随着经济、社会和科技的快速发展,依赖计算机技术、互联网技术的个人和单位主机数量快速增长,现在任何一个企事业单位的正常运展都离不开计算机和网络技术的支撑。社会、公司对信息技术的依赖越来越大,信息安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息技术中最关键也最容易被忽视的安全问题,正在危及信息技术的健康发展和应用,信息安全技术及应用越来越受到关注。
一、公司信息安全主要威胁
绝对的安全是不存在的,我们能做的,是减少公司面临的安全风险,延长安全的稳定周期,缩短消除威胁的反映时间。客观的分析公司现有安全防护体系,我们不难发现我们面对的问题还有很多,如客户端的非法操作,对网络的不合法的访问与利用;网络结构的设计缺陷与混杂的部署环境;网络边界与关键应用的区域缺乏必要的防御措施和审计系统等等。信息安全人员要面临的是来自内部和外部的混合威胁,是蓄意或无意的攻击和破坏,需要提高整体安全防范意识与科学的协调和管理。如果从来源的话,可以分为内部威胁和外部威胁,如果从影响或者手段上来看,主要是两类:
1、信息泄露
信息泄露是信息安全最主要的危害。这种信息泄露包括客户信息泄露、公司经营数据泄露、公司经营政策泄露等、这些信息泄露会给公司业务发展和声誉带来巨大负面影响,更严重的是一旦信息泄露并被黑产利用所引发的各类欺诈活动,将会产生恶劣的社会影响。
2、业务中断
因硬件故障或者软件故障引起的业务中断,业务中断不仅仅指业务系统中断,也包含员工电脑或手机(软硬件)故障引起的对个人业务无法进行的中断。
二、信息安全的基本内容
信息安全的基本内容包括:实体安全、运行安全、信息资产安全和人员安全等内容。
1、实体安全
实体安全是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上,实体安全是指环境安全、设备安全和媒体安全。
2、运行安全
运行安全是为了保障系统功能的安全实现,提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全,可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。
3、信息资产安全
信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。
4、人员安全
人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关,而安全技能又与其所接受安全技能培训有关。因此,人员的安全意识是通过培训,以及安全技能的积累才能逐步提高,人员安全在特定环境下、特定时间内是一定的。
三、如何建立相对安全的信息系统
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
按照等级要求,我公司的信息安全等级保护应该在第二级或第三级,因此需要公司在信息安全建设方面按照标准进行建设。
1、整体的业务安全策略
要构建整体的安全策略和部署一体化的管理工具,改变过去那种孤岛式的安全防护模式。要建立整体安全防护体系,设置专人统一管理,最好是利用工具进行一体化的管理与防护。
2、数据分级与最低授权
对于业务系统的数据要进行分级管理,同时在访问权限上要进行严格的控制,不同的角色只赋予所需要的最低权限,这可以减少威胁的作用范围。对业务数据、管理数据和办公等信息系统进行了详细的安全等级划分,不同密级的系统位于不同的区域,数据在不同区域间传输时要符合信息安全的策略。
3、业务与运维审计系统
对于敏感操作要进行严格的审计,以备事后查询,需要将关注重点从系统日志转到业务应用的活动监控上。这将有助于为公司提供至关重要的洞察力,以便深入了解用户行为。配合严格的管理规定,审计可以有效地威慑内部人员。
4、树立正确的安全意识
应对业务安全的风险,最重要是要有风险管理的框架、规章制度和标准化流程,在这个基础上,保证规章制度在日常运营中得到很好的贯彻执行。此外,要通过员工的安全意识培训,最大化地减少企业所面临的威胁风险。
5、使用科学的业务安全管理平台
传统基于规则的安全防护,只能判断用户是否合法,但对于合法人员的异常行为却无能为力。要进一步加强安全管理,要实现从基于规则到基于用户行为的防护,要构建基于用户行为分析的防护,借助用户行为大数据分析平台,对用户行为进行实时监控与分析,检测并阻止异常的行为,才是防范业务安全风险的有效方式。
