從企業角度談信息安全技術體系的六個評估標準
當今世界,標準化水平已成爲各國各地區核心競爭力的基本要素。一個企業,乃至一個國家,要在激烈的國際競爭中立於不敗之地,必須深刻認識標準重要意義。
標準的本質是統一,它是對重複性事物和概念的統一規定;標準的任務是規範,它的調整對象是各種各樣的市場經濟客體。山東省軟件評測中心根據多年經驗,總結成6個信息安全技術體系的評估標準,使信息安全技術標準更加清晰明確。
一、企業內部操作行爲是否實現可視化
在信息防泄漏的“戰爭”中,相比於躲在暗處的泄密者和安全威脅,站在明處的企業顯然略失先機。但如果企業能夠做到預先防禦,在對手出招之前採取針對性的保護措施,就能從根本上“轉被動爲主動”,做好內部數據安全防護。
因此,良好的信息安全技術體系的前提就是要時刻掌握企業動態,做到要有的放矢。很重要的一點是要實現內部操作的“可視化”,以隨時監測整個信息系統的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防禦爲積極防禦。
二、防泄漏建設是否從全局角度出發,最大程度避免疏漏
安全領域中的木桶理論和馬其頓防線的故事相信大家都瞭解——無論怎麼豪華的防線,一個漏洞就可以毀滅所有一切。在企業中,有時候可能是一個小小的U盤就毀滅了幾百萬投資的努力,或者一封無意的郵件就能讓企業損失慘重。
因此,在解決信息安全問題時,不能僅僅依賴透明加密等技術手段,“頭痛醫頭,腳痛醫腳”地堆砌不同安全產品及封堵安全漏洞,而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏一個整體的分析視角,你可能會忽視或者低估某個安全***的真正威脅,相應採取的信息安全措施也可能無法解決真正的問題。所以,在實際的信息防泄漏建設中,我們必須從整體上來評估企業的信息安全狀況,運用統一的信息安全技術體系來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業當前安全情況的更清晰和更準確的圖景,採取針對性的防護措施,最大限度降低企業的信息安全風險。
三、是否根據涉密程度不同,信息防護力度輕重有別
企業在構建立體化、全方位的整體信息安全技術體系時並不是一刀切,不分輕重地在全公司範圍內採取相同的策略,這樣雖然看似達到了最爲安全的效果,但對業務造成的巨大影響,以及因此產生的高額成本,對企業來說,都是巨大的負擔。
對信息安全來說,威脅和風險往往和高價值的信息資產聯繫在一起,信息安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。什麼是高價值信息資產?通過風險評估,你會知道,它是你業務依賴的信息系統,無論軟件、硬件、服務還是人。那麼,在安全技術體系建設過程中,對涉密程度高的部門或崗位進行力度大的防禦,對涉密程度低的部門採取相應的安全防禦。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題,是企業必須要做的事情。
四、能否及時發現信息安全威脅,實現動態性的防護
動態性的信息泄露防護,對於目前泄密手段日益增多的企業來說,非常重要。某些企業往往在安全事件發生之後纔對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式,對於企業而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,爲時已晚。
企業需要建立一個動態性的信息安全技術體系用來防護,前瞻性地發現信息安全威脅,並通過對信息安全技術或管理上的策略進行及時調整更新,防範潛在的信息安全風險。如目前便攜設備發展迅速,智能手機、IPad等便攜設備日益成爲企業的信息泄密威脅,在此基礎上,企業應該調整信息安全策略,對便攜設備的使用進行規範。
五、能否隨需而變,實現擴展性的信息安全技術體系
信息防泄漏可以看成是一場永無止境的戰爭——你剛剛應對付完一次信息安全威脅,下一個威脅又接踵而至。IT部門作爲企業信息防泄的神經中樞,必須能夠適應信息安全需求的不斷變化,迅速滿足新需求、快捷響應新威脅。如果企業只單純使用加密或監控某一種技術手段,當新需求出現之時,IT部門不得不求助於新產品,重新選型、試用,操作流程複雜且安全風險增加。
所以,企業在建立信息安全技術體系時,要確保該體系能夠根據新的需求實時擴展,無須重新選擇新的產品,只需加固同一管理平臺上的功能,就能進行更多防泄密功能的擴展,做到無縫集成,消除因選型遲緩而產生的安全風險。
六、安全技術體系是否容易使用和維護
如今,市場上五花八門的信息防泄漏產品讓企業眼花繚亂,某些企業爲了確保自己信息防泄漏高枕無憂,盲目地爲自己配備上各種安全產品,並企望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味着企業必須付出較高的成本,並增加了技術的複雜性,還容易導致產品軟件衝突等問題,企業雖然“裝”了安全產品,但根本“用”不了。
目前,能夠提供整體解決方案的單一安全產品成爲一種優良選擇,它能夠幫助企業建立統一的信息安全技術體系,無論是對企業信息安全邊界防護,到內部使用都做了整體、全面的考慮,而且簡化了日常的操作與管理,降低系統的資源佔用,避免了軟件衝突等多種問題。使用和維護起來非常方便,大大節約了IT人員的時間和精力。這種產品爲企業帶來諸多功能集成方案的易管理和高性價比優勢,對於企業將具有更大的吸引力。
如果你的信息安全技術體系符合以上6條檢測標準,那麼你已經建立了一個完善的整體信息安全技術體系,機密信息也得到了最大化的保護,實現了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息安全技術體系”理念的核心。企業只有掌握了內部的行爲操作,同時針對內部安全威脅建立全面、立體化的安全防護,信息防泄纔會立於不敗之地。