精华内容
下载资源
问答
  • 第242期OSSIM,企业信息安全管理利器 门诊时间:2012年4月11日—4月18日 本人针对6个讨论热点问题做出了详尽回答 ※ 如何在单机安装Ossim? ※ 如何在企业内网部署Ossim? ※ OSSIM能解决企业网络管理中的...
    
    

    门诊时间:2012年4月11日—4月18日

    本人针对6个讨论热点问题做出了详尽回答
    如何在单机安装Ossim?
    如何在企业内网部署Ossim?
    OSSIM能解决企业网络管理中的什么问题?
    OSSIM如何解决网络安全问题?
    OSSIM如何集成开源的监控软件?
    学习OSSIM如何入门?

    参与讨论地址:http://doctor.51cto.com/develop-256.html

    OSSIM(开源安全信息管理系统)在企业网络管理中的应用

    http://chenguang.blog.51cto.com/350944/802007

    展开全文
  • 中兴通讯 陈 飞 我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念、安全技术、安全产品,感受到信息安全对一个企业怎么说都不为过的重要性。...
    中兴通讯 陈 飞
                                          
     
           我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念、安全技术、安全产品,感受到信息安全对一个企业怎么说都不为过的重要性。这里我想结合自己的工作经验谈一谈对如何保证企业信息安全的一些看法。
     
    一、安全管理的重要性
     
           信息安全“三分技术,七分管理”,安全管理是企业信息安全的核心,企业建立了安全管理体系后,安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构,明确架构成员的安全职责,这是企业安全管理得以实施、推广的基础;其次必须建立完善、可操作性强的安全管理制度,并严格执行。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险,如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
     
    二、安全技术的重要性
     
           解决信息安全问题不能仅仅只从技术上考虑,但也不是说不考虑技术,技术是安全的主体,管理是安全的灵魂。信息安全离不开安全技术的实施,安全产品的部署,但现在的安全技术、安全产品让人眼花缭乱,难以选择,这时就需要进行风险分析,可行性分析等,分析现在我们网络面临的风险在哪些方面,解决问题或最大程度降低风险的可行性,收益与付出的比较,哪些产品可使我们以最小的代价满足我们的安全需求,安全与效率的权衡等。对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
     
    三、安全风险及需求分析
     
           在分析企业局域网的安全风险时,应考虑到这个网络的特点,进行有针对性的风险分析,以我所在的企业局域网为例,它有如下几个特点:
     
    1、网络与Internet直接连结,因此在进行安全方案设计时要考虑控制Internet连结的相关风险,包括控制可能通过Internet传播进来病毒,防止黑客攻击,制定远程访问管理规则,垃圾、病毒邮件过滤,不良网站过滤等。 
     
    2、网络中一些服务器,如WEB服务器需要允许外部直接访问,这时应采取加固系统、访问认证、防病毒系统、网络隔离、内容过滤等措施,避免公开服务器的安全风险扩散到内部。 
     
    3、病毒、蠕虫是企业局域网上的最大安全威胁,必须建立企业级的网络防病毒机制,部署企业级的网络防病毒产品;应建立系统补丁自动分发机制。
     
    4、网络用户数目巨大,必须制定安全策略,使满足一定的条件的用户才可以接入公司网络。用户接入控制是企业信息安全管理工作的基础,它包括对接入网络计算机的信息获取,企业安全策略,如密码策略、软件策略、服务策略、外设策略的设定与分发等。
     
    5、内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络进行逻辑或物理的分离。
     
    6、根据从一些安全事件中得到的教训,企业应用系统的设计应充分考虑安全方面的因素,如强身份认证、日志审计等,防止攻击、泄密事件的发生。
     
    7、移动存储设备的大量使用也带来了一系列的安全问题,应该从管理到技术两方面解决这一问题。
     
    8、当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),应进行实时的检测、监控、报告与预警;事故发生后,应能提供攻击行为的追踪线索。
     
           总之,要保证局域网中的信息安全,在进行安全风险和需求分析时,应结合企业局域网的特点,根据潜在的安全风险、安全产品的功能、价格等因素进行综合细致考虑。
     
     
    四、安全改进措施
     
           通过对企业局域网的风险和需求分析,我们认为企业的安全风险主要包括对服务器的安全保护、防黑客和病毒、不同网段的分级保护、接入控制、网络边界安全以及安全管理。因此,我们必须采取相应的安全措施杜绝安全隐患,我们已完成或正在进行的信息安全建设项目包括安全总控中心的建设,病毒防御系统的建设,防火墙的部署,IDS的部署,数字证书认证,邮件过滤,代理服务器的部署,接入控制和PC安全,文档安全,网络分离等。这些就不详细描述了。
     
     
    五、对安全管理的一些想法
     
           部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险,比如我们部署了防病毒系统,但病毒仍会通过各种途径出现,但它的危险程度降低了,影响范围缩小了,不再是不可控的了。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。
     
           要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的。从防御的角度来说,对于外来的威胁有时很难准确把握,但对自己,应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时,才可以在保护这些资产的预算上作出明智的决定。
     
           信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。这就要求企业的信息管理部门加强安全管理,提高系统全体人员的网络安全意识和防范技术,这涉及到信息安全的另一个重要环节:安全培训。企业必须组织开展多层次、多方位的信息安全宣传和培训,建立一个安全培训机制,增强用户安全防范意识和防范能力。
     
           作为信息安全管理岗位员工,我们的任务是为用户构造一个最适合目前业务活动的“安全体系结构”,因为在用户的眼中“安全“不是目的,“业务应用”才是,“安全”只是保障其“业务应用”的一种手段。安全往往与业务、效率等有一些冲突,这时一些部门往往把安全保障看做一种负担,而作为安全管理的执行者,我们最希望的是大家能理解“好的安全”同时也是促进“业务应用”的手段。
     
     
    六、对安全技术的一些想法
     
           提到信息安全技术,我们会想到很多:防火墙、入侵检测系统、防病毒系统、VPN、多层交换、加密/解密算法等等。安全管理岗位要求我们了解最新的安全技术,因为我们的防御对象也在这样做。但是信息安全技术的发展日新月异,各种安全产品各有所长,让人难以选择,这时我们要记住安全并不是复杂的代名词,安全也不是要包揽一切,安全应尽可能简单,安全要以业务和相关的应用为中心; 安全防御不仅仅在边界而应是多层次的; 安全需要不断的实践和有效的管理;安全体系结构的设计开发技术应该更加开放。纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
     
    发展方向
    技术/产品
    公司
    智能
    Deep Inspector
    NetScreen
    Application Intelligence
    Checkpoint
    整合
    实时事件关联、处理
    OpenService
    Tivoli SecureWay
    IBM
    天玥网络安全审计系统
    启明星辰
    管理
    Enterprise Security Manager 5.5
    Symantec
    VigilEnt Security Manager Suit
    NetIQ
    企业安全计划 ESP
    绿盟科技
     
    表一 体现发展趋势的新产品/技术
     
           企业的信息安全管理工作应该逐步走向规范化、制度化,建立起比较完善的管理和技术防范体系,这就是我在实践中感触最多的方面,这也是我们信息安全管理工作前进的方向。
    展开全文
  • 笔者曾经参加ISG 比赛时有位导师的经典语录:信息安全管的是什么? 其实质管理的就是输入和输出。 (如果你已经踏上管理岗位,其实会发现这句话在企业管理中也是适用的) 所以管住你的输入和输出,就能管住你的信息...

    导语:

    笔者曾经参加ISG 比赛时有位导师的经典语录:信息安全管的是什么? 其实质管理的就是输入和输出。  (如果你已经踏上管理岗位,其实会发现这句话在企业管理中也是适用的)

    所以管住你的输入和输出,就能管住你的信息安全。

    (信息安全是一项即使你投入了大量人力、物力、财力可能依然出现纰漏的领域)

    注意:本文的经验主要适用于一般研发企业,及对相关领域有研究的人员,并不适用于特保单位。

     

    一般企业中,防范主要应对2类风险

    1. 物理威胁:通常可能出现的情况,包括私拆主机、携带USB存储设备访问主机等

    2. 网络威胁:这块大家都比较熟悉了,病毒、非法上传、偷跑流量等

           (笔者在面对威胁1 的情况非常复杂多样,其风险度并不低于威胁2)

     

    一、制度和流程

    作为企业来讲,为应对上述的主要风险,首先需要有完善的制度和流程,以下几个制度和流程推荐完成:

            1. 企业的设备管理制度(注意这一制度应当区别财务的固定资产管理制度)

            2. 网络管理制度

            3. 网络权限申请流程

            4. 设备申请流程

            5. 人员入职流程

            6.内网的安全管理策略

            7.运维管理记录(建议)

    二、人员配备和知识积累

    (1)人员配备

             在笔者遇到的绝大多数中小企业中,信息安全基本处于无人关心的状态(最多也就只是配备1名网管的状态...),很多创业者也好、企业管理人员也好虽然重视,但是实际落地时又多是无人管理又或者管理人员水平无法达到。而聘请所谓的专业人员或者团队的成本可能根本不是这些企业所能接受的。

             关于人员配置,我的建议如下:不论企业规模的大小,安全管理负责人必须由企业的核心管理层担任或者兼任,并配备一名执行人员。

             这样的好处在于:

             首先:负责人有足够的权威,当出现可能的安全风险/事故时有足够的介入能力。

             其次:负责人非常清楚整个企业的运作流程,便于风险/事故的及时处理和流程的改进。

             负责人的主要责任在于制定/调整相关安全策略,并监督和检查策略的执行情况。

             执行人员是负责人有利的助手,并直接向负责人汇报相关情况。人员应当由负责人亲自挑选,人的性格应当以稳重为主(可以由网管兼任,但需要清楚的明确责任边界)。一般100名员工至少配置1名安全管理的执行人员。

    (2)知识积累

             俗话说铁打的营盘流水的兵。做好知识的传承是非常重要的,鉴于目前国内对安全管理的重视情况及相关岗位的薪资水平,人员会发生流动是可以预期的所以做好传承至关重要。

    三、风险防范

    (1)物理威胁

             面对物理威胁的多样性,重点管控的对象主要为办公主机和服务器。具体可以采取如下措施:

             1.可靠的电子门禁系统(这个就不多介绍了~配合视频监控可以准确管理出入人员)

             2. 在办公室区域、服务器机房安装视频监控设备

             3. 禁止任何USB 设备的接入(尤其是USB存储设备和USB WIFI),包括一般PC和服务器(尤其是服务器,很容易被忽略)

           (建议的做法是通过WINDOWS 的组合策略来实现。笔者也见过很多任性大厂,锁死PC焊死USB接口的做法...在成本需要严格控制的中小企业...建议还是别了...而且那样只是制造了一种感觉安全的环境...从实际的案例来看...并非完全无破绽)

             4. 采用易碎贴等方式封闭PC主机(成本低廉,可快速判断是否被拆卸)

             5. 定期巡视和检查(建议至少1个月1次,由执行人员负责日常检查,负责人抽查工作情况)

    (2)网络威胁

             网络威胁的品类很多,但治理起来需要的是艺术(管理艺术),而非高深的技术

             1.部署一个行为管控设备,一切的基础。(如深信服、海蜘蛛、PANABIT 等等,读者可以自行了解各产品间的差异)

             2.一个可靠的网络结构,能够将服务器网络、办公网络严格分开。

             3. IP MAC 地址绑定。

             4.将网络行为分组,根据不同组别的特性设置不同的行为规则。(如:服务器组、行政组、研发组等)。

             5.限制不必要的软件和通信协议(限制QQ、微信的通讯,限制FTP P2P协议等)。

             6.定期审核行为日志,(这点非常的重要)。

    (3)其他威胁

             威胁最大的问题在于人的行为所导致的结果:

             一般分为2种:

             1. 被动的,比如说安装了某个视频播放器,导致在后台偷跑流量之类,这类情况下会进行劝解、小惩大诫即可。

             2. 主动的,这类情况风险高,且在前期不宜被察觉。但这类情况的行为模式也比较容易判断,具体会有如下表征

                 1)对于外部侵入人员来说:入职6个月内(甚至是处于试用期)

                       对于内部人员来说:因为工作不顺即将离职人员(内部矛盾,分配不均等)

                 2)想方设法绕过管控机制或提升自身的权限(如:打听安全管理的策略,或者向直属主管施加压力,申请更高的网络权限等)

                 3)想方设法获得文件传输的能力(即:突破上行限制)

                 4)得手后迅速离职(多见于:短期内获得网络权限,然后迅速以奇葩理由离职的人员)

    四、总结

    内部安全管理是一项需要耐心,并持续改进的工作。这项工作只有开始没有结束,而涉及的面非常的广泛(知识、业务、职业道德、思维逻辑能力等)。所有这一切只有一个目的:为企业/公司 的安全运营保驾护航

     

     

     

     

     

     

           

    展开全文
  • 企业信息安全的范围技术控制:访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等系统安全:...

    企业信息安全的范围

    技术控制:

    访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统

    网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等

    系统安全:系统是否打补丁、环境变量、开放的权限、不常用的端口与服务等是否关闭

    开发安全:开发的模型是否合理、开发时涉及的架构是否规范、开发时的脚本是否安全,是否有后门。

    密码学:公钥基础设施(PKI)、对称性密钥、非对称性密钥

    架构与设计:网络的拓扑是否符合标准、服务器的冗余等

    管理控制:

    安全治理:企业管理层的安全方向性定位(上)、企业执行层战略方案以及制度(中)、企业执行者采购设备等真正执行(下)

    风险管理:评估设备是否达到某些风险标准,可以参考国际标准、定量分析、定性分析等

    操作安全:标准执行的安全

    业务连续性: 保障业务不可中断,首先需要灾难恢复制度、设备、计划、冗余等

    法律法规:证监会、国家法律法规等

    物理控制:

    环境安全:放置物理设备的物理位置的安全性

    工作区分隔:各司其职,不可混合

    布线:线路的安全

    数据备份:磁带、数据的备份

    保安:

    锁:

    企业信息安全的范围:能保护企业信息资产安全的相关工作。

     如何获取信息安全流行的资讯

    • 面对面的获取资讯(安全峰会、安全论坛等)
    • 通讯(语音通讯等)
    • 文字资讯(相关的技术文章)

    总结:建设属于自己的信息网

    国际通用的CIA准则

    • 保密性:信息不可以泄露给未授权者,确保适合的人看到信息、
    • 实现方法:IPSec/SSH/PPTP/磁盘加密/数据库加密
    • 完整性:防止未授权更改
    • 实现方法:散列、配置变更、访问控制、数字签名
    • 可用性:根据用户要求访问使用特性
    • 实现方法:磁盘阵列、集群、负载均衡、软件和数据备份

    如何落地CIA

    依据范围——》参考属性——》安全计划

    比如说:云端数据设计

    可以从CIA角度来充分考虑

    保密性角度:数据的传输是否安全

    完整性:用户的访问控制、权限是否得当

    可用性:负载均衡可否实现、软件以及数据的备份、应急响应是否处理


    参考:林很相关视频讲座

    展开全文
  • 企业信息安全建设小记

    千次阅读 2019-09-02 02:40:45
    企业信息安全建设一、前言二、企业安全建设思路三、安全建设实施1、第一阶段2、第二阶段3、第三阶段4、第四阶段 一、前言 最近面试经常被问到企业安全建设,于是根据自己的经验及思路整理下思路。 二、企业安全...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 信息安全管理01

    千次阅读 2018-01-24 09:03:21
    其中技术是基础,只有在技术有效时,制度和人才是关键,信息安全管理体系从用户的角度看更强调七分管理、三分技术,在实际运行中三要素就象一个三角支架,三条腿一样长,系统才能保持平衡。 发达国家经过多年的研究...
  • 企业信息安全模型(成熟度模型)

    千次阅读 2019-12-02 09:13:18
    对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业信息安全策略...
  • 为什么需要企业安全框架一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。...
  • 企业信息安全之社工学审计

    千次阅读 2016-07-09 07:47:22
    在现代的信息安全中,数据泄露已成为常态。在日常的生活中,各种社交软件和各种网络平台的盛行强烈地吸引着众多的网民去注册。其中社交软件和各种跨平台账号登录基本上都会涉及到邮箱、账号、QQ号码、手机号码、...
  • 信息安全系统的组织管理

    千次阅读 2017-02-23 20:33:19
    电子政务信息安全的组织管理 电子政务信息系统的安全组织管理必须与...安全管理制度是信息系统安全的制度化保证,是信息安全管理的重要内容。以下11个方面可以作为制定安全管理制度的参考方向: 1.人员安全管理 2.
  • 企业电子文档安全管理

    千次阅读 2008-11-27 16:59:00
    许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势...
  • ISO27000信息安全管理体系

    千次阅读 2019-07-11 11:33:23
    组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率...
  • Oracle信息安全管理架构围绕甲骨文公司帮助用户“安全存放信息、安全访问信息”的战略,包括了以下三个层面: 保证应用层面的安全。应用安全最大的挑战来自于“访问控制”。早期单独的应用系统采用支离破碎的安全...
  • 企业运维安全管理实践的9大领域

    千次阅读 2019-07-22 18:45:59
    运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。基础应用等,一旦出现安全问题,会直接威胁到服务器的安全。而...
  • 企业信息安全建设工作可以从多个方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。 等级保护包含哪些方面 根据GB/T22239-2008 《...
  • 在上一篇文章中我们谈到了win8以及win8.1中超炫的主动防御功能,在这篇文章中我将带领大家来到一个你可能不太熟悉的企业安全管理利器 - System Center 2012 Endpo
  • 课程特点:ISO27001LA主任审核员,世界级的认可与荣耀 ... 具备全球认可的ISO27001审核师资格;...国际信息安全管理主任审核员权威证书,拓展全球化视野,助力人生飞跃   认证机构:国际审核员注册协会(IRCA),
  • 我们在信息安全方面也投入大量人力,从权限管理,数据通道管控等维度,减少大规模数据泄密的可能性。 欢迎大家报名参加,共同交流。 活动报名链接: http://www.huodongxing.com/event/9423879434800   时间&地点 ...
  • 关于企业安全管理策略的探讨

    千次阅读 2007-08-27 15:50:00
    它是企业内部办公自动化(OA)、企业信息管理系统(MIS)、企业内部信息广播或交互平台等的基础。企业内部网络的信息处理和交互能力为企业的数据信息共享、日常管理、商务处理提供了极大的便利性,但也为病毒的小...
  • 如何制定信息安全管理服务质量指标宋体;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:
  • 在该网站上可以查看到以下信息: a)已颁布的密码行业标准规范的简要概况; b)已被授予型号证书编号的商用密码产品目录; c)电子政务电子认证服务机构目录; d)商用密码产品审批服务指南; d)国家密码管理局发.....
  • CISSP复习笔记-第2章 信息安全治理与风险管理2.1 安全基本原则2.1.1可用性(availability) 确保授权的用户能够对数据和资源进行及时的和可靠的访问 措施:回滚、故障切换配置 反面:破坏(destruction) 2.1.2 完整...
  • 但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、...
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
  • 需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4分左右,此部分非常重要,信息安全管理中重点考察的知识点有:信息安全系统三维空间,信息安全技术,安全属性,加密数字签名,安全架构体系,病毒...
  • 中小企业信息化建设管理方案规划设 计 一、信息化建设规划 公司信息化建设需要涉及整个业务流程和管理过程, 它包括公司 的的经营、计划、合约、技术、质量、安全、施工、材料、设备、人 力资源以及成本管理等...
  • 所谓信息科技风险,是指信息科技在规划、设计、研发或采购、运行、维护、监控及报废过程中由于人为因素、技术漏洞和管理缺陷产生的操作、法律、金融和声誉风险。 以银行业为例,新的技术为中小商业银行的经营发展...
  • 1.信息安全管理:保护信息的保密性、完整性和可用性,其他:真实性、可核查性、不可抵赖性  MTBF(平均故障时间)=1/a 2.信息系统安全 3.信息系统安全管理体系:确保企业经营和业务的不间断进行  组织结构体系...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 327,442
精华内容 130,976
关键字:

企业信息安全管理