信息安全規劃
信息安全規劃
信息安全規劃是一個關係國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網路信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。它主要是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
很多實例表明網路犯罪的目標有向著中小型企業發展的趨勢,中小型企業面臨的網路危險緣於他們還沒有更新企業的信息安全規劃。
信息安全規劃在制定的過程中的“十大秘笈”:
一、保護信息,系統和網路免受病毒,間諜軟體和其它惡意代碼的侵害。
二、為網際網路連接提供安全保障。
三、在所有的業務系統上安裝並激活軟體防火牆。
四、及時給操作系統和應用程序打補丁。
五、對重要的業務數據和信息做備份。
六、控制對計算機和網路組件的物理訪問。
七、保護企業無線接入點和無線網路。
八、培訓員工,使他們具備基本的安全常識。
九、在業務計算機和業務應用中對每個員工設置獨立的用戶賬號。
十、限制員工訪問數據和信息,限制安裝軟體的授權。
1.增強認證:用這個過程來增強安全。例如,一個容易的轉變是切換到二因子認證,如密碼加上令牌或者生物認證技術(如指紋錄入)。另外可以經常修改密碼,比如每30天;設置更加複雜的密碼,比如至少16個字元。
2.共享指標數據:獲取具體安全事件相關的數據比如事件響應前和響應時的數據,然後把此數據與其他機構共享,幫助其他機構防止,檢測,減少類似的安全事件的發生。指標數據可以從入侵檢測系統和入侵防止系統設備中獲取。
3.合格評定:既然標準和規範是用來處理信息安全威脅,合格評定保證了產品,服務且或者系統滿足處理威脅包括檢查,解決,減少威脅等步驟所需要的安全需求。
4.受過信息安全教育的人才:隨著越來越多的信息安全事件的出現,信息安全標準和實踐持續發展。安全專家需要定期更新他們的技能以便完全有能力解決新的且嚴重的信息安全威脅。
5.信息安全數據分析:收集的信息安全破壞相關的數據和其他主要安全事件的數據必須仔細的分析以便確認這些事件的關鍵特徵。大數據和分析工具的快速發展給結構化和非結構化的信息安全數據的處理提供了可能。為了使分析有價值,必須開發足夠強大的數學演演算法,性能度量指標和利用各種大數據技術的數據分析方法。
6.聯邦信息安全計劃的一致性:儘管國家信息安全框架和路線圖主要是為政府機構開發的,但是其也可以適用於私有行業。這些計劃的統一和其他聯邦標準(如聯邦信息安全管理法案)保證了所有政府機構以一致,可重複的方式來管理信息安全風險和威脅。
7.全球化的意義:因為該框架和路線圖參考全球範圍內的成熟標準和實踐,它們可以用來增加跨國界的信息安全實踐,進而提供統一和一致的信息安全結構。
8.供應鏈風險管理:隨著對供應鏈方面的信息安全管理的逐漸關注,該框架提供了一種供應鏈所有成員都可以使用的結構,特別是對於與政府機構有業務往來的機構成員。該框架可以輔助機構的業務持續性和災難恢復活動,因為其提供了一種容易理解和使用的可以適配於業務持續和災難恢復活動的計劃模型。也必須閱讀美國國家標準與技術研究院開發的一些標準特別是SP 800-53,該標準闡述了信息安全實踐。