信息化建设解决方案之信息安全

信息化建设解决方案之信息安全

ID:23748004

大小:447.06 KB

页数:17页

时间:2018-11-10

信息化建设解决方案之信息安全_第1页
信息化建设解决方案之信息安全_第2页
信息化建设解决方案之信息安全_第3页
信息化建设解决方案之信息安全_第4页
信息化建设解决方案之信息安全_第5页
资源描述:

《信息化建设解决方案之信息安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、帮助用户实现IT投资价值最大化信息化建设解决方案之信息安全篇【导读】随着信息安全事件的不断发生,信息安全的重要性呈指数增长的趋势。过去几年来,网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂,病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势,许多单位投入大量资金购买安全设备、系统软件和系统服务来应对,但是,往往得不到预期的风险管理的效果。实际上,解决信息安全问题的根本措施是需要结合企业网络和业务实际,通过正确的方法,建立一套适合企业的信息安全体系,并在企业中持续的运行、改进。以下将为企业

2、在信息化建设过程中,如何更好的应对信息安全问题提供一些思路和方法。1、信息安全建设遇到的问题1.1信息安全建设常见问题随着信息化的快速发展,信息安全事件也越来越多。信息安全已经成为每个信息化建设者为之头疼的问题:,(1)信息安全投资越来越多,信息安全问题也越来越多。单位每年投入大量资金进行安全建设,买了很多信息安全设备,结果每年还是会遇到很多信息安全问题。领导批评,员工抱怨,信息中心主任也不知如何是好。(2)安全管理制度形同虚设。单位在管理方面下了很大功夫,制定了制度,但是安全管理制度就像一阵风,风吹时很猛,但

3、吹过了,也就完了,业务人员根本不拿制度当回事,有的认为制度本身就是形式,这种现象能改变吗?(3)维护人员疲于奔命。单位虽完成了信息安全建设工作,但是信息化业务系统的可靠性及需求不断增长,让安全维护人员疲于奔命,对于突发事件无法做出迅速响应,消耗大量人员成本,工作做得也并不理想,信息中心领导对这种“救火式”安全维护无可奈何。同时,导致IT运维成本不但居高不下,且有明显的逐年增加的趋势,IT运维一时成为可有可无的鸡肋,投入大量资金购买的设备,也快成为摆设。1.2信息安全建设问题分析从问题的表象来分析,产生现象的根源

4、如下:(1)缺乏系统的安全体系。很多企业,甚至大型知名企业,上了很多技术和产品,但安全管理跟不上,技术和产品未能发挥应有的作用;重视信息安全工程建设,但建设后的运维工作跟不上,信息安全隐患不能及时排查、整改,信息安全问题还是层出不穷;重视对外部信息安全风险等防范,疏忽了对内部风险的控制,安全体系不全面,存在短板。根源在于这些企业都存在着一个普遍的问题:信息安全目标体系不清晰,整体的安全体系架构不系统,相关的管理跟不上。如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职

5、人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。(2)对信息安全风险缺乏及时的评估、预警和控制。信息化项目建设完成后,用户往往认为已经采取了相应的信息安全保护措施,可以一劳永逸,因此在信息系统的日常运维中忽略了对帮助用户实现IT投资价值最大化信息系统安全风险的及时评估、预警和控制。风险是一个动态的过程,信息安全也是一个动态的过程,产品技术标准不断发展和

6、完善,信息安全威胁也是不断地升级换代,随着企业信息化程度的进一步加深,企业核心业务对IT依赖度的进一步加强,信息安全问题会相对越来越多,这是一个不可扭转的趋势和现实,所以信息安全的风险不断在变化。缺乏评估、预警措施,不能及时识别信息安全风险,也就不能控制风险,从而带来隐患。(3)安全运维工作不重视。在很多单位都出现过网站被黑客攻击,主页被篡改,服务器无法对外提供服务的情况。导致业务中断,单位的声誉受损,广告投放单位要求索赔等。出现这种情况的原因,往往是因为缺少对网站的安全保护监控,没有一套合理的流程去防止安全事

7、件的发生。在出现安全事件后,信息中心的人员又不知道该如何处置。到处打电话找人,经过很大的弯子才能够解决问题。这就是日常的安全工作中,缺少应急方案的制定与演练。导致在真正出现问题时,不知该从何下手,如何解决问题。IT部门应当从信息安全的角度出发,为公司制定一个合理的工作流程,管理部门应当制定信息安全运维的框架,并指派专人负责完善运维体系。针对以上问题,建议企业在进行信息安全建设时,首先明确信息安全方针,设计信息安全策略,在此指导下构建信息安全管理体系、技术体系、运维体系。2、正确的信息安全建设之道企业在进行信息安

8、全建设时,应从企业整体IT规划的角度出发,将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针,确定信息安全策略,构建信息安全管理体系、技术体系和运维体系,并在实际工作中不断完善。如图1所示。图1信息安全体系建设图信息安全规划是以组织信息化战略规划为指导,以组织的信息资源规划为基础,确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。