當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 領(lǐng)域應(yīng)用 > 辦公管理系統(tǒng) > 設(shè)備管理系統(tǒng)
中小型數(shù)據(jù)安全和管理安全應(yīng)對之策
做網(wǎng)絡(luò)維護(hù)管理的人都知道,網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)。內(nèi)網(wǎng)安全強(qiáng)調(diào)的是數(shù)據(jù)安全、運(yùn)行安全和管理安全,而其核心是數(shù)據(jù)安全和管理安全,同時內(nèi)網(wǎng)安全之技術(shù)涉及隱私的考慮。
1、內(nèi)網(wǎng)安全的本質(zhì)
最近一兩年信息泄露的案例屢見不鮮,如匯豐銀行離職員工造成的客戶資料泄露、國內(nèi)某大型造船廠發(fā)生的設(shè)計數(shù)據(jù)非法拷貝等事件。并且,隨著P2P應(yīng)用的普及,越來越多的企業(yè)網(wǎng)絡(luò)流量被占用,病毒、木馬等不斷地滋生,這些都使得企業(yè)和業(yè)界對內(nèi)網(wǎng)安全的風(fēng)險更加關(guān)注。那么,究竟什么是內(nèi)網(wǎng)安全呢?
其實(shí),“內(nèi)網(wǎng)安全”一直沒有一個明確的定義,引用著名信息安全專家方濱興院士的定義,信息安全包括5個層面:物理安全、數(shù)據(jù)安全、運(yùn)行安全、內(nèi)容安全和管理安全。物理安全是指對網(wǎng)絡(luò)與信息系統(tǒng)物理裝備的保護(hù);運(yùn)行安全指對網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù);數(shù)據(jù)安全指對信息在數(shù)據(jù)收集、處理、存儲、檢索、傳輸、交換、顯示、擴(kuò)散等過程中的保護(hù),使得在數(shù)據(jù)處理層面保障信息依據(jù)授權(quán)使用,不被非法冒充、竊取、篡改、抵賴;內(nèi)容安全指對信息在網(wǎng)絡(luò)內(nèi)流動中的選擇性阻斷,以保證信息流動的可控能力;管理安全是指在信息安全的保障過程中,除上述技術(shù)保障之外的與網(wǎng)絡(luò)維護(hù)管理相關(guān)的人員、制度和原則方面的安全措施。
究其本質(zhì),并且結(jié)合當(dāng)前業(yè)界關(guān)注的焦點(diǎn)和相關(guān)產(chǎn)品設(shè)計的思路,內(nèi)網(wǎng)安全更強(qiáng)調(diào)的是數(shù)據(jù)安全、運(yùn)行安全和管理安全,而其核心是數(shù)據(jù)安全和管理安全,也就是如何通過各種技術(shù)、手段、工具以及網(wǎng)絡(luò)維護(hù)管理方法來阻止內(nèi)網(wǎng)數(shù)據(jù)的泄漏。
實(shí)現(xiàn)內(nèi)網(wǎng)安全需要技術(shù)與管理相輔相成,但究竟是“管理為先”還是“技術(shù)為先”一直存在爭論。其實(shí),網(wǎng)絡(luò)維護(hù)管理和技術(shù)的問題已經(jīng)談?wù)摵芏嗄炅?。我們暫且不談?wù)撃膫€應(yīng)該為先,我認(rèn)為兩手都要抓。技術(shù)以管理為指導(dǎo),管理以技術(shù)為落腳點(diǎn)。七分管理,三分技術(shù),從很多安全標(biāo)準(zhǔn)以及設(shè)備管理系統(tǒng)治理標(biāo)準(zhǔn)中都可以看出來,比如ISO270001,COSO,COB設(shè)備管理系統(tǒng)等等,他們大都是從管理入手,然后談到一些實(shí)現(xiàn)的技術(shù)。
2、內(nèi)網(wǎng)安全之技術(shù)選型
舉個例子,內(nèi)網(wǎng)安全關(guān)注的信息防泄漏管理包含了監(jiān)控、審計、加密等技術(shù),市場上既有實(shí)現(xiàn)單個功能的產(chǎn)品,也有整合的解決方案,那么,實(shí)現(xiàn)信息防泄漏管理,是企業(yè)購買多個單一功能的產(chǎn)品來自主搭建體系好,還是采用廠商提供的整體解決方案更佳?我們需要一分為二的來看待這個問題。有的企業(yè)剛起步,沒有足夠的人力和能力來做系統(tǒng)集成,因此傾向于購買一整套解決方案;而有的企業(yè)則配備有很多的人力,來對各家產(chǎn)品進(jìn)行細(xì)致的選型,采購和部署,自己形成一套解決方案,集各家之所長,這在當(dāng)前也非常常見。這兩種做法各有優(yōu)劣,根據(jù)企業(yè)的情況來實(shí)際操作即可。
另外,在設(shè)備選型方面,業(yè)界其實(shí)并沒有非常統(tǒng)一的標(biāo)準(zhǔn),我根據(jù)經(jīng)驗(yàn)給出如下幾個判定因素,供大家在實(shí)踐選型中參考:(1)功能性:防泄露產(chǎn)品的功能需要保證在復(fù)雜的網(wǎng)絡(luò)環(huán)境和工作環(huán)境中,以及復(fù)雜的條件下都能夠很好的工作。主要判斷其是否包括數(shù)據(jù)防泄漏、上網(wǎng)行為管理、數(shù)據(jù)使用及應(yīng)用行為審計等功能;(2)穩(wěn)定性:產(chǎn)品能夠在大數(shù)據(jù)量環(huán)境甚至極端環(huán)境中都能穩(wěn)定地運(yùn)行,不存在單點(diǎn)故障。并且,需要確保其處理能力(吞吐量)能夠應(yīng)對企業(yè)網(wǎng)絡(luò)流量的壓力,不至于導(dǎo)致大流量環(huán)境下的部分甚至全部功能失效;(3)兼容性:產(chǎn)品應(yīng)該能夠很好、方便地集成到現(xiàn)在的企業(yè)安全體系中,而不是獨(dú)立于安全體系之外。舉個簡單的例子,現(xiàn)在很多內(nèi)網(wǎng)安全產(chǎn)品都在客戶端作為Agent(代理)進(jìn)行部署,與服務(wù)器上部署的安全服務(wù)端進(jìn)行聯(lián)動,這些Agent不應(yīng)與用戶計算機(jī)上的其他軟件產(chǎn)品產(chǎn)生沖突和不兼容,以避免由于部署安全產(chǎn)品而導(dǎo)致業(yè)務(wù)無法進(jìn)行等問題;(4)可審計性:能夠提供強(qiáng)大的報告生成(report generation)功能,并且以用戶友好的GUI(圖形用戶界面)方式來展現(xiàn)給網(wǎng)絡(luò)維護(hù)管理員和審計者,以方便審計、查閱和檢索,因?yàn)閮?nèi)網(wǎng)安全產(chǎn)生的數(shù)據(jù)是海量的,報告將給網(wǎng)絡(luò)維護(hù)管理工作帶來極大便利。
3、內(nèi)網(wǎng)安全之技術(shù)涉及隱私的考慮
內(nèi)網(wǎng)安全的行為審計可以發(fā)現(xiàn)不少內(nèi)網(wǎng)安全的“內(nèi)鬼”,但是國內(nèi)對于“行為審計是否侵犯個人隱私”一直存在爭論。從企業(yè)的角度來看,部署行為監(jiān)控和行為審計類產(chǎn)品無可厚非,這是企業(yè)合規(guī)的一個重要步驟。比如郵件的archive和auditor,這都是非常必要的工作。從技術(shù)層面來看,行為審計并不一定要侵犯個人隱私,或者說不完全要侵犯個人隱私。只需要提供一些關(guān)鍵的審計詞,通過借助軟件的方式,并且嚴(yán)格限制審計者對原始數(shù)據(jù)的接觸,就能比較好地做到尊重個人隱私。而且,企業(yè)審計也是一門學(xué)問,當(dāng)前有很多的認(rèn)證,比如CISA等,就很好地證明了審計的重要性。
4、云計算時代給內(nèi)網(wǎng)安全帶來的挑戰(zhàn)
隨著技術(shù)的快速發(fā)展,云計算、移動應(yīng)用、社交網(wǎng)絡(luò)已經(jīng)成為許多員工的日常應(yīng)用,這些設(shè)備與技術(shù)的應(yīng)用,給內(nèi)網(wǎng)安全帶來了巨大的影響。在選擇、實(shí)施內(nèi)網(wǎng)安全技術(shù)和產(chǎn)品的時候,需要根據(jù)新的情況提出新的要求,從而滿足日益變化的應(yīng)用需求的挑戰(zhàn)。
在此環(huán)境下,內(nèi)網(wǎng)安全產(chǎn)品供應(yīng)商除了提供設(shè)備外,還應(yīng)該為企業(yè)提供一些咨詢服務(wù)。其實(shí),現(xiàn)在安全產(chǎn)品供應(yīng)商應(yīng)該順承一個趨勢,就是從device provider(設(shè)備提供商)逐步地過渡到solution provider(解決方案提供商),沒有哪一家廠商可以說自己的產(chǎn)品包羅萬象,可以滿足用戶的所有需求。用戶目前更關(guān)注的是解決方案,其次才是實(shí)施的產(chǎn)品。沒有方案,何談產(chǎn)品。企業(yè)用戶在產(chǎn)品選擇時也要更多地關(guān)注產(chǎn)品供應(yīng)商的解決方案是不是合適,高效。
【推薦閱讀】
◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)
◆云計算變革下的企業(yè)設(shè)備管理系統(tǒng)運(yùn)維管理演進(jìn)
◆云安全四大誤區(qū)解析
◆云計算風(fēng)險:如何確保虛擬機(jī)密鑰安全
◆設(shè)備管理軟件軟件專區(qū)
本文來自互聯(lián)網(wǎng),僅供參考- 12012倫敦奧運(yùn)會給CIO及設(shè)備管理系統(tǒng)的經(jīng)驗(yàn)教訓(xùn)
- 2思索未來的“IT運(yùn)維管理之路”
- 3IT運(yùn)維管理者必須了解的六大鐵律
- 4虛擬化環(huán)境下的存儲管理工作分析
- 5IT運(yùn)維管理平臺行業(yè)標(biāo)準(zhǔn)
- 6數(shù)據(jù)中心機(jī)房巡檢管理該檢查什么?
- 7設(shè)備管理系統(tǒng)一般都包括以下部分
- 8企業(yè)設(shè)備為什么要信息化管理?
- 9求設(shè)備管理軟件破解版免費(fèi)版?
- 10黑客大會展示路由器僵尸 或形成DoS攻擊
- 11系統(tǒng)管理員如何應(yīng)勢而變面對未卜前途?
- 12設(shè)備管理器哪里有?
- 13制造企業(yè)如何實(shí)現(xiàn)設(shè)備管理智能化?
- 14數(shù)據(jù)中心服務(wù)管理標(biāo)準(zhǔn)詳解
- 15IT運(yùn)維管理工程師必備的幾大技能
- 16設(shè)備管理系統(tǒng)的內(nèi)容包括什么?
- 17設(shè)備管理系統(tǒng)從哪些方面發(fā)揮作用?
- 18智能設(shè)備管理系統(tǒng)的作用有哪些?
- 19服務(wù)器虛擬化下的網(wǎng)絡(luò)變遷
- 20企業(yè)選拔信息安全人才的七個技巧
- 21如何破解企業(yè)內(nèi)網(wǎng)安全難題?
- 22網(wǎng)絡(luò)安全管理技術(shù)未來發(fā)展趨勢
- 23實(shí)驗(yàn)室設(shè)備管理系統(tǒng)的意義?
- 24設(shè)備管理系統(tǒng)員如何通過預(yù)定義需求來精簡RFP
- 25企業(yè)設(shè)備管理軟件的使用效果
- 26CIO如何變得更有影響力
- 27企業(yè)設(shè)備管理系統(tǒng)如何應(yīng)對員工“微博控”
- 28虛擬化應(yīng)用的7大趨勢
- 29企業(yè)使用設(shè)備管理系統(tǒng)需要注意什么?
- 30服務(wù)器管理經(jīng)驗(yàn):IIS故障問題分析及解決方案
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓