企业信息安全的范围
技术控制:
访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统
网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等
系统安全:系统是否打补丁、环境变量、开放的权限、不常用的端口与服务等是否关闭
开发安全:开发的模型是否合理、开发时涉及的架构是否规范、开发时的脚本是否安全,是否有后门。
密码学:公钥基础设施(PKI)、对称性密钥、非对称性密钥
架构与设计:网络的拓扑是否符合标准、服务器的冗余等
管理控制:
安全治理:企业管理层的安全方向性定位(上)、企业执行层战略方案以及制度(中)、企业执行者采购设备等真正执行(下)
风险管理:评估设备是否达到某些风险标准,可以参考国际标准、定量分析、定性分析等
操作安全:标准执行的安全
业务连续性: 保障业务不可中断,首先需要灾难恢复制度、设备、计划、冗余等
法律法规:证监会、国家法律法规等
物理控制:
环境安全:放置物理设备的物理位置的安全性
工作区分隔:各司其职,不可混合
布线:线路的安全
数据备份:磁带、数据的备份
保安:
锁:
企业信息安全的范围:能保护企业信息资产安全的相关工作。
如何获取信息安全流行的资讯
- 面对面的获取资讯(安全峰会、安全论坛等)
- 通讯(语音通讯等)
- 文字资讯(相关的技术文章)
总结:建设属于自己的信息网
国际通用的CIA准则
- 保密性:信息不可以泄露给未授权者,确保适合的人看到信息、
- 实现方法:IPSec/SSH/PPTP/磁盘加密/数据库加密
- 完整性:防止未授权更改
- 实现方法:散列、配置变更、访问控制、数字签名
- 可用性:根据用户要求访问使用特性
- 实现方法:磁盘阵列、集群、负载均衡、软件和数据备份
如何落地CIA
依据范围——》参考属性——》安全计划
比如说:云端数据设计
可以从CIA角度来充分考虑
保密性角度:数据的传输是否安全
完整性:用户的访问控制、权限是否得当
可用性:负载均衡可否实现、软件以及数据的备份、应急响应是否处理
参考:林很相关视频讲座