企业防御
这里总结的是企业在做安全防御的统筹方法,并不是具体某个漏洞如何修复~
信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常的运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。信息安全的成败主要取决于两个因素:技术和管理。现实生活中大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。信息安全管理作为安全工作中的一个重要环节,主要包括识别组织资产和风险、采取恰当的策略和控制措施来消减风险,监督控制措施有效性,提升人员安全意识等。
企业安全的核心目标是为关键资产提供可用性、完整性和机密性保护(CIA),降低组织面临的风险。
**保密性(confidentiality)**:确保信息在存储、使用、传输中不会泄露给非授权用户或实体。
**完整性(integrity):**确保信息在存储、使用、传输中不会被非授权篡改,防止授权用户越权读取、修改信息,保持信息内外部一致性。
**可用性(availability):**确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,保障可靠而及时的访问信息和资源。
通常使用以下三种手段来实现企业的安全防御。
接下来就是对三种手段分别细讲
安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。
确定信息资产分级方案,根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。
一般商业公司的信息敏感级别由高到低为:
企业安全培训一般分为高层培训、IT部门培训和普通员工培训三类。
BCM是整体的管理框架,提供足够有效的能力以保障组织关键利益相关者的利益,包含BCP和DRP。
业务连续性计划是机构信息系统安全项目(Security Program)的一部分,其目的是在中断事件发生时通过以下措施为机构提供解决方法:
灾难恢复的目标是降低灾难或者中断所带来的影响,当灾难来临时恰当的处理灾难及其灾难性的后果,通常灾难恢复计划关注于IT层面。灾难恢复是在所有事情处于紧急状态时执行的。
应用程序和计算机系统开发的首要目的往往是满足功能需求,而非安全。为了满足这两方面的需求,在设计和开发时必须同时考虑安全性和功能性。安全应该交织在产品的核心之中,并在各个层面提供保护。相对于在产品与其他应用程序集成时再开发可能影响总体功能和留下安全漏洞的前端或者包装程序,在设计之初就考虑进安全因素的方法要好得多。
软件开发生命周期(software development life cycle,SDLC)是通过可重复和可预测的流程来帮助确保满足功能、成本、质量、交付周期的需求。
安全计划应该尽量在生命周期的各个阶段予以实施,一般分为以下三个阶段:
安全运维是为保障网络、计算机系统、应用程序和环境以安全和受保护的方式运转。
不管是自建IDC还是部署到公有云平台,我们都应该关注以下几个方面的安全控制:
如果公有云平台提供部分安全控制措施,可以结合其提供的安全能力与自身需求相结合。
办公环境的安全一般主要关注边界安全、终端安全、移动设备安全及OA服务域的安全。
边界防护一般可以采取以下几种控制措施:
终端防护一般可以采取以下几种控制措施:
移动设备安全防护一般可以采取以下两种控制措施:
OA服务域安全防护一般可以采取以下几种控制措施:
物理安全涉及到与保护企业资源和敏感信息的实体有关的威胁、缺陷和防范措施。这些资源包括人员、工作设施、数据、设备、支持系统、介质和所需的供给品等。与计算机和信息安全相比,物理安全方面的脆弱性、威胁和对策都有所不同。物理安全措施必须能够应对物理破坏、入侵者、环境问题、盗窃等。
物理安全所面临的威胁一般有以下**三类**:
自然灾害:洪水、地震、火灾、台风等 供应系统威胁:停电、通信终端等 人为威胁:未授权的访问(内部或外部的)、员工造成的错误和事故、故意破坏、盗窃等
物理控制措施主要包括以下**几个方面**:
访问控制(物理上的,非信息系统) 入侵检测(物理上的,非信息系统) 警报 闭路电视监控 供暖、通风、空调 电力供应(UPS等) 火警和消防 警卫 锁具