信息安全運(yùn)維解決方案
日期:2018-08-31 17:31:59
投稿人:比特豹
信息安全缺失的影響
信息安全絕非危言聳聽(tīng),信息安全缺失一般會(huì)造成數(shù)據(jù)丟失���、數(shù)據(jù)篡改���、數(shù)據(jù)泄露和系統(tǒng)不可用四個(gè)直接危害,無(wú)論哪個(gè)危害��,都會(huì)給企業(yè)或政府帶的業(yè)務(wù)運(yùn)營(yíng)和盈利帶來(lái)致命一擊。
因?yàn)?/span>信息安全缺失導(dǎo)致企業(yè)遭受影響的案例數(shù)不勝數(shù)���,以下是2017年比較典型的信息安全事件:
2017年2月Gitlab.com運(yùn)維人員誤刪300G數(shù)據(jù)����;
2017年3月58同城被曝簡(jiǎn)歷數(shù)據(jù)泄露700元可采集全國(guó)簡(jiǎn)歷信息���;
2017年4月12306官方網(wǎng)站再現(xiàn)安全漏洞����;
2017年5月WannaCry勒索病毒席卷全球�����;
2017年6月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施�;
2017年7月老牌信用機(jī)構(gòu)Equifax被黑1.43億用戶信息遭泄露�����;
2017年8月美國(guó)選民數(shù)據(jù)被泄露186萬(wàn)選民信息可公開(kāi)下載;
2017年9月傳華為被中國(guó)移動(dòng)罰款5億因技術(shù)人員誤操作����;
2017年10月南非現(xiàn)史上規(guī)模最大的數(shù)據(jù)泄露事件�;
2017年11月五角大樓AWS S3配置錯(cuò)誤致18億用戶信息泄露�����;
2017年12月針對(duì)企業(yè)的釣魚(yú)郵件APT攻擊爆發(fā)�����;
摘自http://www.sohu.com/a/212758058_765470
就在剛剛過(guò)去的2018年8月份���,多地爆發(fā)GlobeImpster勒索病毒。
信息安全無(wú)時(shí)不在����,切危機(jī)不斷,如何做好信息安全防范工作��,并建立自身的安全管理�����,是IT運(yùn)營(yíng)一個(gè)持續(xù)不斷的任務(wù)����。
信息安全運(yùn)維三板斧(供參考)
風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)管理是企業(yè)信息安全的第一步�,通過(guò)風(fēng)險(xiǎn)管理,了解各種類(lèi)型的風(fēng)險(xiǎn)定義和各種攻擊手段的攻擊原理���,對(duì)企業(yè)存在的風(fēng)險(xiǎn)和潛在的漏洞進(jìn)行統(tǒng)一采集與識(shí)別�����,建立風(fēng)險(xiǎn)生命周期管理,確保對(duì)企業(yè)已有風(fēng)險(xiǎn)和可能造成的威脅了然于胸�����。
1風(fēng)險(xiǎn)分類(lèi)
一般按照區(qū)域和造成安全事件的原因�����,可分為企業(yè)外部風(fēng)險(xiǎn)和企業(yè)內(nèi)部風(fēng)險(xiǎn)
其中外部風(fēng)險(xiǎn)主要指攻擊者或是攻擊團(tuán)體利用網(wǎng)站漏洞進(jìn)行注入����、攻擊�����、竊取��、篡改等手段對(duì)企業(yè)信息進(jìn)行破壞����;
內(nèi)部風(fēng)險(xiǎn)主要指企業(yè)內(nèi)部人員誤操作導(dǎo)致的數(shù)據(jù)風(fēng)險(xiǎn)或是外部人員通過(guò)內(nèi)部人員��、內(nèi)部設(shè)備發(fā)起的攻擊行為�����。不同的風(fēng)險(xiǎn)分類(lèi),有不同的防御方法�。
另外,風(fēng)險(xiǎn)還包括重要系統(tǒng)�、數(shù)據(jù)庫(kù)未建立健全備份驗(yàn)證機(jī)制��、缺少高可用支持等。
2風(fēng)險(xiǎn)生命周期管理
風(fēng)險(xiǎn)采集主要是指通過(guò)滲透測(cè)試��、網(wǎng)絡(luò)安全設(shè)備掃描等手段����,對(duì)企業(yè)IT系統(tǒng)��、電腦終端等設(shè)備進(jìn)行按計(jì)劃定期掃描��,采集可能存在的安全風(fēng)險(xiǎn)和漏洞。重要系統(tǒng)及時(shí)備份和驗(yàn)證備份可用性、核心系統(tǒng)缺少高可用集群方案都是在風(fēng)險(xiǎn)采集過(guò)程中作為風(fēng)險(xiǎn)源進(jìn)行統(tǒng)一采集和管理。
風(fēng)險(xiǎn)識(shí)別主要對(duì)采集上來(lái)的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)識(shí)別和建立起風(fēng)險(xiǎn)的生命周期�����,以便實(shí)時(shí)跟蹤風(fēng)險(xiǎn)處理過(guò)程�,避免遺漏和長(zhǎng)時(shí)間未響應(yīng)�����。
風(fēng)險(xiǎn)管理,通過(guò)對(duì)各種類(lèi)別的風(fēng)險(xiǎn)進(jìn)行學(xué)習(xí)�����,了解各種攻擊原理和攻擊手段���,對(duì)企業(yè)已有的IT系統(tǒng)和各個(gè)客戶端進(jìn)行風(fēng)險(xiǎn)采集,對(duì)于采集上來(lái)的風(fēng)險(xiǎn)進(jìn)行逐一識(shí)別���,建立風(fēng)險(xiǎn)生命管理周期�����,解決掉風(fēng)險(xiǎn)源�,以保障系統(tǒng)安全運(yùn)行。
比較健全的風(fēng)險(xiǎn)管理系統(tǒng)�,結(jié)合自身對(duì)風(fēng)險(xiǎn)類(lèi)別��、原理和危害的深刻認(rèn)識(shí)���,可以讓企業(yè)信息安全做到一定程度的風(fēng)險(xiǎn)可控����、損失可控,不至于在信息安全事件面前一臉茫然�。所以��,建立企業(yè)信息安全首先要做好對(duì)風(fēng)險(xiǎn)的管理���,知己知彼,方可在企業(yè)信息安全防守上游刃有余�。
安全管理
安全管理主要是企業(yè)信息安全體系的建設(shè)和管理�。企業(yè)信息安全體系一般來(lái)說(shuō)包括安全架構(gòu)���、安全策略、安全技術(shù)和人員管理�����。
安全架構(gòu)主要是對(duì)企業(yè)結(jié)合軟硬件設(shè)備和網(wǎng)絡(luò)劃分進(jìn)行的信息安全架構(gòu)���;
安全策略是安全體系的核心���,主要指包括對(duì)軟硬件設(shè)備、網(wǎng)絡(luò)�����、服務(wù)器�、應(yīng)用��、
數(shù)據(jù)庫(kù)、客戶端等IT主題日常工作的安全規(guī)范至安全體系的指導(dǎo)性意見(jiàn)���,后續(xù)
所有安全體系的落地都依賴于安全策略���;
安全技術(shù)主要是對(duì)安全策略逐條分解,制定相應(yīng)的細(xì)則規(guī)范和實(shí)際落地�;
人員管理主要包括安全組織架構(gòu)、人員���、培訓(xùn)等相關(guān)管理����。
通過(guò)架構(gòu)、策略、技術(shù)和管理組成信息安全體系并作為公司信息安全建設(shè)指
性文件和具體落地方案,為公司安全建設(shè)指明方向和奠定落地基礎(chǔ)�,做到安全
建設(shè)有據(jù)可依��,有章可循����。
安全運(yùn)營(yíng)
企業(yè)風(fēng)險(xiǎn)管理建立、安全架構(gòu)設(shè)計(jì)�、安全策略制定以及技術(shù)管理和人員管理的落實(shí)��,為安全運(yùn)營(yíng)提供運(yùn)營(yíng)主體�����。
安全運(yùn)營(yíng)主要包括日常安全運(yùn)維工作����、定期安全審計(jì)���、安全數(shù)據(jù)分析以及安全績(jī)效考核四個(gè)部分���。
安全運(yùn)維主要針對(duì)安全策略以及技術(shù)方案實(shí)施規(guī)范流程等在日常工作中按規(guī)操作�,出現(xiàn)的安全事件�,根據(jù)處理流程和通報(bào)流程進(jìn)行應(yīng)對(duì)等操作��。安全運(yùn)維要求日常運(yùn)維管理操作必須是安全且可審計(jì)的,即日常的運(yùn)維工作要定期做安全審計(jì)���。
安全審計(jì)在審查日常運(yùn)維操作是否合規(guī)的同時(shí)還需包括安全策略是否在實(shí)際運(yùn)維過(guò)程中完全落地實(shí)現(xiàn)��,如備份是否完善�����,備份驗(yàn)證是否定期執(zhí)行��,備份是否準(zhǔn)確可用等。
對(duì)安全審計(jì)的結(jié)果���、日常運(yùn)維工作以及安全設(shè)備�、安全平臺(tái)的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)分析�����,為安全績(jī)效考核提供數(shù)據(jù)支持��,同時(shí)通過(guò)數(shù)據(jù)分析深入剖析公司安全運(yùn)行情況以及人員和組織的安全績(jī)效情況���,為公司的安全建設(shè)和安全運(yùn)營(yíng)的進(jìn)展情況提供數(shù)字化展示。
安全體系的建設(shè)是一個(gè)不斷學(xué)習(xí)不斷完善的過(guò)程����,作為信息安全的建設(shè)者���,更多的是做安全防守���,從人����、事����、物三方面進(jìn)行建設(shè)。業(yè)務(wù)防護(hù)不單單是安全部門(mén)的事情���,與業(yè)務(wù)部門(mén)、開(kāi)發(fā)部門(mén)等密切相關(guān)�,相互配合,在資深的業(yè)務(wù)背景下�,借助技術(shù)手段建立起業(yè)務(wù)安全防護(hù)。
企業(yè)信息安全建設(shè)�����,必須立足于企業(yè)實(shí)際情況和業(yè)務(wù)發(fā)展情況,同時(shí)借助先進(jìn)的技術(shù)手段���,建立起立體安全壁壘,保障信息和數(shù)據(jù)的安全穩(wěn)定運(yùn)行��。
