jīng)成為黑客們搶灘登陸的新目標。加強員工對移動安全的保護意識，并且提供一套穩(wěn)健的移動辦公方案來讓移動終端的訪問處于安全防范之下。

　　3 安全更新需及時

　　企業(yè)的信息安全管理部門在幫企業(yè)處理安全事務(wù)的時候，要關(guān)注業(yè)內(nèi)新的攻擊應(yīng)對措施，軟件的新版本發(fā)布等，及時給全企業(yè)電腦進行查漏、升級等安全檢查，改善安全性能。

　　4 安全投資需果斷

　　企業(yè)進行安全部署的初衷當然是防范威脅帶來的致命危害，因此及時在企業(yè)運營不景氣，想縮減成本的前提下，安全部署切記不能成為犧牲品。

　　5 入侵活動需阻止

　　企業(yè)內(nèi)部的服務(wù)器和設(shè)備經(jīng)常被頻繁訪問，這種隱形威脅長期存在，如果大家最大程度減少企業(yè)網(wǎng)絡(luò)的流入、流出數(shù)據(jù)量，那么惡意人士攔截到敏感信息的機率也會大大降低。

　　6 安全培訓(xùn)需規(guī)劃

　　對新入職的員工、老員工進行安全意識培訓(xùn)規(guī)劃，告知企業(yè)信息的多種威脅、渠道、危害以及簡單處理措施，讓員工具備安全意識的同時能做到簡單防御。

   　企業(yè)信息安全中存在的問題

　　信息時代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風(fēng)險。由于我國企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風(fēng)險因素。

　　1 病毒危害

　　計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入，據(jù)統(tǒng)計，計算機病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強。

　　2 “黑客”攻擊

　　“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進入其權(quán)限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng)，盜竊系統(tǒng)保密信息，進行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

　　3 網(wǎng)絡(luò)攻擊

　　網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

  關(guān)于企業(yè)信息安全的現(xiàn)狀分析

    企業(yè)信息安全的現(xiàn)狀

　　我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領(lǐng)域。就目前來看，主要存在以下三個方面的隱患。

　　1 企業(yè)缺少信息安全管理制度

　　企業(yè)信息安全是一個比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標準化，法規(guī)也不能很好地被執(zhí)行，安全標準和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風(fēng)險和安全需求應(yīng)進行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

　　2 員工缺少安全管理的責任心

　　一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

　　3 信息系統(tǒng)缺乏信息安全技術(shù)

　　計算機信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護技術(shù)、局域網(wǎng)組網(wǎng)與維護技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計算機綜合應(yīng)用學(xué)科。由于認識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計過程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多，針對應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。
 
   企業(yè)信息安全建設(shè)存在的問題分析

　　回顧我國企業(yè)信息化的發(fā)展，基本上是“從無到有，從有到精，從精到強”的過程，企業(yè)信息安全建設(shè)也是伴隨著信息化的建設(shè)開展的。但整體滯后。目前大多數(shù)企業(yè)的信息安全建設(shè)處于“零散實施，查缺補漏”的被動防御階段，在信息安全建設(shè)中存在安全管理規(guī)范、制度和流程無法落實，安全審計工作不成體系。缺少有效的內(nèi)控機制，沒有形成管控測評制度及測評指標體系，企業(yè)很難及時對公司整體信息安全現(xiàn)狀作出準確評估，安全防護更多來自被動的事件驅(qū)動，缺少信息安全標準、信息安全事件知識庫，缺少對流程的梳理與固化，服務(wù)響應(yīng)速度不可控。信息運行工作量化的可視度低，企業(yè)安全管理所涉及的制度、規(guī)范不健全等諸多問題。

　　仔細分析上述問題，其中一個重要原因是因為企業(yè)的管理者沒有正確理解什么是信息安全治理，以及信息安全治理與信息安全管理的主要區(qū)別。實際上，兩者在工作內(nèi)容、執(zhí)行主體和技術(shù)深度3個層面有著本質(zhì)的區(qū)別。

　　信息安全治理是為組織的信息安全運行定義了一個戰(zhàn)略性的框架，指明了具體安全管理工作的目標和權(quán)責范圍，使信息系統(tǒng)安全專業(yè)人員能夠準確地按照組織高層領(lǐng)導(dǎo)的要求開展工作。企業(yè)進行信息安全治理可以帶來以下好處：

　　(1)降低安全風(fēng)險。滿足行業(yè)合規(guī)性政策強制要求。提升控制和管理能力，阻止安全威脅，避免非法滲透，實現(xiàn)有效的風(fēng)險管理，降低業(yè)務(wù)損失。

　　(2)降低管理復(fù)雜度。降低信息基礎(chǔ)架構(gòu)和業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理復(fù)雜度，提高企業(yè)安全管理效率，支持業(yè)務(wù)未來發(fā)展。

　　(3)減少費用。減少信息運維費用，減少信息安全重復(fù)投資;降低企業(yè)信息總所有成本(TC0)，提高企業(yè)競爭力。

　　所以企業(yè)要想解決信息安全建設(shè)中存在的種種問題，必須開展有效的信息安全治理工作。

  提高小企業(yè)信息安全的八個建議

   10月24日 配合國家網(wǎng)絡(luò)安全意識月，美國國家網(wǎng)絡(luò)安全聯(lián)盟(NCSA)和賽門鐵克公司公布了一項調(diào)查，這項調(diào)查的結(jié)果顯示大部分美國小型企業(yè)(少于250名員工)認為他們不會遭受到黑客攻擊或是感染上惡意軟件，即便他們的安全防御非常脆弱，甚至是根本毫無安全防護。

　　通過這項調(diào)查的結(jié)果，我們總結(jié)了如下8點建議，可以幫助那些小企業(yè)規(guī)范在線操作，改善網(wǎng)絡(luò)安全狀況。

　　1.了解你的企業(yè)都需要哪些防護：對于小企業(yè)來說，一個數(shù)據(jù)的丟失就可能會造成大量的損失。看看你的數(shù)據(jù)都在哪些地方被使用并且都存放于何處，這些地方都是需要著重保護的。

　　2.強制使用長密碼策略：用8個或更多的字符組成密碼，并使用字符、數(shù)字和符號(e.g., # $ % ! ?)進行組合，這將大大提高數(shù)據(jù)的安全性。

　　3.馬上制定一個災(zāi)備計劃：等到事發(fā)的時候就一切就晚了。首先確定好需要保護的資源，然后使用適當?shù)陌踩c備份解決方案，并把重要的文件歸檔，還要經(jīng)常進行安全檢測。

　　4.給機密信息加密：在那些臺式機、筆記本和移動設(shè)備都應(yīng)該進行加密，未授權(quán)的訪問都不能看到你的核心信息，進而保護好你的知識產(chǎn)權(quán)，并讓你的客戶與合作伙伴等相關(guān)數(shù)據(jù)得到有力的保護。

　　5.選擇一個可靠的解決方案：現(xiàn)在很多安全解決方案不僅僅是防病毒和防垃圾郵件。有些方案可以定期掃描文件，檢查文件大小，看看它們是否發(fā)生了變化;檢測系統(tǒng)是否安裝了惡意軟件，對可疑的電子郵件附件發(fā)出警告。若是要保護好你的信息，前邊那些步驟都是非常有必要的。

　　6.數(shù)據(jù)防泄漏：其實你曾經(jīng)備份的業(yè)務(wù)信息更為重要。備份與安全解決方案相結(jié)合，基本上就能夠免除一切形式的數(shù)據(jù)泄漏。

　　7.保持更新：一套安全解決方案最好能夠保持更新到最新版本。每天都會誕生新的病毒，蠕蟲，特洛伊木馬和其他惡意軟件，然而舊版本的軟件是無法檢測出這些新變種的。

　　8.員工培訓(xùn)：制定網(wǎng)絡(luò)安全規(guī)章制度，教育員工們要安全地使用網(wǎng)絡(luò)，讓他們簡單了解一下都有哪些最新的安全威脅;若是信息存放錯誤，或者感染了惡意軟件，要教給他們?nèi)绾芜M行處理