企業網路資訊保安管理

講述資訊保安資訊保安實際上是乙個架構，其中包括一套完整的作業流程及運作機制。iso27001（原bs7799標準）正是這樣一套資訊保安領域的國際標準。它已經成為世界上應用最廣泛的、典型的資訊保安管理標準。iso27001的資訊保安架構共包括11個控制域、39個控制措施、133個控制點。其中的控制域包括：安全策略、資訊保安組織、資產管理、人力資源安全、物理和環境安全、通訊和操作安全、資訊系統獲得，開發和維護、訪問控制、資訊保安事件管理、業務連續性管理、符合性。

熟知資訊保安的三個主體

人。首要的主體也就是人，再安全的架構，缺乏安全意識的人去使用，也照樣漏洞百出。資訊保安團隊的建置，合理的權責界限，合格的第三方支援人員等等，涉及到安全管理活動鏈條中的每個角色都必須經過安全評估。管理的是人，被管理的也是人。看似矛盾過程，但實際上是乙個相互制約相互促進的過程。另外，企業安全的執行需要企業高層的支援，中層的督促，員工的執行。缺少任何乙個，所有的工作都會成為徒勞。安全是需要全員的參與，提高全員的安全意識，才能全面做好整個企業的安全工作。

流程。有了安全意識的人員，沒有安全的流程，一旦企業資訊環境發生了變化，安全將不復存在。故而定製可高效執行的，可管理的流程，標準化各個方面的作業管理，是維持企業資訊保安的有力支柱。如果說人是整個安全體系中最重要的主體，那麼流程則是安全體系中的靈魂，通過流程，可以了解及控制整個安全專案的作業標準、規範及完整性。如果安全性改善在實施過程中發現問題，就需要通過預定的流程，提出改善建議，向指定部門提交報告，從而不斷完善整個流程的合理性及適用性。

技術。有了安全的人和安全的流程，還需要匯入有效的工具，以控制流程的安全執行，因為最有安全意識的人，也會懈怠！技術是人和流程上的乙個補充，通過技術實現自動化控制的最大化，是實施安全技術的基本原則。例如，建置soc系統，以提高安全事件的響應；匯入資產管理系統，以加強軟硬體的集中、自動化的管理。

這三個安全主體構成了企業資訊保安穩定的體系架構，缺一不可。

了解資訊保安架構

資訊保安的體系架構在設計之前，需要深入到企業內部了解兩方面的問題：

定義資訊保安範疇

任何乙個專案的執行都必須定義範疇，沒有執行範疇的專案只能是漫無邊際而又毫無效率！而如何定義資訊保安所覆蓋的範疇（scope），以及評估範疇內各個方面所面臨的風險（risk），就成為資訊保安架構的要素。

範疇（scope）的界定非常重要。它關係到企業內業務的保護層面。現在，我們在前期所做的工作就有用了。根據前期對業務的調查，界定資源保護的層面。其實所有評定條件的標準都需要依據企業內業務的內容、性質作為前提條件。

風險（risk）的評估更為重要。因為企業內各項資源的重要及安全級別的評量，將直接影響到企業內業務的保護程度。這將需要我們花費大量的時間和精力，根據界定的範疇來評量這些需要保護的資源的風險。

只有做到清晰的範疇界定和符合原則的風險評估，方可在一定的成本預算下，對需要保護的資源實現最大程度上的保護，盡可能降低整體的安全風險係數。

制定資訊保安策略

接下來，我們根據範疇界定以及風險評估，設計相應的安全策略（policy）。這裡可能需要重點強調一下，安全策略的設計一定要符合企業的安全性原則。我曾經在實際的安全審核過程中，看到使用者把密碼寫下來貼在顯示器上或辦公桌上，原因是密碼過於複雜，難以記憶。可見，策略設計不合理，就會適得其反。這樣的事情，在不合理的資訊保安策略制定過程中非常常見。完整的資訊保安策略制定過程，是乙個持續的過程，包括四個階段：匯入安全控管系統，建置作業流程，定期審核和偵察，後續做持續改善。

小結

資訊保安的整個架構中，安全事件的發生是不可能完全杜絕的，我們所要做的，就是降低已知存在的風險，減小對企業業務影響。實施資訊保安保護需要在安全性和易用性之間尋找合適的平衡點，追求絕對安全在大多數情況下是不合適的。資訊保安防護是乙個長期的、持續的過程，而非一蹴而就的。在這個過程中，還需要我們不斷地重複安全監視、偵防、審核以及改善過程。

企業網路資訊保安管理

企業網路安全對策

企業網路安全策略

RouterBOARD企業網路管理應用

企業網路資訊保安管理

企業網路安全對策

企業網路安全策略

RouterBOARD企業網路管理應用

相關推薦