国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　你有沒有想過擔(dān)任某大型的高級(jí)人員呢?那么你必須理解信息安全的主要原則以及這些原則是如何應(yīng)用于生活和業(yè)務(wù)的。

　　神秘的CIA

　　我們都知道C-I-A的意思(這樣寫是因?yàn)楹苋菀着c美國中央情報(bào)局的縮寫CIA混淆)，C代表保密性，I代表完整性，A代表有效性。但是很多專業(yè)安全人士以及那些真正致力于保護(hù)企業(yè)信息安全的人其實(shí)都夸大了保密的重要性。

　　當(dāng)然，保密性確實(shí)是很重要的。但是，如果你仔細(xì)想想，當(dāng)機(jī)密信息泄漏時(shí)真正對(duì)業(yè)務(wù)造成影響是什么?這還要具體問題具體分析：知識(shí)產(chǎn)權(quán)受到影響了嗎?是否讓其他銷售部門拿走了市場營銷計(jì)劃?或者價(jià)格表?公司重要收購計(jì)劃被走漏消息?還是收購對(duì)象的股票價(jià)格被泄漏?針對(duì)這些情況，也許你不得不更改收購計(jì)劃直到股票價(jià)格正常化，或者稍后再進(jìn)行收購，或者對(duì)盜取或者使用企業(yè)知識(shí)產(chǎn)權(quán)的盜竊進(jìn)行起訴?？偠灾瑪?shù)據(jù)泄漏在大多數(shù)情況下瞬間對(duì)企業(yè)造成的影響其實(shí)并沒有想象的那么大。

　　即使競爭對(duì)手已經(jīng)盜取了讓你喪失競爭優(yōu)勢(shì)的知識(shí)信息，這些被盜信息對(duì)企業(yè)造成的影響可能要等幾個(gè)月甚至是幾年，才會(huì)反映到企業(yè)資產(chǎn)負(fù)債表中。所以說，企業(yè)有充足的時(shí)間作出反應(yīng)和采取必要補(bǔ)救措施。

　　現(xiàn)在，幾乎在所有行業(yè)以及所有各種規(guī)模的企業(yè)都在使用IT技術(shù)，IT系統(tǒng)和數(shù)據(jù)的有效性可以說是至關(guān)重要的。如果企業(yè)的管理系統(tǒng)發(fā)生故障，對(duì)企業(yè)造成的影響將是立竿見影的，并且為立即解決系統(tǒng)問題還需要花費(fèi)額外的資金。

　　這是因?yàn)檫@種事故是瞬間的、可測量的直接損失，會(huì)直接影響企業(yè)正常運(yùn)營的能力(甚至中斷企業(yè)的運(yùn)營)。發(fā)生這種事故時(shí)，你會(huì)發(fā)現(xiàn)，之前討論過的投資回報(bào)率或者預(yù)算限制等問題都不復(fù)存在了，需要立即采取解決措施，因?yàn)橄到y(tǒng)中斷事故將會(huì)對(duì)企業(yè)的穩(wěn)定性造成直接影響。

　　意識(shí)到系統(tǒng)有效性的重要性后，下一個(gè)最重要的安全要素就是完整性。

　　確實(shí)，不僅需要保證系統(tǒng)和數(shù)據(jù)的有效性，還需要確保系統(tǒng)能夠和生產(chǎn)可靠的精確的數(shù)據(jù)，這樣才能確保良好的業(yè)務(wù)決策、正確的采取報(bào)告和適當(dāng)?shù)念A(yù)測。

　　單一的完整性故障并不是很嚴(yán)重，并且通常情況下，這種故障通常能夠被立即發(fā)現(xiàn)，并且部署的程序會(huì)對(duì)完整性進(jìn)行檢查然后解決問題。但是，回到上述的模式，任何對(duì)數(shù)據(jù)和系統(tǒng)完整性的影響都會(huì)在短期內(nèi)對(duì)企業(yè)造成影響，至少在企業(yè)下次SOX審計(jì)時(shí)，或者下次銷售報(bào)表因?yàn)殄e(cuò)誤價(jià)格信息或者錯(cuò)誤聯(lián)系資料而被回絕時(shí)會(huì)發(fā)現(xiàn)這種影響。而多個(gè)完整性故障則會(huì)造成更大的或者更直接的業(yè)務(wù)問題，因此在最直接影響業(yè)務(wù)排行中完整性名列第二位。

　　第三名，就是上述所說的保密性。GLBA、PCI、HIPPA和其他法規(guī)標(biāo)準(zhǔn)都是以安全為中心的標(biāo)準(zhǔn)，這種安全就包括保密性或者“隱私性”。最近發(fā)生的數(shù)據(jù)泄漏事故以及保密性的重要性都說明確保企業(yè)最佳利益的最佳做法就是保護(hù)企業(yè)的保密性。

　　圖1：信息安全的三項(xiàng)要素

　　大家應(yīng)該意識(shí)到，這三項(xiàng)安全要素其實(shí)都是很重要的，企業(yè)必須同時(shí)考慮這三個(gè)要素(按照?qǐng)D1所示的由下往上順序)。

　　不斷擴(kuò)大的威脅面

　　現(xiàn)在讓我們從更加復(fù)雜的角度來分析問題。我們都知道，現(xiàn)在的威脅面(也就是所謂的漏洞)在過去20多年以來每年都在成倍的速度增加。還記得1988年的(或者M(jìn)orris/MIT)嗎?在東歐國家(其他國家也有)有很多很聰明的受過高等教育的人都喜歡利用他們的閑暇時(shí)間來驗(yàn)證網(wǎng)絡(luò)應(yīng)用程序或者各種公司的系統(tǒng)的安全性。最近Verizon Business公布的2009年威脅報(bào)告顯示，來自東歐國家的攻擊比去年同期增長了9%，這意味著，攻擊范圍不斷增加，而與此同時(shí)安全水平卻沒有增加(安全預(yù)算通常都是很緊張的)，圖2顯示的是威脅增長圖：

　　圖2：威脅增長時(shí)間表

　　來自領(lǐng)先供應(yīng)商(如McAfee、或者Verizon)最新的研究數(shù)據(jù)也清楚地說明了這個(gè)問題，攻擊面的增大同時(shí)也帶來了更多的數(shù)據(jù)泄漏事故。最新數(shù)據(jù)顯示，2008年被泄漏的數(shù)據(jù)達(dá)到2.85億條記錄。為什么會(huì)這樣呢?為什么這個(gè)問題無法解決呢?為什么越來越多的公司被數(shù)據(jù)泄漏困擾呢?

　　安全的神奇三角

　　我們都知道(或者應(yīng)該知道)金融時(shí)間的神奇三角，也就是在流動(dòng)性、(資產(chǎn))安全和投資盈利能力三者間存在差異，你不能同時(shí)保證這三個(gè)要素，但是這需要取決于你的目標(biāo)。同樣的道理在IT和安全世界也是如此：

　　圖3：信息安全的三角結(jié)構(gòu)

　　信息安全也存在這樣的三角結(jié)構(gòu)(如圖3所示)。在IT的“前數(shù)據(jù)泄漏時(shí)期”，IT和業(yè)務(wù)方面之間的討論一般是圍繞所需要的功能以及實(shí)現(xiàn)功能所需要的投資來進(jìn)行的，安全幾乎不是討論的內(nèi)容，并且供應(yīng)商和安全公司沒有適當(dāng)強(qiáng)調(diào)安全的重要性。雖然我們?cè)诎踩矫孀龀隽撕芏嗯?，但是看看大型供?yīng)商方面的安全漏洞的數(shù)量就知道安全問題還遠(yuǎn)遠(yuǎn)沒有解決。真正的模式轉(zhuǎn)變將需要幾年的時(shí)間，在企業(yè)購買安全產(chǎn)品時(shí)應(yīng)該想想一些必要的問題：這個(gè)產(chǎn)品能夠提供適當(dāng)?shù)陌踩詥?當(dāng)我們使用這件產(chǎn)品時(shí)能保證企業(yè)以及個(gè)人數(shù)據(jù)的安全性嗎?

　　現(xiàn)在我們需要向這個(gè)等式添加另一項(xiàng)內(nèi)容：那就是安全。在很多情況下，安全是與功能/便利相對(duì)的，為了保證安全性，我們需要進(jìn)行非常復(fù)雜的操作，這包括：分配角色和訪問權(quán)限、限制廣泛的功能選項(xiàng)到“必要的功能”、確定唯一的ID號(hào)、撤銷沒有必要使用管理權(quán)限的權(quán)限、組織電子郵件的大部分附件內(nèi)容、減少互聯(lián)網(wǎng)接入/限制網(wǎng)站訪問及時(shí)間、增加(包括反間諜軟件和反惡意軟件)、進(jìn)行備份、DR/BCP、建立規(guī)則、必須使用復(fù)雜而長的密碼以及所有非常復(fù)雜煩人的操作。

　　而且通常情況下，安全的實(shí)現(xiàn)需要資源、人力、時(shí)間和管理。誰愿意花錢在看不到并且還沒有發(fā)生的事情上面?所有先進(jìn)的安全基礎(chǔ)設(shè)施(外包、托管、管理或者內(nèi)部操作等)都是非常昂貴的，問題在于：安全投資多少比較合適?

　　要回答這個(gè)問題，你需要與企業(yè)老板(即掌管企業(yè)預(yù)算支出的人)進(jìn)行商討，讓他們了解安全與功能便利的關(guān)系，以及企業(yè)能夠承受怎樣的安全風(fēng)險(xiǎn)。請(qǐng)記?。耗悴豢赡艽_保企業(yè)部署最安全的解決，但是應(yīng)該要確保企業(yè)的足夠安全，讓將目光轉(zhuǎn)移到那些安全低的目標(biāo)，從而讓你的企業(yè)可以專心經(jīng)營業(yè)務(wù)。