企业安全架构体系的现状和解决方案

news2024/12/24 10:47:18

一、企业安全现状
从2016年底开始随着网络安全事件的爆发和国家层面对网络安全的重视程度,让网络安全已经上升到国家战略层面,同时网络空间已经成为领土、领海、领空和太空之外的第五空间, 是国家主权建设的新疆域。

随着中国对外开放的进一步扩大和深化,随着中国企业走出去和跨国企业的投资,从安全层 面的意义上来说企业的网络安全也已经成为第五空间的重要组成部分,但是在我多年的安全 工作中发现,很多企业尤其是国内的企业在对第五空间的意识,防护都远远落后于发达国家。这其中受到内在和外在的各方面原因都有。

本文就是在梳理企业在第五空间建设和防范中遇到的各类问题进行的汇总,同时也通过经验 给中国企业和政府在第五空间建设上发展提供方向和思路。

同时从斯诺登的棱镜门事件后也意识到网络信息安全对国家安全的重要性和价值。

二、企业现阶段面临的问题
从2017年的WannaCry病毒大面积爆发后,企业才意识到网络信息安全的重要性和价值。但在建设自身企业的网络及信息安全体系时遇到的各类问题。

2.1 安全人员的缺乏
相对于系统工程师、网络工程师、程序员、运维人员、品质保证(QA)人员等,网络安全人员的要求相对较高,需要跨多专业有比较大的知识广度。比如美国安全领域中比较知名的CISSP认证人员就需要了解法律法规、信息资产生命周期、密码学、物理安全、通讯安全、 身份安全、安全评估与测试、安全运营、软件开发安全等近十个领域的知识。

了解并能把这些知识和经验应用到实际的工作当中需要多年的安全领域工作经验才能达到。这偏偏与国内很多互联网公司的超过35岁从业人员不招收的规则相驳。

另外一点就是有经验的安全从业人员的薪资普遍较低,因为在我接触到的大多数企业中安全人员的职位往往是挂在IT部门下面,甚至是放在运维管理人员中,岗位的设定导致收入、责任不对等的情况出现。

建议:参考欧洲去年实行的GDPR里面对于数据量达到一定规模的企业需要设立DPO(Data Protect Officer),并且赋予这些DPO专员在发生重大安全事件或数据泄露的时候,可以直接向专属的政府数据安全部门进行报告。且这些DPO的工作职责是受法律保护,企业不能因对DPO的工作不满而进行解雇。

目前中国的《中华人民共和国网络安全法》已经明确企业的安全落实到人,从法律层面上已经对安全人员的责任和处罚进行了明确,但还需要对承担责任的安全人员进行一定范围的赋权,才能破除责任和权利不对等的情况。

2.2 安全资金多无实际效益产出
在接触到的很多企业中,有部分的企业一把手都表示安全产品的投入实在巨大,安全是一种奢侈品,投入和不投入对企业的经营并没有实际帮助。

从防火墙、入侵检测、杀毒软件种类繁多,更有很多商家的商业行为出了防水墙,无敌墙等夸大宣传的产品,让企业的安全投资打了水漂。

也有上市公司遇到勒索软件直接找供应商付钱解决,然后再通过合同方式将赎金支付给供应 商,并算了一笔账,假设勒索软件一年来一次,每次支付30-50万,如果在安全上面投入,每年至少不低于50万的投入,而且是长期投入,中国企业这么多不会每年都遇上。

建议:安全产品的功效检测是本文需要解决的问题,可以参考《应用型企业信息安全架构体 系》对于企业的安全意识还需要政策法规和财务监管等多种手段来进行规范。企业信息安全 专员的设立和汇报,信息披露等机制也能帮助企业建立长效的安全机制。

2.2 转嫁安全成本
很多企业会把安全上的投资转嫁给第三方公司或者个人。比如2018年HZ集团个人信息泄露最终让5亿多中国的个人数据流向海外,企业造成的问题最终承担的是由个人来承担。

2.3 安全产品的选型盲目
由于国内行业采购的特殊性以及国内企业的价值观体系,大多数安全硬件、软件厂商以和集成商通过自上而下的方式进行推广,由于决策层缺少实际的安全框架以及对产品实际了解相 对片面导致很多安全投资最后不了了之。比如很多企业领导盲目听信DLP的功能,花费了大量资金和人力去做DLP,然后在我了解的大多数DLP项目中,最后都已全体人员的反抗而最终花冤枉钱。

建议:跨国企业在建立安全线之前都会花大量的时间去调研,甚至聘请专业的安全咨询公司来进行设计。国内企业不如在建立安全基线之前,找安全咨询公司做一些了解,可以保证企业安全产品选型有明确的方向性。

2.4 安全基线建立缺乏系统性指导
这个问题同前一个问题相似,有些企业关注安全也在安全上重视,但缺乏良好的系统性的指导这个问题其实是由于前文中2.1和2.3二点延伸出来的问题。往往遇到很多公司非常重要的核心数据库没有做防护,去花了大量的资金做网络安全。

2.5 小结
对于大多数企业来说,选择有资质的安全咨询公司和资深的安全人员对企业的安全框架及安全规划做完全的梳理。

大多数情况下安全人员或安全咨询公司需要对企业的业务和数据进行梳理,然后针对企业的各自情况设计出自有的安全框架体系。同时安全人员还要紧跟法律和法规,目前很多跨国企业都在国内设立的安全部和合规部,这些职能部门都是直接向CEO、CSO、CIO进行汇报。

《信息安全等级保护管理办法》出台也是政府给企业做安全基线设立的一种意识,通过有资质的安全咨询公司对企业的安全进行梳理,从信息层面到人员意识层面都有一个良好的提升。 《应用型企业信息安全架构体系》也是帮助企业建立自己的信息安全基线。

三、如何在发展中化解矛盾
作为企业及企业家首要目标是经营企业,制造出产品或者服务,然后进行销售,赚取利润。其他的事情并不是企业所关心的,但随着企业信息化程度越高,安全的地位也越来越高,为了保证企业的安全投资得到最大的效果,信息安全建设应采用循序渐进、设立安全基线、责任落实到人这几个角度出发进行,相关的法律如互联网法和个人隐私法的出台和修改就是从法律的角度要求企业在承担自己所需要承担社会责任。

“应用型企业信息安全架构体系”适用于已经完成安全基线的建立和已经拥有实际安全负责和处理人员的情况下,针对企业安全建设的循序渐进框架。

这个框架已经被很多大型互联网公司和一些跨国企业所使用,希望这个安全框架对企业及安全从业人员在安全建设上起到帮助和借鉴。

四、应用型企业信息安全架构体系
应用型企业信息安全架构体系主要针对企业的网络、终端的信息和数据进行保护,不涉及这 些设备的物理安全。

架构体系在设计上采用所有数据可以物理连通,可疑数据深度分析,恶意行为阻断的框架体系,对企业的业务影响最小,但效果最精准的方式而进行。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/879762.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

echarts tooltip提示框加单位

效果: 1.比较简单的方法 series: [{name: "重大风险",type: "bar",data: data2,color: ExtremeRiskColor,tooltip: {valueFormatter: function (value) {return value 个;}},},{name: "较大风险",type: "bar",data: dat…

GPT垂直领域相关模型 现有的开源领域大模型

对于ToC端来说,广大群众的口味已经被ChatGPT给养叼了,市场基本上被ChatGPT吃的干干净净。虽然国内大厂在紧追不舍,但目前绝大多数都还在实行内测机制,大概率是不会广泛开放的(毕竟,各大厂还是主盯ToB、ToG市…

实例038 设置窗体在屏幕中的位置

实例说明 在窗体中可以设置窗体居中显示,本例通过设置窗体的Left属性和Top属性可以准确设置窗体的位置。运行本例,效果如图1.38所示。 技术要点 设置窗体在屏幕中的位置,可以通过设置窗体的属性来实现。窗体的Left属性表示窗体距屏幕左侧的…

问题:【IntelliJ IDEA】解决idea自动声明变量加finall修饰符问题

问题:【IntelliJ IDEA】解决idea自动声明变量加finall修饰符问题 场景复现 1 new String() 2 快捷方式生成变量 final修饰的 final String s new String();步骤一:确保settings配置信息 settings-----》Editor------》Code Style--------》java下的这两个选项不…

通过TightVNC远程访问MacOS

目录 一、下载 TightVNC 下载链接:https://www.tightvnc.com/ 下载后按步骤进行安装,安装完成后安装目录如下: 运行 tvnviewer.exe,输入远程 IP,点击【connect】: 输入密码,点击【OK】后即可远…

Android布局【TableLayout】

文章目录 说明常见属性子控件设置属性 项目结构主要代码 说明 TableLayout也称为表格布局 常见属性 android:collapseColumns:设置需要被隐藏的列的序列号,从0开始android:stretchColumns:设置允许被拉伸的列的列序号,从0开始&…

数据结构算法--2 冒泡排序,选择排序,插入排序

基础排序算法 冒泡排序 思想就是将相邻元素两两比较,当一个元素大于右侧相邻元素时,交换他们的位置,小于右侧元素时,位置不变,最终序列中的最大元素,像气泡一样,到了最右侧。 这时冒泡排序第一…

vulnhub靶场之ADROIT: 1.0.1

准备: 攻击机:虚拟机kali、本机win10。 靶机:Adroit: 1.0.1,下载地址:https://download.vulnhub.com/adroit/Adroit-v1.0.1.ova,下载后直接vbox打开即可。 知识点:shell反弹(jar&…

接口自动化必备技能——jmeter提取token方式以及设置成全局变量(跨线程组传token值)方式

前言 今天Darren洋教大家如何使用jmeter中的插件来进行token值的提取与调用,今天Darren洋介绍两种jmeter提取token值的方式,一种是在当前线程组中直接提取token值,一种是跨线程组的方式进行token值的提取并调用给不同线程组里的HTTP接口使用。…

LeetCode算法递归类—平衡二叉树

目录 110. 平衡二叉树 题解: 运行结果: 优化版1: 运行结果: 给定一个二叉树,判断它是否是高度平衡的二叉树。 本题中,一棵高度平衡二叉树定义为: 一个二叉树每个节点 的左右两个子树的高度…

基于Bsdiff差分算法的汽车OTA升级技术研究(学习)

摘要 针对汽车OTA整包升级时,用户下载时间长,升级时间长,设备服务器端压力大等问题,本文提出了一种基于Bsdiff差分算法的汽车OTA升级技术。该算法能够对比新旧版本的差异,进行差分文件下载,减少软件包的下…

bat批处理启动jar包

echo off title “gwjy_sc(86)” java -jar -Xms512m -Xmx1024m -XX:MaxNewSize512m -XX:MaxPermSize512m gwjy_sc.jar --spring.config.localapplication.yml exit

Spring Bean的作用域和生命周期

文章目录 1. Bean的作用域2. Spring的生命周期3. Bean的生命周期4. 相关注解总结 1. Bean的作用域 Bean 的作用域指的是 Bean 在 Spring 容器中的行为(Bean 实例创建及生命周期),它的行为是由 Spring 来管理的,可以根据具体情况选…

urllib爬虫模块

urllib爬取数据 import urllib.request as request# 定义url url "https://www.baidu.com" #模拟浏览器发起请求获取响应对象 response request.urlopen(url)""" read方法返回的是字节形式的二进制数据 二进制--》字符串 解码 decode( 编码的格式…

基于粒子群改进深度信念网络的回归分析,基于PSO-DBN的回归分析

目录 背影 DBN神经网络的原理 DBN神经网络的定义 受限玻尔兹曼机(RBM) 粒子群算法的原理 DBN的粒子群改进深度信念网络的回归分析 基本结构 主要参数 数据 MATALB代码 结果图 展望 背影 DBN是一种深度学习神经网络,拥有提取特征,非监督学习的能力,是一种非常好的分类算…

猿辅导《暑假一本通》:28天科学规划,帮助孩子保持学习状态

一直以来,有效利用寒、暑假期查漏补缺、解决偏科问题、初步养成好的自主学习习惯等是很多家长对学生的期望。但当前市面上教辅品类繁多,内容质量却参差不齐。据北京开卷统计数据显示,2022年前三季度零售市场上的教辅图书超过8000种&#xff0…

[NDK]从Opengles到Vulkan-基础篇(9)-视口相关

关于绘制调用的流程 我们可以看到整个流程步骤 1 光栅化2 裁剪测试3 多重采样4 深度测试5 模板测试6 混合7 抖动8 输出帧数据 这一节会涉及到裁剪测试 ##关于视口 我们需要先了解以下四个概念 1.屏幕:即计算机的整个屏幕大小。 2.窗口:即屏幕中的某一个窗口,可放大缩小和移…

通讯商二要素Api接口验证真伪

随着互联网的普及和各种社交平台、电商平台、金融平台的发展,许多业务都需要用户进行实名认证,这也就涉及到了手机号码和姓名的验证问题。为了解决这个问题,现在有很多运营商提供的二要素API接口能够进行手机号码和姓名的验证,本文…

使用Pandas进行数据清理的入门示例

数据清理是数据分析过程中的关键步骤,它涉及识别缺失值、重复行、异常值和不正确的数据类型。获得干净可靠的数据对于准确的分析和建模非常重要。 本文将介绍以下6个经常使用的数据清理操作: 检查缺失值、检查重复行、处理离群值、检查所有列的数据类型…

Qt打包程序 windeployqt

Qt Creator运行直接生成的可执行性程序不能直接使用,原因是缺少依赖库。直接运行会报错: 为可执行文件添加图标 为可执行文件添加 icon 图标的方法很简单,将事先准备好的 icon 图标拷贝到程序对应的文件夹中,然后在 pro 工程文…