IT人必须持有的四点安全观中的前三点“信息安全是一种生产要素”、“无安全事故不等于足够安全”以及“预防比补救更省成本”。


    安全之茧

    在我们谈到安全的时候，我们都很明白其目的是保障企业业务的持续发展，保护企业的利益，这也是企业做信息安全的意义。随着内部智力资产对企业愈加重要，加之信息泄露事件频发，企业逐渐意识到信息安全的重要性，大家纷纷加强安全预算，部署安全系统。企业对信息安全的重视度提高了，但是从采取的防护措施来看，大家对信息安全的理解显然还不够全面与深入。

    目前企业的信息安全有一种为安全为安全的倾向。不少企业将安全等同于“0”安全事故；还有些企业误以为只要部署了防护措施就可以高枕无忧，当出现新威胁却束手无策。这是大多数企业面临的困局。

    对于信息安全，安全无绝对，这包含两方面的含义。一方面，安全是一个相对的要求，企业不需要一味追求绝对的安全；另一方面，安全还是个动态过程，需要根据变化而不断改变。


    第一，安全必须考虑成本，如果防护成本比风险发生造成损失还要大，反而得不偿失。ISO 27001中提到，风险评估要考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响；要根据主要的威胁和脆弱性、对资产的影响以及当前所实验的控制措施，评价安全失效发生的现实可能性；要估计风险的级别，然后确定风险是否可接受。要牢记一点，安全以企业发展为前提，切勿步入为安全而安全的误区。

    第二，企业所面临的内外部环境在不断变化，如新的安全威胁，企业规模增大、架构调整、人员变动等，因此，没有一劳永逸的安全解决方案，企业的信息安全管理需要根据变化不断调整。

    为摆脱安全困局，现在企业需要转变对安全的思考模式，以一种更加积极的态度，更加长远的眼光来看待它，然后根据公司的发展战略以及业务的实际需求，制定合理的信息安全计划。

    “被”安全到“要”安全

    那么企业到底应以一种怎样的方式去建设信息安全？企业必须从一个被动的接受者向一个主动出去者转变。

    首先要对公司的信息系统进行全面的风险评估，包括信息资产的脆弱性，可能面临的威胁，风险发生的后果等，然后根据评估结果，制定起码是中长期的信息安全计划，比如一至三年。在这个时间段中，也要定期进行安全评估，以随时调整控制策略，持续对防护的有效性进行改善。比如经过评估发现在近两月里面，职员跳槽频繁，并且有些人员有访问机密信息的权限，但并没有对这部分人员加强安全防护，那么接下来就应该调整公司的防护策略，有侧重性地针对敏感人群加强安全控制。

    其次根据评估结果，根据资产价值与威胁等级针对性部署轻重有别的防护措施。如可以将信息资产按重要性划分为普通、秘密、机密三个级别，普通级别可只运用审计对所有文档操作进行记录，以确保外泄行为发生时可有迹可循；对秘密级别文档可能要加上权限控制，以降低文档被有意无意外发的机率；而对于机密文档就要对其进行强制加密，以最大程度地保证其安全，即使外泄也不能正常打开。又如将威胁按其不同性质进行分类，有些服务如FTP，如果存在风险，而对组织又不是不可或缺，则可直接规避；有些风险即使发生，造成的损失也很小，甚至比防护的成本还要低，则可选择接受；对于不可接受的风险，企业应该尽一切可能将其降至最低，防止其发生。在处理风险时，企业需要根据面临的安全风险及安全需求进行轻重有别的防护，选择平衡安全、效率与成本的解决方案。而这是信息防泄密理念。综合运用审计、权限控制、加密等防泄密技术，帮助企业构建起防护力度轻重不一、立体化的信息防泄密体系。

    近几年我国信息安全领域事故频发，给个人、企业和社会都造成了不小的影响，国家也高度重视，对信息犯罪进行严厉的打击，但对于企业来说，如何做好信息安全建设尚存在很多不足，安全之路长路漫漫。没有绝对的安全，只有绝对的评估。只有不断地进行安全检查，及时发现问题并解决，才是长久的安全之道。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。