【導(dǎo)讀】隨著信息安全事件的不斷發(fā)生，信息安全的重要性呈指數(shù)增長的趨勢(shì)。的損失不可估量。件和系統(tǒng)服務(wù)來應(yīng)對(duì)，但是，往往得不到預(yù)期的風(fēng)險(xiǎn)管理的效果。實(shí)際上，解決信息安全問題的根本措施是需要結(jié)合企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)實(shí)際，通過正確的方法，建立一套適合企業(yè)的信息安全體系，并在企業(yè)中持續(xù)的運(yùn)行、改進(jìn)。信息安全已經(jīng)成為每個(gè)信息化建設(shè)者為。信息安全投資越來越多，信息安全問題也越來越多。單位每年投入大量資金進(jìn)行安全。領(lǐng)導(dǎo)批評(píng)，員工抱怨，單位在管理方面下了很大功夫，制定了制度，但是安全管理。本，工作做得也并不理想，信息中心領(lǐng)導(dǎo)對(duì)這種“救火式”安全維護(hù)無可奈何。險(xiǎn)等防范，疏忽了對(duì)內(nèi)部風(fēng)險(xiǎn)的控制，安全體系不全面，存在短板。信息系統(tǒng)安全風(fēng)險(xiǎn)的及時(shí)評(píng)估、預(yù)警和控制。導(dǎo)致業(yè)務(wù)中斷，單位的聲譽(yù)受損，廣告投放單位要求索賠等。在出現(xiàn)安全事件后，信息中心的人員又不知道該如何處置。這就是日常的安全工作中，缺少應(yīng)急方案的制定與演練。

　　

【正文】 幫助用戶實(shí)現(xiàn) IT投資價(jià)值最大化 企業(yè)面臨的困局 。 安全無止境，防護(hù)需適度。 確保 IT 投資價(jià)值的最大化。 這包含兩方面的含義。 第一，安全必須考慮成本，如果防護(hù)成本比風(fēng)險(xiǎn)發(fā)生造成損失還要大，反而得不償失。 ISO 27001 中提到，風(fēng)險(xiǎn)評(píng)估要考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評(píng)估安全失效可能造成的對(duì)組織的影響 。要根據(jù)主要的威脅和脆弱性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)驗(yàn)的控制措施，評(píng)價(jià)安全失效發(fā)生的現(xiàn)實(shí)可能性 。要估計(jì)風(fēng)險(xiǎn)的級(jí)別，然后確定風(fēng)險(xiǎn)是否可接受。安全以企業(yè)發(fā)展為前提，切勿步入為安全而安全的誤區(qū)。 第二，企業(yè)所面臨的內(nèi)外部環(huán)境在不斷變化，如新的安全威脅，企業(yè)規(guī)模增大、架構(gòu)調(diào)整、人員變動(dòng)等，因此，沒有一勞永逸的安全解決方案，企業(yè)的信息安全管理需要根據(jù)變化不斷調(diào)整。為擺脫安全困局，現(xiàn)在企業(yè)需要轉(zhuǎn)變對(duì)安全的思考模式，以一種更加積極的態(tài)度，更加長遠(yuǎn)的眼光來看待它，然后根據(jù)公司的發(fā)展戰(zhàn)略以及業(yè)務(wù)的實(shí)際需求，制定合理的信息安全計(jì) 劃。 那么企業(yè) 該如何 控制 信息安全 體系 建設(shè) 規(guī)模，達(dá)到適度保護(hù)的目標(biāo)呢 ？ 企業(yè)最 有效的方法 就是制定 恰當(dāng)?shù)?信息安全策略。制定 信息安全 策略 是 企業(yè) 信息 安全體系建設(shè) 的基礎(chǔ)性工作，不是可有可無而是非常重要。 在 信息安全體系中 ，安全策略是指導(dǎo)。 信息安全體系中的各個(gè)子系統(tǒng) 是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。 由于 企業(yè) 信息 安全 的任務(wù)與目標(biāo)不同，所以信息安全 策略 包括的內(nèi)容就不同， 在信息安全體系 建設(shè)的規(guī)模 上 就有很大的差異 。 做好 安全風(fēng)險(xiǎn)管理是信息安全項(xiàng)目成敗的關(guān)鍵 項(xiàng)目風(fēng)險(xiǎn)管理是在項(xiàng)目建設(shè)期間識(shí)別和控制能夠引起不希望變化的潛在領(lǐng)域和事件的系統(tǒng)方法，是為了最好的達(dá)到項(xiàng)目的目標(biāo)，識(shí)別、分配和應(yīng)對(duì)項(xiàng)目生命周期內(nèi)風(fēng)險(xiǎn)的科學(xué)與藝術(shù)。信息系統(tǒng)項(xiàng)目具有一次性、創(chuàng)造性、復(fù)雜性的特點(diǎn)，其建設(shè)需要耗費(fèi)大量的人力、物力、財(cái)力，付出很多時(shí)間和精力。所以信息系統(tǒng)項(xiàng)目建設(shè)過程中始終伴隨著風(fēng)險(xiǎn)和機(jī)會(huì)的存在。如果忽略風(fēng)險(xiǎn)，不對(duì)風(fēng)險(xiǎn)進(jìn)行有效的管理，一旦發(fā)生大的風(fēng)險(xiǎn)，必然會(huì)導(dǎo) 致 項(xiàng)目的失敗，只有對(duì)風(fēng)險(xiǎn)進(jìn)行有效的管理和監(jiān)控，才能實(shí)現(xiàn)潛在風(fēng)險(xiǎn)最小化和潛在機(jī)會(huì)最大化，完成項(xiàng)目建設(shè)目標(biāo)。因此，對(duì)信息系統(tǒng)項(xiàng)目進(jìn)行風(fēng)險(xiǎn)管理是非常重要和關(guān)鍵的。 安全檢測(cè)評(píng)估 可有效 降低新系統(tǒng)建設(shè)引入的安全風(fēng)險(xiǎn) 新建系統(tǒng) 在給企業(yè)帶來信息化便利的同時(shí)，往往引入了新的風(fēng)險(xiǎn)。而這些風(fēng)險(xiǎn)被新系統(tǒng)上線的成就感所掩蓋。由于此類問題導(dǎo)致的信息安全事件不在少數(shù)。 實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能的變化進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施， 在實(shí)施和驗(yàn)收時(shí)進(jìn)行質(zhì)量控制?；谠O(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段對(duì)規(guī)劃階段的安全威脅進(jìn)一步細(xì)化，同時(shí)評(píng)估安全措施的實(shí)現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。通過實(shí)施階段風(fēng)險(xiǎn)評(píng)估可以明確企業(yè)當(dāng)前風(fēng)險(xiǎn)，并可以指導(dǎo)其進(jìn)行風(fēng)險(xiǎn)處置等活動(dòng) 。 完善的安全運(yùn)維體系可有效預(yù)防入侵事件的發(fā)生 如今企業(yè)面臨諸多的信息安全問題，業(yè)務(wù)部門經(jīng)常埋怨 IT 部門的建設(shè)與保障不到位，導(dǎo)致出現(xiàn)信息安全問題。要想確保信息系統(tǒng)的穩(wěn)定運(yùn)行，不單單要建設(shè)一個(gè)好的業(yè)務(wù)系統(tǒng)，更重要的在后期的安全運(yùn)維。這就需要進(jìn)行信息安全運(yùn)維 體系建設(shè)，或引入第三方的信息安全運(yùn)維服務(wù)。在信息安全監(jiān)控中心的建立中，集中監(jiān)控管理采用開放的、遵循國際標(biāo)準(zhǔn)的、可擴(kuò)展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實(shí)現(xiàn)對(duì)信息資產(chǎn)的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機(jī)、中間件、數(shù)據(jù)庫和核心應(yīng)用系統(tǒng)等；綜合展現(xiàn)通過合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進(jìn)行標(biāo)幫助用戶實(shí)現(xiàn) IT投資價(jià)值最大化 準(zhǔn)化、歸一化的處理，并進(jìn)行過濾和歸并，實(shí)現(xiàn)集中、綜合的展現(xiàn)；快速定位和預(yù)警經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預(yù)先配置的規(guī)則、事件知識(shí)庫、關(guān)聯(lián) 關(guān)系進(jìn)行快速的故障定位，并根據(jù)預(yù)警條件進(jìn)行預(yù)警。 持續(xù)改進(jìn)與審計(jì) 機(jī)制 是保持信息安全體系長效運(yùn)轉(zhuǎn)的關(guān)鍵 目前有些企業(yè)員工認(rèn)為安全管理是一陣風(fēng)，風(fēng)吹時(shí)很猛，但吹過了，也就完了。其實(shí)信息安全管理，特別是信息安全管理體系，要保持信息安全管理體系能夠有效長久運(yùn)行，最重要的是在組織中建立以下三個(gè)機(jī)制：持續(xù)改進(jìn)機(jī)制、信息安全獎(jiǎng)懲機(jī)制和內(nèi)部信息安全審計(jì)機(jī)制。 要在組織文化中不斷滲透持續(xù)改進(jìn)的思想和意識(shí)，設(shè)置配置需要及時(shí)更新、安全制度和策略需要及時(shí)評(píng)審，缺少持續(xù)改善機(jī)制和文化組織的信息安全管理，無法逃脫“搞運(yùn)動(dòng)”的宿 命 體系建立時(shí)，人人熱血沸騰，文檔制度一大堆，大家都認(rèn)真執(zhí)行，但過了幾個(gè)月就基本上束之高閣，一切又回到舊軌道上。 “推行管理體系本身就是一件很有難度的事情，再加上獎(jiǎng)懲，更不好做了，獎(jiǎng)好辦，但懲時(shí)，該罰誰呢，罰誰誰都會(huì)不高興，會(huì)影響到同事關(guān)系，信息安全就是得罪人的事，沒人愿意做，不好做”，具體實(shí)施人員經(jīng)常有這樣的抱怨。其實(shí)這個(gè)問題很容易解決，第一，明確和高層領(lǐng)導(dǎo)講，如果想安全管理能夠長久化、持續(xù)化，必須要有配套的獎(jiǎng)懲 (不能只獎(jiǎng)不罰或只罰不獎(jiǎng) )；第二，獎(jiǎng)懲的問題本來就不應(yīng)該是信息安全實(shí)施人員的職責(zé)，是人力資源部 門的事情，建議信息安全實(shí)施人員不要借機(jī)“奪權(quán)”，在本職工作外，做自己原本不擅長的工作，信息安全實(shí)施人員要做的就是把控制措施執(zhí)行情況的數(shù)據(jù)交給人力資源部門 (很多是和技術(shù)相關(guān)的，需要實(shí)施人員提供 )。 定期的信息安全內(nèi)部審計(jì)機(jī)制非常重要，只有進(jìn)行檢查，并對(duì)檢查中發(fā)現(xiàn)的問題進(jìn)行的整改，整個(gè)信息安全體系才會(huì)形成完整的 PDCA 循環(huán)，形成一個(gè)閉環(huán)。如果因內(nèi)部人員能力限制，也可以將內(nèi)部安全審計(jì)外包給有資質(zhì)的安全公司或會(huì)計(jì)師事務(wù)所進(jìn)行。沒有檢查機(jī)制的安全管理是不可能有績效的。 系統(tǒng)的信息安全體系建設(shè)可幫助用戶建立全方位、立體化的信息安全“堡壘” 目前 很多企業(yè)，甚至大型知名企業(yè)，上了很多技術(shù)和產(chǎn)品，有的企業(yè)甚至也建立了很多安全管理制度，甚至做了信息安全管理體系并通過了認(rèn)證，投入了很多財(cái)力人力，但整體信息安全管理水平并沒有明顯提升，信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個(gè)普遍的問題： 信息安全體系建設(shè)沒有形成一套系統(tǒng)的、動(dòng)態(tài)的信息安全防護(hù)體系。 為了解決以上問題，企業(yè)必須要全方位、立體化的來考慮如何加強(qiáng)信息安全措施，保證自身業(yè)務(wù)信息安全。信息安全的“木桶原理”要求企業(yè)必須 在技術(shù)、管理兩方面都要抓、都要硬，形成的安全技術(shù)體系和安全管理體系相輔相成。同時(shí)，信息安全是一個(gè)“動(dòng)態(tài)”的過程，隨著信息系統(tǒng)的持續(xù)運(yùn)行和內(nèi)、外環(huán)境的變化，會(huì)產(chǎn)生很多管理和技術(shù)方面的問題，這就對(duì)企業(yè)的信息系統(tǒng)日常維護(hù)工作提出更高的要求，建立行之有效的安全運(yùn)維體系勢(shì)在必行。只有安全管理體系、安全技術(shù)體系和安全運(yùn)維體系的有機(jī)結(jié)合，才能形成系統(tǒng)的信息安全體系。 完善的應(yīng)急預(yù)案和應(yīng)急支援體系是用戶信息安全的“最后防線” “信息安全花了這么多錢， 購買了先進(jìn)的安全防護(hù)設(shè)備，建立了信息安全防護(hù)體系， 為什么發(fā)生信息安 全事件后長時(shí)間解決不了？ ”。 在企業(yè)中，特別是發(fā)生重大的信息安全事件后，不時(shí)會(huì)聽到這種聲音。 根源在于這些企業(yè)都存在著一個(gè)普遍的問題： 沒有形成完善的應(yīng)急預(yù)案和行之有效的應(yīng)急支援體系。 風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)的過程，信息安全也是一個(gè)動(dòng)態(tài)的過程，產(chǎn)品技術(shù)標(biāo)準(zhǔn)不斷發(fā)展和完善，信幫助用戶實(shí)現(xiàn) IT投資價(jià)值最大化 息安全威脅也是不斷地升級(jí)換代，隨著企業(yè)信息化程度的進(jìn)一步加深，企業(yè)核心業(yè)務(wù)對(duì) IT 依賴度的進(jìn)一步加強(qiáng)，信息安全問題會(huì)相對(duì)越來越多，這是一個(gè)不可扭轉(zhuǎn)的趨勢(shì)和現(xiàn)實(shí)?，F(xiàn)實(shí)的情況是上這些設(shè)備，建了這個(gè)體系，會(huì)減少很多安全問題和風(fēng)險(xiǎn)，但不能完全避免，如果不上這些設(shè)備和體系，問題只會(huì)更多 ，出現(xiàn)問題后會(huì)造成更大的負(fù)面影響。在這種情況下， 完善的應(yīng)急預(yù)案和行之有效的應(yīng)急支援體系是減低信息安全事件負(fù)面影響的最佳實(shí)踐。完善的應(yīng)急預(yù)案和行之有效的應(yīng)急支援體系可以幫助企業(yè)在發(fā)生信息安全事件后有條不紊 地 進(jìn)行應(yīng)急響應(yīng)，并能滿足響應(yīng)過程中對(duì)人力、物力、財(cái)力等資源的要求，切實(shí)降低信息安全事件給企業(yè)帶來的負(fù)面影響。