论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
 文章标题 : 互普威盾:信息安全不应打无准备之仗
帖子发表于 : 2014-12-09 14:08 
离线
初级用户

注册: 2012-06-15 08:46
最近: 2015-01-13 17:18
拥有: 106.00 安全币

奖励: 0 安全币
在线: 193 点
帖子: 41
摘要: 如果安全人员不理解企业数据的真正价值,就很难真正理解企业面临的真正威胁,也就无法真正理解企业的安全计划、安全过程和程序是否真正有效。信息安全,也是选择威盾的企业用户的共识。


如果安全人员不理解企业数据的真正价值,就很难真正理解企业面临的真正威胁,也就无法真正理解企业的安全计划、安全过程和程序是否真正有效。


安全人员的任务可能非常艰巨:从诸多担心、不确定因素和似是而非的问题中抽丝剥茧,评估不同的风险状态和这些风险在企业发生的可能性。互普威盾使用了事前、事中、事后全面审计和控制,使用必要的技术使这些风险最小化。


专注于数据



许多企业花费了太多时间用于工具,而对于数据的重视程度却远远不够。与数据相比,技术相对简单。更困难的问题是理解数据,因为大楼、LAN、主机无法限制数据。


无论IT专业人员还是一般的业务专业人士都需要认识到企业需要部署控制和保护,以跟踪数据的流向和目的地。企业很容易在这方面犯错误。当今的企业需要保护信息的基础架构。


但这仅仅是关于数据与技术的第一项措施。多数公司往往并不清楚威胁。许多企业发现,要证明“把钱花在不一定发生的潜在威胁上是合适的”非常困难。情况往往是只有在发生了危害后,企业才开始重新评估其安全策略。而根据威盾用户调查者报告,往往大企业更加重视数据安全。


风险的概念



从何处开始呢?要描绘企业信息风险的概况,安全管理者应从确认所有的关键业务过程及其工作方式开始。谁都无法保护并不了解的资产。安全管理者应调查企业的逻辑和物理资产,无论是数据、技术、人员还是过程,都必须包括在内。


安全管理员应与拥有这些过程涉及的人员交流,发现他们的风险要求和感受水平。例如,风险在何种情况下会产生危害?企业的敏感点(痛点)在哪里?是效率还是可用性?亦或是资产自身?这些痛点在不同的企业之间是不同的。


这个过程的一部分就是要理解企业所面临的不同风险状况。在这些状况中,哪些是真正可能发生的?安全管理者应关注哪些?如何应对这些状况,在哪一点上开始对付这种状况?由此,安全管理者才可以部署控制、功能、框架、过程、方法、人员进行应对。


企业需要一种信息管理策略,以帮助企业更好地确定和实施安全策略和过程。我们不妨将信息管理策略定义为:为了管理在企业中存在和流动的信息,企业将有益于公司的方法、策略、过程建立起来的一种集合。这种策略可以管理和监视数据。


信息管理与评估风险和决定适当的安全水平同样重要。


但管理信息远远不是通过技术保护信息那样简单。在安全问题上的策略和知识管理必须利用教育、培训等要素。


不仅仅是技术



在确认了适当的风险状况和理解了风险要求后,还要考虑到随着时间的推移,问题会发生变化。企业的风险要求需要重新调整。威盾产品根据用户需求自由组合模块,实现产品功能DIY配置,并且提供维保期内免费变更一次模块的机会,更加贴合用户诉求。


安全管理员需要讲求实效,并更现实地认识这些风险。


在准备好策略、过程、工具后,评估其效能就要求企业具有安全实践和过程的专业知识,并理解公司的内部程序。这种评估可通过内部的专业人员或外部的审计人员实施。


当然,问题是,企业要理解这些过程,从而保证其内部安全策略的相关性和最新。安全是一个不断演变的问题,它不可一蹴而就,而是应当经常评估和修订,以应对不断变化的威胁。对于多数企业来说,这有可能是最大的困难。而威盾从07年就推出的模块化设计,轻易地解决了用户难题。


如何评估


有专家建议在如下方面评估企业的安全准备水平,或评估当前状态与目标状态的差距:


1.安全文化。评估企业在安全意识培训中是否使用多种方法。

(文档透明加密V15)


2.审计问题。评估企业是否将安全问题包含在项目计划和变更管理过程中。

(浏览流量V04模块、网络控制V10、移动存储V14)


3.合规管理。评估企业是否为合规管理过程明确地规定了责任和义务。

(邮件监控V11、打印控制V06、设备控制V09


4.策略和过程管理。评估企业将物理安全整合到其它过程的程度。

(应用程序V02模块、即时通讯V12)


5.事件管理。评估企业的事件监视是否包括了所有的安全方面。

(浏览网站V03模块、文档操作记录V05、远程维护V08)


6.风险分析。评估企业是否将风险分析的结果明确地传达给所有重大项目的项目团队。

(基本策略V01)


7.漏洞管理。评估企业用安全策略和过程审计是否合规的频率。

(资产管理V13、屏幕监控V07)

互普威盾内网安全管理产品,能够帮助企业网络管理人员提升整个企业的安全级别,统一管理,对于企业管理层,能够方便的审计员工的项目流程,监督危险事件的发生,对于不同的人员采用不同的安全策略,对安全事件第一时间做警告,把企业的风险降低到最少,合理的漏洞管理,好过没有安全意识导致的亡羊补牢,互普威盾帮你在事前、事中、事后,全方位立体管理防护 。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 互普威盾:信息安全不应打无准备之仗
帖子发表于 : 2014-12-10 21:47 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
话说你们这都谁抄谁呀,软文也抄,能别这么敷衍么~
http://weibo.com/p/23041873c18de60102vagw


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 互普威盾:信息安全不应打无准备之仗
帖子发表于 : 2014-12-11 16:26 
离线
初级用户

注册: 2012-08-24 11:29
最近: 2016-06-02 14:59
拥有: 41.00 安全币

奖励: 0 安全币
在线: 1529 点
帖子: 46
:lol:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 互普威盾:信息安全不应打无准备之仗
帖子发表于 : 2015-01-13 17:18 
离线
初级用户

注册: 2012-06-15 08:46
最近: 2015-01-13 17:18
拥有: 106.00 安全币

奖励: 0 安全币
在线: 193 点
帖子: 41
5023749 写道:
话说你们这都谁抄谁呀,软文也抄,能别这么敷衍么~
http://weibo.com/p/23041873c18de60102vagw

你发现相同的怎么就觉得是我们抄袭呢?同行之间不仅抄袭还要诽谤?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012