企业信息安全想法

三分技术,七分管理。

企业的安全建设和发展从来都是自上而下(管理层决定和推动),而不是自下而上。

从大部分的雇主来说,信息安全是不怎么重要的(确实也是,我个人认为企业活下来才是最重要的,尤其是创业型企业,信息安全多么虚无飘渺的事情,效益也很难衡量)。

只有发生重大的信息安全事件后(或者法律要求),雇主才会逐渐重视信息安全。

信息安全是烧钱的(至少很浪费人力资源)。

信息安全从业者的实质工作就是保安。与传统的物业公司保安唯一不同的是,信息安全从业者是在虚拟空间里面执行安保工作,传统保安是在现实世界执行安保工作。


信息安全5大议题:

1)预防攻击(建立企业信息安全制度、规划设计信息安全框架、信息安全审计、安全监控—知道什么人在做些什么)

2)发现攻击(攻击告警、信息安全审计发现问题)

3)阻断攻击(阻断攻击源、修改代码bug、部署入侵防御)

4)追踪攻击(电子取证)

5)善后(改良信息安全工作、修改企业信息安全制度、优化现有信息安全系统)


安全措施重要程度:

第一梯队紧急

1,修复漏洞(修复漏洞应该是安全措施里面最重要的措施,例如勒索病毒就是通过系统漏洞来入侵;一旦一台服务器对外服务的端口中,存在了高危漏洞,那么随便一个脚本小子把metasploit一开,现成的攻击代码一加载,妥妥马上控制服务器)

2,终端管控(办公机器安装杀毒软件、修复漏洞软件、软件管控等等)

第二梯队紧急:

1,信息安全渗透(展现风险,例如信息系统是否存在注入、XSS、网络风险点、终端风险点等等)

2,部署防火墙、入侵检测/防御系统

第三梯队紧急:

1,网络访问控制(不通安全级别的区域之间,实行严格的访问控制;关闭服务器对外的无用端口;工具可使用ACL、iptables、防火墙等等)

2,代码审计(保证业务安全)





本文章是我的一家之言,如果你持有不同意见,请坚持自见。

你可能感兴趣的:(企业信息安全想法)