信息化觀察網(wǎng)

隨著經(jīng)濟(jì)、社會(huì)和科技的快速發(fā)展，依賴計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)的個(gè)人和單位主機(jī)數(shù)量快速增長，現(xiàn)在任何一個(gè)企事業(yè)單位的正常運(yùn)展都離不開計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的支撐。社會(huì)、公司對(duì)信息技術(shù)的依賴越來越大，信息安全一旦受到破壞，不僅會(huì)導(dǎo)致嚴(yán)重的社會(huì)混亂，也會(huì)帶來巨大的經(jīng)濟(jì)損失。因此，信息技術(shù)中最關(guān)鍵也最容易被忽視的安全問題,正在危及信息技術(shù)的健康發(fā)展和應(yīng)用，信息安全技術(shù)及應(yīng)用越來越受到關(guān)注。

一、公司信息安全主要威脅

絕對(duì)的安全是不存在的，我們能做的，是減少公司面臨的安全風(fēng)險(xiǎn)，延長安全的穩(wěn)定周期，縮短消除威脅的反映時(shí)間。客觀的分析公司現(xiàn)有安全防護(hù)體系，我們不難發(fā)現(xiàn)我們面對(duì)的問題還有很多，如客戶端的非法操作，對(duì)網(wǎng)絡(luò)的不合法的訪問與利用;網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)缺陷與混雜的部署環(huán)境;網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審計(jì)系統(tǒng)等等。信息安全人員要面臨的是來自內(nèi)部和外部的混合威脅，是蓄意或無意的攻擊和破壞，需要提高整體安全防范意識(shí)與科學(xué)的協(xié)調(diào)和管理。如果從來源的話，可以分為內(nèi)部威脅和外部威脅，如果從影響或者手段上來看，主要是兩類：

1、信息泄露

信息泄露是信息安全最主要的危害。這種信息泄露包括客戶信息泄露、公司經(jīng)營數(shù)據(jù)泄露、公司經(jīng)營政策泄露等、這些信息泄露會(huì)給公司業(yè)務(wù)發(fā)展和聲譽(yù)帶來巨大負(fù)面影響，更嚴(yán)重的是一旦信息泄露并被黑產(chǎn)利用所引發(fā)的各類欺詐活動(dòng)，將會(huì)產(chǎn)生惡劣的社會(huì)影響。

2、業(yè)務(wù)中斷

因硬件故障或者軟件故障引起的業(yè)務(wù)中斷，業(yè)務(wù)中斷不僅僅指業(yè)務(wù)系統(tǒng)中斷，也包含員工電腦或手機(jī)（軟硬件）故障引起的對(duì)個(gè)人業(yè)務(wù)無法進(jìn)行的中斷。

二、信息安全的基本內(nèi)容

信息安全的基本內(nèi)容包括：實(shí)體安全、運(yùn)行安全、信息資產(chǎn)安全和人員安全等內(nèi)容。

1、實(shí)體安全

實(shí)體安全是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實(shí)際上，實(shí)體安全是指環(huán)境安全、設(shè)備安全和媒體安全。

2、運(yùn)行安全

運(yùn)行安全是為了保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供的一套安全措施來保護(hù)信息處理過程的安全。為了保障系統(tǒng)功能的安全，可以采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。

3、信息資產(chǎn)安全

信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、可用性、保密性和可控性。信息資產(chǎn)包括文件、數(shù)據(jù)等。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制、加密、鑒別等。

4、人員安全

人員安全主要是指信息系統(tǒng)使用人員的安全意識(shí)、法律意識(shí)、安全技能等。人員的安全意識(shí)是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此，人員的安全意識(shí)是通過培訓(xùn)，以及安全技能的積累才能逐步提高，人員安全在特定環(huán)境下、特定時(shí)間內(nèi)是一定的。

三、如何建立相對(duì)安全的信息系統(tǒng)

《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)，一至五級(jí)等級(jí)逐級(jí)增高：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

按照等級(jí)要求，我公司的信息安全等級(jí)保護(hù)應(yīng)該在第二級(jí)或第三級(jí)，因此需要公司在信息安全建設(shè)方面按照標(biāo)準(zhǔn)進(jìn)行建設(shè)。

1、整體的業(yè)務(wù)安全策略

要構(gòu)建整體的安全策略和部署一體化的管理工具，改變過去那種孤島式的安全防護(hù)模式。要建立整體安全防護(hù)體系，設(shè)置專人統(tǒng)一管理，最好是利用工具進(jìn)行一體化的管理與防護(hù)。

2、數(shù)據(jù)分級(jí)與最低授權(quán)

對(duì)于業(yè)務(wù)系統(tǒng)的數(shù)據(jù)要進(jìn)行分級(jí)管理，同時(shí)在訪問權(quán)限上要進(jìn)行嚴(yán)格的控制，不同的角色只賦予所需要的最低權(quán)限，這可以減少威脅的作用范圍。對(duì)業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)和辦公等信息系統(tǒng)進(jìn)行了詳細(xì)的安全等級(jí)劃分，不同密級(jí)的系統(tǒng)位于不同的區(qū)域，數(shù)據(jù)在不同區(qū)域間傳輸時(shí)要符合信息安全的策略。

3、業(yè)務(wù)與運(yùn)維審計(jì)系統(tǒng)

對(duì)于敏感操作要進(jìn)行嚴(yán)格的審計(jì)，以備事后查詢，需要將關(guān)注重點(diǎn)從系統(tǒng)日志轉(zhuǎn)到業(yè)務(wù)應(yīng)用的活動(dòng)監(jiān)控上。這將有助于為公司提供至關(guān)重要的洞察力，以便深入了解用戶行為。配合嚴(yán)格的管理規(guī)定，審計(jì)可以有效地威懾內(nèi)部人員。

4、樹立正確的安全意識(shí)

應(yīng)對(duì)業(yè)務(wù)安全的風(fēng)險(xiǎn)，最重要是要有風(fēng)險(xiǎn)管理的框架、規(guī)章制度和標(biāo)準(zhǔn)化流程，在這個(gè)基礎(chǔ)上，保證規(guī)章制度在日常運(yùn)營中得到很好的貫徹執(zhí)行。此外，要通過員工的安全意識(shí)培訓(xùn)，最大化地減少企業(yè)所面臨的威脅風(fēng)險(xiǎn)。

5、使用科學(xué)的業(yè)務(wù)安全管理平臺(tái)

傳統(tǒng)基于規(guī)則的安全防護(hù)，只能判斷用戶是否合法，但對(duì)于合法人員的異常行為卻無能為力。要進(jìn)一步加強(qiáng)安全管理，要實(shí)現(xiàn)從基于規(guī)則到基于用戶行為的防護(hù)，要構(gòu)建基于用戶行為分析的防護(hù)，借助用戶行為大數(shù)據(jù)分析平臺(tái)，對(duì)用戶行為進(jìn)行實(shí)時(shí)監(jiān)控與分析，檢測并阻止異常的行為，才是防范業(yè)務(wù)安全風(fēng)險(xiǎn)的有效方式。