資訊保安使用者意識與實踐
1) 資訊保安意識有待提高
與發達國家相比,我國的資訊保安產業不單是規模或份額的問題,在深層次的安全意識等方面差距也不少。而從個人資訊保安意識層面來看,與美歐等相比較,僅盜版軟體使用率相對較高這種現象就可以部分說明我國個人使用者的資訊保安意識仍然較差。包括信用卡使用過程中暴露出來的簽名不嚴格、加密程度低,以及在網際網路使用過程中的密碼使用以及更換等方面都更多地表明,我國個人使用者的資訊保安意識有待於提高。 2)資訊保安實踐過程有待加強管理 資訊保安意識較低的必然結果就是導致資訊保安實踐水平較差。廣大中小企業與大量的政府、行業與事業單位使用者對於資訊保安的淡漠意識直接表現為缺乏有效地資訊保安保障措施,雖然,這是一個全球性的問題,但是我國使用者在這一方面與發達國家還有一定差距。
技術
技術是安全必不可少的實施工具,採取哪些安全技術,市場上有哪些工具可以使用,這是絕大部分資訊保安管理工作者最關心的話題。一般來說,可以按照從上到下資訊所流經的裝置來部署工具。即從資料安全、終端安全、應用安全、作業系統與資料庫安全、網路安全、物理安全六個方面來選擇不同的安全工具。資訊保安工具種類繁多,一般來說,每一種工具都有其擅長的安全方面,因此應按照“適度防禦”原則,綜合採用各種安全工具進行組合,形成企業“適用的”安全技術防線。最後,需要一到兩種提供綜合管理的工具來幫助把所有的安全監控工具近進行統一管控。這個和最終希望呈現給使用者的目的不同有所不同。例如soc(安全執行中心)是給企業日常維護管理者使用,itrm(風險管理工具)作為綜合風險呈現,是給企業風險或安全管理層使用。
執行
技術體系更多是解決安全風險點的問題。也就是我們常說的“就事論事”:有病毒殺病毒,有漏洞補漏洞等等。但是我們知道,資訊分散在一系列工作流程中各個環節中,因此需要對各項日常執行工作流程進行安全控制,也就是從資訊的生命週期進行流程控制,即在資訊的建立、使用、儲存、傳遞、更改、銷燬等各個階段進行安全控制。目前受到熱捧的開發安全就是在資訊建立階段的一個細化控制手段。在執行體系建設中,往往需要結合itil、cobit等流程分析來關注資訊的生命週期安全。
應急
應急
自美國“9.11”事件以後,業務連續性的重要程度提到了前所未有的高度。包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支援。特別是bs25999標準的頒佈,給如何建立一套完善的應急體系提供了參考。
