企业安全如何做?话题略大,而且自己没负责过,也无经验。下面的一些看法建议来自公网学习及一些思考。
首先什么才是企业可以接受的一个相对安全呢?该从哪些方面思考?着重的保护点在哪里?该用哪些基本的保护手段?
安全无绝对,攻防技术日新月异,道高一尺魔高一丈的今天,无法保证企业安全万无一失,这也是CSO/CISO们存在的意义了,尽可能确保威胁造成的损失降到最低。
那如何才是相对安全?国家有个基本的准则:信息安全等级保护。即不同级别的系统有基准线的要求,满足了的话(切实落实的,而不是打擦边球),可防止一些基本的攻击事件。当然除了等级保护,还有其他法律准则。
不管何种法则,若企业从物理安全、数据安全、行为安全等方面严格把控,加上安全管理(行政、人方面),相对安全想必是可以保障的。
想做好企业安全,势必脱离不了业务。业务不同,面临的风险不同,那就需要采取不同的安全策略。当然了,安全策略是比较下层的了,在开始一项安全任务时,得想明白安全目标是啥,也得对企业内部的安全能力有个清晰的认识,一旦全面视角完善了,下一步就要开始思考实施环节的策略了。到这里还没结束,得看最后的效果是否符合预期,还需要哪些方面的优化,不断完善,周而复始。毕竟新技术不断涌现……
有的企业会有资金与人力去做方方面面的防护,但对于一些中小型公司,可能需要购买第三方的服务来完成一些防护工作。这就催涌出了一批专业性公司。
例如做企业移动管理EMM的嘉赛安全、烽火星空;做工业网络隔离系统的中网云安、本链;做业务风控的永安在线、芯盾时代;做数据安全的渔翁、中测安华、指掌易;做边界访问控制的保旺达、合众数据;做应用防护的云央、紫光恒越;做云安全的墨者安全、光通天下、亚信安全;做通信网络安全的中新网安、先安科技、无声信息、江南信安、奇安信;做安全服务的卓朗科技、安天、泽鹿安全、安信天下、中国信通院;做威胁检测与捕获的一知安全、观安、阳途、魔方安全、蛮犀安全、汉邦一点通,等等。
(此图来自安全牛公众号)
存在即合理。这些所有的综合大概就是在企业安全保障过程中需要注意的点。技术手段太多了,但大体总是形似的,例如认证与访问控制、数据保密与完整性等。