|
內(nèi)網(wǎng)安全已經(jīng)不是需不需要的問題���,而是怎樣去管理的問題�����,用一句話來形容內(nèi)網(wǎng)安全問題那就是"老生常談,不得不談"�����。這一門錯(cuò)綜復(fù)雜的學(xué)問�,想要完全掌握也不是一朝一夕的事情。因此��,本文主要從內(nèi)網(wǎng)安全的范圍及特點(diǎn)�、制度的建立和人員管理及產(chǎn)品選擇幾個(gè)角度來簡單討論一下。
古人云:"知己知彼��,百戰(zhàn)不殆�。"想要保障企業(yè)內(nèi)網(wǎng)的安全�,肯定要對內(nèi)網(wǎng)安全的定義以及范圍有所了解���,就像看病一樣����,要"對癥下藥"��。
內(nèi)網(wǎng)安全的范圍
內(nèi)網(wǎng)安全直接影響到企業(yè)信息的機(jī)密性����,所以怎么強(qiáng)調(diào)都不是過分的事情,若想要做好內(nèi)網(wǎng)的安全防范����,對于其特點(diǎn)就要有一個(gè)明確的理解。
一位外企信息安全官李洋曾談到:"內(nèi)網(wǎng)安全問題主要來源于兩方面����,一個(gè)是從外到內(nèi)的(交界、邊界安全)���,另一方面是從內(nèi)到外的�。根據(jù)不同來源的安全問題�����,會有不同的防范措施。"
的確如此����,當(dāng)說道安全問題,一方面很自然地就想到要如何防范來自互聯(lián)網(wǎng)的攻擊����,如何防范攻擊者入侵到內(nèi)部網(wǎng)絡(luò),如何控制遠(yuǎn)程接入的訪問權(quán)限等等��,這些就是從外到內(nèi)的安全問題����;另一方面還要控制從企業(yè)內(nèi)網(wǎng)到外網(wǎng)的訪問����,內(nèi)部移動(dòng)設(shè)備的接入,分發(fā)管理等等�����。
可見����,內(nèi)網(wǎng)安全具有一個(gè)雙向交互的管理特點(diǎn)����,所以單從一方面去管理是不全面的�����,因此�,在技術(shù)方面就會造成一定的管理難度。然而���,除了技術(shù)方面�,內(nèi)網(wǎng)安全管理的難點(diǎn)還包括行業(yè)差異和制度的建立兩個(gè)方面�����。
內(nèi)網(wǎng)安全管理的難點(diǎn)
第一:企業(yè)的IT建設(shè)�����、行業(yè)的不同需求造成的安全管理會有很大的差異�。有的企業(yè)可能是注重于數(shù)據(jù)的防泄漏,有的企業(yè)可能注重于員工日常的上網(wǎng)行為控制��,還有的企業(yè)更注重于內(nèi)外網(wǎng)的接入和訪問等等。相較于外網(wǎng)的防護(hù)��,內(nèi)網(wǎng)安全更加雜而亂����,沒有一個(gè)常規(guī)的防范標(biāo)準(zhǔn)。
第二:內(nèi)網(wǎng)安全所涉及的技術(shù)和產(chǎn)品也非常多�。身份驗(yàn)證,權(quán)限控制��,系統(tǒng)管理��,行為管理��,網(wǎng)絡(luò)監(jiān)控�����,應(yīng)用管理等等�����,這么多相關(guān)的技術(shù)和產(chǎn)品讓安全人員應(yīng)接不暇�����,根本上也是因內(nèi)網(wǎng)安全需求的復(fù)雜度而引發(fā)的�����。
第三:制度不完善���。很多企業(yè)在遇到內(nèi)網(wǎng)安全問題的時(shí)候��,往往不是因?yàn)榧夹g(shù)方面的不足����,而是人員管理的問題�。很多員工并不是安全人員,不會意識到某些操作會帶來安全威脅���。例如�����,A企業(yè)安裝了上網(wǎng)行為管理產(chǎn)品�,控制員工的網(wǎng)絡(luò)使用�����。然而某員工還是通過3G網(wǎng)絡(luò)接入外網(wǎng),造成了數(shù)據(jù)泄漏���。若在數(shù)據(jù)泄漏之前����,公司明文規(guī)定嚴(yán)禁以任何形式接入外網(wǎng)���,并有效地推動(dòng)此規(guī)定的實(shí)施���,想必這樣的事情也不會輕易發(fā)生。
可以說���,在一定程度上規(guī)范制度的建立是為了進(jìn)行更好的人員管理�����,那么針對內(nèi)網(wǎng)安全�,在制度和人員管理方面應(yīng)該注意哪些問題呢�����?
制度的建立和人員管理
針對制度的建立和人員管理問題����,李洋對此也深有感觸,他道:"針對不同的行業(yè)�����,會有不同的人員管理需求(制度���,規(guī)定章程方面)���。
例如,金融行業(yè)�,在金融行業(yè)的IT的治理,面對不同的部門�����,不同的階層����,制定不同的安全等級,達(dá)到一個(gè)安全目標(biāo)����。
例如����,普通員工的日常工作安全標(biāo)準(zhǔn)���,運(yùn)維人員的安全標(biāo)準(zhǔn)�����,管理人員的安全標(biāo)準(zhǔn)都是不同的�����。如果落實(shí)在章程中�����,會非常的細(xì)致��,比如在職人員的安全管理����,離職人員的安全管理等等��。
另外,人對工具使用��。針對安全工具(產(chǎn)品)的使用��,以及日常辦公軟件的使用����,因?yàn)槊總(gè)人的素質(zhì)不同��,對于這些工具的使用�,安全防范意識是不同的。"
可見����,由于人為因素的加入,讓內(nèi)網(wǎng)安全管理變得更復(fù)雜�����。那如何制定一個(gè)適合企業(yè)的內(nèi)網(wǎng)安全管理制度呢�����?在這里提出如下幾個(gè)建議:
◆了解自身業(yè)務(wù)需求
日常業(yè)務(wù)操作是企業(yè)的命脈����,因此從根本出發(fā)���,在業(yè)務(wù)工作流程中分析員工的日常工作行為,找出薄弱環(huán)節(jié)���,制定符合業(yè)務(wù)需求的工作規(guī)范�����。
◆了解安全風(fēng)險(xiǎn)
要弄清楚企業(yè)內(nèi)網(wǎng)有可能面臨哪些風(fēng)險(xiǎn)��,現(xiàn)有條件下對這些風(fēng)險(xiǎn)的承受程度如何�����。只有在了解了這些風(fēng)險(xiǎn)的前提下����,才能制定相關(guān)的防范措施和應(yīng)急措施�,從而保障業(yè)務(wù)的連續(xù)性。
◆提高員工素質(zhì)
實(shí)際上大多數(shù)安全問題都是由人直接或間接造成的�����,因此,培養(yǎng)以及提高內(nèi)部人員的職業(yè)素質(zhì)��,信息和網(wǎng)絡(luò)安全素質(zhì)�����,制定合理的安全管理制度和工作流程���,是非常有必要的。
安全總是相對的���,百密總會有一疏���,但是要盡量將企業(yè)的安全制度和措施相結(jié)合起來,環(huán)環(huán)相扣����,其中還有最重要的一點(diǎn):想盡一切辦法去實(shí)施這些制度!
有了內(nèi)網(wǎng)安全制度和人員管理機(jī)制后���,我們就需要結(jié)合一些安全產(chǎn)品來加強(qiáng)內(nèi)網(wǎng)的防護(hù)�����,那么下面我們就來談?wù)劙踩a(chǎn)品的選擇問題����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商���!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
