信息安全事件到底是啥?简单来说,就是在组织里出现了不好的信息安全状况,像信息泄露啦、中了勒索病毒啦、数据被损毁啦等等。
总的来讲,只要是对**机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)**这CIA三元素造成破坏的事情,都能算作信息安全事件。
信息安全管理呢,就是要全力保障信息的机密性、完整性和可用性,这是贯穿整个信息安全管理全局的一个思路。包括在进行信息安全审计和评估的时候,通常也从这三个方向着手进行分析。
01
因为安全管理缺失导致的企业受影响的案例数不胜数,以下是今年上半年发生在我国的一些信息安全事件:
6 月
-
香港中文大学专业进修学院遭黑客入侵,20870 名学生、教职员工和校友个人信息泄露,涵盖用户名、真实姓名等详细内容。
-
名为 Rafel 的开源远程控制木马(RAT)攻击安卓设备,三星、小米、vivo、华为等品牌受影响,中国用户成为主要攻击目标之一。
5 月
-
太原公安发布,1 月至今,15 家企业因信息泄露隐患、数据安全隐患,被行政警告并责令限期整改。
-
“某客查”平台依靠大数据技术抓取大规模售卖国内企业家个人信息,包括农夫山泉创始人钟睒睒等多位知名企业家。
-
杭州互联网法院审理个人信息保护民事公益诉讼案,犯罪嫌疑人李某非法购入、售卖新生儿个人信息 3 万余条,被判刑并处罚金。
3 月
-
我国某高新科技企业遭境外黑客攻击,信息化系统及数据被加密锁定,生产经营活动被迫停止。
-
研究人员发现国内某办公软件曝出严重漏洞,攻击者能未经身份验证远程上传恶意文件到服务器执行任意代码,北京、广东等地风险资产及关联 IP 众多。
2 月
- 江苏常州警方查处新生儿信息泄露案,犯罪嫌疑人贩卖 2.6 万条新生儿信息,非法获利 30 余万元。
1 月
-
中小企业网络安全调查发布,中国 42%的中小企业在过去 12 个月遭到网络攻击,其中 75%的中小企业客户信息落入网络攻击者手中。
-
安全人员发现,互联网上有近 1100 万台 SSH 服务器暴露,中国有近 130 万台服务器存在安全风险,易受“水龟攻击”,且“水龟攻击”潜伏期长、难以发现,数据安全问题发现存在滞后性。
-
网信办通报,知名火锅连锁品牌在收集个人信息和存储个人信息环节存在违法违规行为,如外送微信小程序强制索取精准位置信息,会员及员工信息未加密存储。
每年都会出现此类事件,感兴趣的都可以自己再搜搜看。这些事件的发生一次又一次地警示着我们,危机从未停止,务必要做好信息安全相关工作。
02
那怎么才能把信息安全工作做好呢?这里给出一个总体思路,供参考:
-
**风险管理:**包括对风险进行分类,采集公司和系统可能存在的风险,对采集的风险识别以及对风险进行跟踪,管控和处理风险;
-
**安全管理:**主要以建立网络安全体系为主,包括安全技术架构、安全策略、技术管理和人员管理四个方面
-
**安全运营:**包括安全运维操作、安全体系落地、安全审计工作、安全数据分析以及安全绩效考核等。
03
风险管理:提前预见并掌控潜在威胁
风险管理是信息安全管理的头一步。这要求企业得有风险意识和危机意识,通过辨认、评估还有控制风险,把那些可能的威胁早早解决掉。
同时,通过风险管理,搞清楚各种风险的类型、各种攻击手段的原理,把企业存在的风险和可能的漏洞都收集起来辨认清楚,建立起风险的生命周期管理,保证对企业现有的风险和可能带来的威胁心里有数。
1.风险分类
风险能分成外部风险和内部风险。外部风险一般是像网络攻击、数据泄露这种由外面因素引起的安全问题;内部风险呢,就是员工不小心操作错了或者内部人员乱用权限这类情况。
另外,像重要系统、数据库没有弄好备份验证机制,缺少高可用支持这些,也都属于风险。
2.风险生命周期管理
风险管理可不光是识别风险,更重要的是建立起风险的生命周期管理,这里面包括风险收集、辨认、跟踪还有处理。通过定期做渗透测试和用网络安全设备扫描,企业就能及时发现并处理安全风险。
04
安全管理:搭建企业安全体系
安全管理是企业信息安全体系的基石,它包括安全架构、安全策略、技术管理和人员管理。
-
安全架构主要是结合企业的软硬件设备和网络,搭建信息安全架构;
-
安全策略是安全体系的核心,就是对软硬件设备、网络、服务器、应用、数据库、客户端这些IT 方面日常工作的规定,后面所有安全体系的落实都得靠它;
-
安全技术主要是把安全策略一条一条拆开,制定出相应的细则规范并且实际落实;
-
人员管理主要是有关安全组织架构、人员还有培训这些方面的管理。
1.安全架构
安全架构涉及到软硬件设备的合理组合,搭建起企业的信息安全技术架构。这里面有网络设备、网络区域划分、云防护、防火墙、IPS/IDS、WAF、审计、日志服务器等等,组成企业的第一道防线。(参考下图:一些大中型企业的较为完善的安全架构)
2.安全策略
安全策略是安全体系的核心,包含了物理安全、数据安全、网络安全和系统安全的策略制定。这些策略给企业的安全建设定了规矩。
-
**物理安全策略:**机房和公司运行相关的物理安全都有规范和要求,比如机房建设和管理、公司的监控门禁电话等方面。
-
**数据安全策略:**根据业务数据重要程度分类分级,在数据产生到销毁各环节都有相应的安全规定。
-
**网络安全策略:**网络设备要保障安全避免单点故障,无线网络、网络访问要管理控制和审计,设备策略设置要合理。
-
**系统安全策略:**包含终端和服务器等的安全策略,像密码设置、服务器管理等都有具体要求。
3.技术管理
技术管理就是把安全策略变成能执行的技术方案,像服务器部署的标准、数据库的安全加固、应用中间件的配置等等。
4.人员管理
人员管理主要是提高员工的安全意识和技能,通过培训和演练,保证每个人在安全事件发生的时候都能做出正确反应。
05
安全运营:持续监督与改进
安全运营是信息安全管理一直要做的事,包括日常运维、安全审计、数据分析和绩效考核。
1.安全运维
日常运维得按照定好的安全策略和技术标准来,保证运维操作安全而且能被检查。
一般日常运维工作,包含:
-
服务器上下架
-
操作系统部署和配置
-
反向代理服务部署和配置
-
数据库部署和配置
-
应用服务部署和配置
-
应用发布和应用变更
-
服务器账户管理
-
数据库账户管理
-
数据库数据处理
-
其他运维服务部署和配置修改
-
……
2.安全审计
安全审计是监督安全策略执行的情况,保证所有安全措施都能真正落实。
简单来说,安全审计就是对于制定了啥的执行的情况和操作了啥的操作记录进行审计,这是广义的安全审计。狭义上的安全审计,主要是指信息安全相关的内容。
3.安全分析
通过分析安全数据,企业就能知道安全体系的运行情况,找到并补上潜在的安全漏洞。
安全分析一部分是安全审计的结果,用来分析公司安全执行情况;还有公司安全设备和平台记录的被攻击数据信息,以及公司的安全事件记录,这些都是安全数据分析的东西。
4.安全绩效考核
安全绩效考核是为了鼓励员工和组织一直提高安全水平,通过考核让安全体系更完善。
06
总结
信息安全管理是一个系统性的工程,需要企业在风险管理、安全管理和安全运营等多个层面进行全面布局。通过建立有效的信息安全管理体系,不仅可以降低安全风险,还能为业务的可持续发展提供有力保障。
好了,今天就说这么多。如果你想要掌握更多信息安全管理方面的知识和技能,小艾老师推荐大家参加:CISM信息安全经理认证、CISSP信息安全专家认证
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,### 如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
