信息安全缺失的影响
信息安全绝非危言耸听,信息安全缺失一般会造成数据丢失、数据篡改、数据泄露和系统不可用四个直接危害,无论哪个危害,都会给企业或政府带的业务运营和盈利带来致命一击。
因为信息安全缺失导致企业遭受影响的案例数不胜数,以下是2017年比较典型的信息安全事件:
2017年2月Gitlab.com运维人员误删300G数据;
2017年3月58同城被曝简历数据泄露700元可采集全国简历信息;
2017年4月12306官方网站再现安全漏洞;
2017年5月WannaCry勒索病毒席卷全球;
2017年6月《中华人民共和国网络安全法》正式实施;
2017年7月老牌信用机构Equifax被黑1.43亿用户信息遭泄露;
2017年8月美国选民数据被泄露186万选民信息可公开下载;
2017年9月传华为被中国移动罚款5亿因技术人员误操作;
2017年10月南非现史上规模最大的数据泄露事件;
2017年11月五角大楼AWS S3配置错误致18亿用户信息泄露;
2017年12月针对企业的钓鱼邮件APT攻击爆发;
摘自http://www.sohu.com/a/212758058_765470
就在刚刚过去的2018年8月份,多地爆发GlobeImpster勒索病毒。
信息安全无时不在,切危机不断,如何做好信息安全防范工作,并建立自身的安全管理,是IT运营一个持续不断的任务。
信息安全运维三板斧(供参考)
风险管理
风险管理是企业信息安全的第一步,通过风险管理,了解各种类型的风险定义和各种攻击手段的攻击原理,对企业存在的风险和潜在的漏洞进行统一采集与识别,建立风险生命周期管理,确保对企业已有风险和可能造成的威胁了然于胸。
1风险分类
一般按照区域和造成安全事件的原因,可分为企业外部风险和企业内部风险
其中外部风险主要指攻击者或是攻击团体利用网站漏洞进行注入、攻击、窃取、篡改等手段对企业信息进行破坏;
内部风险主要指企业内部人员误操作导致的数据风险或是外部人员通过内部人员、内部设备发起的攻击行为。不同的风险分类,有不同的防御方法。
另外,风险还包括重要系统、数据库未建立健全备份验证机制、缺少高可用支持等。
2风险生命周期管理
风险采集主要是指通过渗透测试、网络安全设备扫描等手段,对企业IT系统、电脑终端等设备进行按计划定期扫描,采集可能存在的安全风险和漏洞。重要系统及时备份和验证备份可用性、核心系统缺少高可用集群方案都是在风险采集过程中作为风险源进行统一采集和管理。
风险识别主要对采集上来的风险进行风险识别和建立起风险的生命周期,以便实时跟踪风险处理过程,避免遗漏和长时间未响应。
风险管理,通过对各种类别的风险进行学习,了解各种攻击原理和攻击手段,对企业已有的IT系统和各个客户端进行风险采集,对于采集上来的风险进行逐一识别,建立风险生命管理周期,解决掉风险源,以保障系统安全运行。
比较健全的风险管理系统,结合自身对风险类别、原理和危害的深刻认识,可以让企业信息安全做到一定程度的风险可控、损失可控,不至于在信息安全事件面前一脸茫然。所以,建立企业信息安全首先要做好对风险的管理,知己知彼,方可在企业信息安全防守上游刃有余。
安全管理
安全管理主要是企业信息安全体系的建设和管理。企业信息安全体系一般来说包括安全架构、安全策略、安全技术和人员管理。
安全架构主要是对企业结合软硬件设备和网络划分进行的信息安全架构;
安全策略是安全体系的核心,主要指包括对软硬件设备、网络、服务器、应用、
数据库、客户端等IT主题日常工作的安全规范至安全体系的指导性意见,后续
所有安全体系的落地都依赖于安全策略;
安全技术主要是对安全策略逐条分解,制定相应的细则规范和实际落地;
人员管理主要包括安全组织架构、人员、培训等相关管理。
通过架构、策略、技术和管理组成信息安全体系并作为公司信息安全建设指
性文件和具体落地方案,为公司安全建设指明方向和奠定落地基础,做到安全
建设有据可依,有章可循。
安全运营
企业风险管理建立、安全架构设计、安全策略制定以及技术管理和人员管理的落实,为安全运营提供运营主体。
安全运营主要包括日常安全运维工作、定期安全审计、安全数据分析以及安全绩效考核四个部分。
安全运维主要针对安全策略以及技术方案实施规范流程等在日常工作中按规操作,出现的安全事件,根据处理流程和通报流程进行应对等操作。安全运维要求日常运维管理操作必须是安全且可审计的,即日常的运维工作要定期做安全审计。
安全审计在审查日常运维操作是否合规的同时还需包括安全策略是否在实际运维过程中完全落地实现,如备份是否完善,备份验证是否定期执行,备份是否准确可用等。
对安全审计的结果、日常运维工作以及安全设备、安全平台的安全数据进行数据分析,为安全绩效考核提供数据支持,同时通过数据分析深入剖析公司安全运行情况以及人员和组织的安全绩效情况,为公司的安全建设和安全运营的进展情况提供数字化展示。
安全体系的建设是一个不断学习不断完善的过程,作为信息安全的建设者,更多的是做安全防守,从人、事、物三方面进行建设。业务防护不单单是安全部门的事情,与业务部门、开发部门等密切相关,相互配合,在资深的业务背景下,借助技术手段建立起业务安全防护。
企业信息安全建设,必须立足于企业实际情况和业务发展情况,同时借助先进的技术手段,建立起立体安全壁垒,保障信息和数据的安全稳定运行。
