博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2040|回复: 0

绕过企业信息安全的误区

[复制链接]
发表于 2007-11-14 12:14:15 | 显示全部楼层 |阅读模式
企业信息安全既不是简单的安全产品堆砌,也不等同于局部的网络安全,而应是基于需求构成的以管理、技术和人员三者有机结合的立体架构。




在进行信息安全总体架构规划时,企业容易陷入两个误区: 一是罗列一堆产品和技术,把能够看到的安全产品和安全技术(防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制)都堆砌起来,以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全,给出的规划也只能是局部的、残缺不全的。
要做企业信息安全总体架构规划,首先要了解企业的信息安全需求。抛开需求做规划,难免会掉进前面所讲的两种误区中。因此,做规划要从需求入手。
企业信息安全总体架构规划模型(图1)以企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析、全面挖掘企业的信息安全需求,是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求。
企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路,但是按照此模型还是不知道如何去做,具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论(图2)融合了以管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,借鉴同类企业成功经验并均衡考虑CIA(保密性、完整性、可用性),规划符合企业实情的信息安全保障体系。
在企业信息安全总体架构规划方法论中,重点工作的描述如下:
调查问卷
针对企业情况,信息主管应参照ISO27001/ISO13335等标准,制定相应的调查问卷,通过它全面了解企业的安全要求、安全状况、IT环境,以及企业信息系统的应用情况和已经采取的安全控制手段。
人员访谈
应选定关键领导和关键岗位,进行人员访谈,全面了解信息系统的安全需求,层层剖析、深入了解企业信息系统各层面的安全现状,包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
现场查看
为了确保获取信息的全面性和准确性,实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况,例如设备使用状况、技术应用状况等; 另一方面是物理环境察看,例如机房、办公室、其他重要区域、门禁、监控等。
资料分析
收集企业的相关资料进行分析,重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。
技术检测
采取技术手段进行漏洞检测和分析,包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。
CIA均衡考虑
通过前面5种方法完成需求分析之后,CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求,均衡考虑CIA三个方面设计技术、管理和人员控制措施,并将这些措施有机结合构建信息安全保障体系。
同类企业成功经验
有现成的桥,就没有必要摸着石头过河。因此,在设计信息安全保障体系时,借鉴国内企业在信息安全保障方面的成功案例,可以节约成本和少走弯路。




您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-25 00:43 , Processed in 0.081852 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表