隨著雲計算、大數據、物聯網、人工智能等一系列互聯網科技的引入,當今的IT世界風起雲湧。複雜的網絡業務平臺、各種層次的雲服務、無處不在的數據訪問、多樣化的通信網絡環境等等,都對每一位IT專業人士,提出了新的、越來越多的信息安全需求。
近年來,我國的網絡安全事件頻發,無孔不入,而網絡罪犯造成的經濟損失量,高居全球第一,侵害了大量個人和企業的切身利益。可以說,信息安全與我們每個人、每個企業都息息相關。
但由於絕大多數個人,以及絕大多數企業,對於信息安全的知識瞭解甚少,因此很多時候,並不能真正地做好個人信息及企業信息的保護,從而造成了極大的信息安全隱患。
在這裡,我們將信息安全的基本知識做了一個簡單的梳理,讓大家能夠對信息安全的知識範疇有個基本的瞭解。而如果希望掌握更全面的知識,可以找一些信息安全方面的專業書籍來系統學習,我們有一本電子版的信息安全教材,感興趣的朋友可以根據文末信息獲取。
第一:網絡安全
現在,無論一個企業地處何處或規模多小,它們可能都會在工作中使用互聯網,並有可能會將一定規模的業務,發佈至互聯網上供用戶公開訪問。所有的網絡系統都會給企業帶來風險,控制措施包括如防火牆、資源隔離、加固系統配置、認證和訪問控制以及加密等多種方法。
各種網絡設備(交換機、路由器、防火牆等)應具備一定的冗餘級別,以確保網絡的可用性;
要能識別各種網絡設備的關鍵安全控制機制,並瞭解這些控制機制失效的後果,並有效管控;
可利用代理服務或Web過濾,阻止內部和外部的直接連接;
要及時為各種網絡設備安裝升級補丁以及經常校驗設備的安全配置是否正確(或被修改了);
可在網絡設備中禁用多餘的服務,以及保護關鍵的服務;
要進行正確的無線用戶認證,以及無線局域網的入侵檢測和異常追蹤。
第二:系統安全
一個安全的系統可以保護主機和所有運行於其上的軟件和硬件。安全是操作系統的一個非常重要的設計目標,操作系統接觸(內存、文件、硬件、設備驅動程序等)的每一個資源,都必須從安全的角度進行交互。
在開始安裝一個全新的系統之前,必須百分之百地確保系統裡的軟件都是可信的;
通過訪問控制列表,實現操作系統的基礎安全功能;
關閉不必要的服務來減少攻擊系統的可能;
安裝安全軟件,以及定期和快速地更新系統和基礎軟件的安全補丁;
強化身份驗證的過程,以及限制管理員的數量和權限。
第三:應用安全
編寫完的應用程序,會帶著尚未被發現的安全漏洞,被部署在環境中,它將在一段或長或短的時間內,以原本的功能去面對各種威脅、失誤、誤用或者惡意使用。環境裡的惡意主體,也將有同樣長的時間,去觀察這些應用程序,調整其攻擊方式,直至起作用。雖然總體概率較低,可一旦不希望的事情發生了,後果則可能是非常非常嚴重的。而預先在軟件裡面構築安全防護功能,相較於等到軟件發佈後再提供安全更新,更加容易和方便。
每個開發人員都應參與相應的安全培訓,以規範他們的安全活動和使用的技術;
對開發過程中的源代碼庫、文件共享以及開發和測試服務器等,必須進行安全管控;
應針對開發活動,制定必要的安全要求和安全目標,以及在設計文檔中添加安全屬性;
應建立一套獨立於開發團隊的安全設計評審機制來驗證應用架構的安全性;
應使用安全或已審核的函數和庫的版本,消除未使用的代碼,正確處理數據;
可使用靜態分析工具或手動代碼檢查等方式來檢查應用代碼中的安全問題;
應執行重複性的測試(如迴歸測試)和探索性的測試(如滲透測試)來發現安全問題;
如果應用程序需要對外交付,則需要提供詳細的安全文檔,以指導應用的安全部署和使用;
在應用發佈後,一旦暴露了安全問題,應及時發佈補丁程序來更新該應用。
第四:數據安全
數據是企業的核心信息資產,也是絕大多數網絡攻擊的最終目標。不過,對數據進行保護,不能僅僅保護存儲在數據庫中的靜態數據,還要關注在使用中的數據,以及在傳輸中的數據;不能僅僅保護規整的結構化數據庫,還要關注分散存儲的各種非結構化數據。
保護數據庫中的數據,最常用的方法就是使用加密;
要實行身份訪問控制,以限制對數據的讀取;
要對數據的導出尤其是批量導出進行嚴格的管控;
要提供對數據進行操作的各種審計和日誌記錄;
要注重各種非結構化數據的管理,例如網頁、郵件、社交工具中被展示和傳輸的數據。
第五:管理安全
企業的IT信息安全已經不能再靠單純的防火牆,它需要一個全面的風險管理方法。隨著企業越來越多地依賴於全球的供應鏈和通信網絡,以及TB級的大量業務數據,只憑借一兩個信息化部門的技術員工,已不再能勝任所有的信息安全工作了。信息安全必須得到組織高層的認可、思考、擁護和倡導。
必須有基於問責制的整體和明確最終責任人的風險管理,可以在企業高層設置首席安全官;
要確保所有部門關鍵崗位的業務人員得到了與崗位匹配的充分的信息安全知識和技能培訓;
安全部門要了解公司的業務發展,並能夠及時發現甚至預測新的信息安全問題;
對於負責網絡業務研發的部門,應該有專注於信息安全的架構師來測試和處理安全漏洞;
要建立跨部門的安全事件響應團隊,隨時準備調動內外部資源,處理棘手的安全問題;
可以適當地與外部信息安全公司合作,以從不同的以及更專業化的角度查找安全問題。
第六:物理安全
傳統的觀念認為,物理安全性一直與IT世界保持完全的隔離。但是隨著技術不斷取代紙張和手工操作,物理安全性正日益成為信息安全的重點。IT世界和物理安全性世界正在迅速融合。
數據中心的站點如果建在有可能遭受洪水、地震、颱風的地區,則會有顯著的風險;
鎖不再只是為門而設計,任何有價值的東西,都應該在有鎖的位置進行保護;
物理入侵檢測需要深謀遠慮,而利用攝像頭、警報器等安全設施時,需要經常確認其可用性;
隨著圖像、視頻、聲紋識別的發展,需要充分認識到,信息的盜取未必一定通過網絡。
信息安全既獨立,又與各個具體的行業領域密切相關。而隨著各行各業加快互聯網轉型的步伐,隨著各類關係民生的重要企業全面推進業務上雲,隨著信息安全產業上升至國家安全戰略層面,未來的社會,將需要大量的信息安全方面的人才;未來的企業,也將需要在信息安全方面投入更多的重視。
歡迎朋友們關注、評論、轉發。如商業轉載或其它,請聯繫:keji5u(科技無憂訂閱號)
閱讀更多 科技無憂 的文章
