企业信息安全体系从零做起的法则
企业信息安全体系从零做起的法则信息安全往往被人们忽视,被人当作是一种补救措施,比如说出现身份认证的问题了,泄密的问题了,就想到了信息安全,这是典型的头痛医头,脚痛医脚,我们在企业开始信息化建设的时候就要充分考虑信息安全,信息安全是企业基础,那我们怎样搭建一个成功的具有延展性的安全体系,这对安全人员是一大挑战,安全体系必须要求管理人员以及技术专家站在一起,从实用性行业性以及技术未来遇见性出发。特别对于那些没有做多少信息安全管理的企业,就更应该贴近实际,根据公司需求一步步慢慢的来,不要一上来就做标准(ISO27001)。
对于那些信息安全基础为零的企业,他们的信息安全应该从哪方面入手呢!要从网络安全跟信息安全入手,下面就来详细介绍怎么从这两个方面切入:
一、 网络安全
1、防火墙:根据企业类型不同,选择适应各自的防火墙,对于微小型企业可以用个人防火墙,如:Norton Internet Security 、 瑞星 、江民。 而对于较大型企企业来说,个人防火墙就不能满足企业需求,而的选择硬件防火墙,使安全性得到进一步进提升和加强,硬件防火墙包括:Juniper、启明星辰、华为。
2、服务器: 基于成本跟安全性来说一般都选用linux版,虽说没有windows操作那么方便,但是重在安全性比较好,现在都选用小红帽Red Hat Linux ISO 9.0,操作稳定、方便简单、安全性高。
3、交换机、路由器: 路由由于信息传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要对路由跟交换机进行安全设置,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强网络的安全性。
4、漏洞扫描: 对网络的扫描,网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
二、 信息安全
首先得有一个整体规划,明确保障目标、范围、政策,然后再做风险评估,根据风险评估报告,组织一个安全委会员,制定一下信息安全策略,当然要指定专门的人员进行权限管理以及日志分析,同时对违规情况进行全公司通报处罚。还要经常在公司内部对人员进行宣导,增强人员的安全意识才是重中之重,必须狠抓技术管理人员的培训,提高安全组织的作用和安全意识,不论什么时候人都是核心。
等到这一切都落实完成,在慢慢根据ISO27001标准来完善企业的信息安全计划,根据下面十条来制定计划和日程,按日程实施。
1、安全基本方針
2、信息安全组织
3、资源管理
4、人力资源的安全
5、物理性及环境性的安全
6、通信及通用管理
7、限制访问
8、信息系统取得、开发及保守
9、信息安全事件管理
10、事业继续管理
土豆分享了不少好文。。期待这个主题更多的实战信息。。。 期待分享漏洞扫描的内容 :)赞一个 想知道实际的操作过程