亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        企業(yè)網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素研究

        2019-09-30 01:16:49鐘劍
        網(wǎng)絡(luò)空間安全 2019年4期
        關(guān)鍵詞:關(guān)鍵因素企業(yè)

        鐘劍

        摘要:隨著網(wǎng)絡(luò)安全事件帶來(lái)的損失越來(lái)越大,企業(yè)的網(wǎng)絡(luò)安全建設(shè)顯得更加重要。文章從頂層設(shè)計(jì)的角度出發(fā),提出企業(yè)網(wǎng)絡(luò)安全建設(shè)關(guān)鍵因素,并給出相應(yīng)的解決辦法。研究表明,網(wǎng)絡(luò)安全各要素之間是相互聯(lián)系、相互影響的,在建設(shè)中應(yīng)該根據(jù)企業(yè)實(shí)際,優(yōu)先解決重要的問(wèn)題。

        關(guān)鍵詞:網(wǎng)絡(luò)安全建設(shè);關(guān)鍵因素;企業(yè)

        中圖分類(lèi)號(hào):TN915.08????????? 文獻(xiàn)標(biāo)識(shí)碼:A

        1 引言

        網(wǎng)絡(luò)安全是信息系統(tǒng)健康、連續(xù)運(yùn)行的重要保障,隨著信息化的發(fā)展,網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,造成的損失也越來(lái)越大。為了“建立健全網(wǎng)絡(luò)安全保障體系,有力地促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展”,國(guó)務(wù)院于2012年出臺(tái)了《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障網(wǎng)絡(luò)安全的若干意見(jiàn)》,從多個(gè)方面對(duì)我國(guó)網(wǎng)絡(luò)安全建設(shè)進(jìn)行了指導(dǎo)[1]。

        通常來(lái)說(shuō),網(wǎng)絡(luò)安全主要面臨的是來(lái)自?xún)?nèi)部和外部的、有意識(shí)和無(wú)意識(shí)的破壞。網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)的工程,涉及到組織管理、技術(shù)、經(jīng)費(fèi)、人才、法律等方面。多年以來(lái),企業(yè)網(wǎng)絡(luò)安全的工作重點(diǎn)都是放在技術(shù)方面,研究開(kāi)發(fā)了大量的新技術(shù)、硬件等,但很少有能從頂層設(shè)計(jì)來(lái)進(jìn)行研究判斷的,或者只是籠統(tǒng)地給出了一些建議,并沒(méi)有指出哪些是建設(shè)的重點(diǎn)。實(shí)際上,大多數(shù)企業(yè)工作人員并不了解哪些是應(yīng)該要著重解決的,因此往往是整體抓,什么都做,又力不從心,造成了投入巨大而收效甚微的局面。本文從頂層設(shè)計(jì)的角度出發(fā),詳細(xì)地論述了企業(yè)網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素,并對(duì)其重要性和相互之間的影響做出分析,為企業(yè)提供參考。

        2 研究現(xiàn)狀

        目前,針對(duì)網(wǎng)絡(luò)安全建設(shè)中關(guān)鍵因素的研究較少,文獻(xiàn)[1]把ISO/IEC27001的網(wǎng)絡(luò)安全體系和國(guó)家電網(wǎng)現(xiàn)有體系進(jìn)行了比較分析,給出了電網(wǎng)網(wǎng)絡(luò)安全建設(shè)的建議[2];文獻(xiàn)[3]在對(duì)128個(gè)國(guó)家9300名的管理人員進(jìn)行調(diào)查后,得出了17個(gè)方面的結(jié)論,其中在亞洲地區(qū),網(wǎng)絡(luò)安全工作人員更希望能夠增加網(wǎng)絡(luò)安全預(yù)算,企業(yè)比較重視注重網(wǎng)絡(luò)安全設(shè)施的同步規(guī)劃、同步建設(shè)、同步運(yùn)行以及移動(dòng)設(shè)備和云安全。

        從實(shí)際的情況看,在網(wǎng)絡(luò)安全的建設(shè)過(guò)程中,企業(yè)希望能夠根據(jù)自身的情況進(jìn)行防護(hù),網(wǎng)絡(luò)安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估是最有效的辦法。如前文所述,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)化的工程,里面包含有諸多因素,把關(guān)鍵因素提取出來(lái),能夠使得企業(yè)集中現(xiàn)有精力解決最主要的問(wèn)題,根據(jù)實(shí)際情況在后續(xù)的過(guò)程中逐漸改進(jìn),從而可以避免多頭建設(shè)、輕重不分的情況。

        根據(jù)沈昌祥院士在第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流主題會(huì)上提出的觀點(diǎn),我國(guó)網(wǎng)絡(luò)安全保障體系應(yīng)包含六個(gè)體系:組織管理體系、法律保障體系、技術(shù)保障體系、基礎(chǔ)設(shè)施保障體系、經(jīng)費(fèi)保障體系、人才培養(yǎng)體系[4]。對(duì)于一個(gè)企業(yè)來(lái)說(shuō),這也是有著重要的參考意義的。根據(jù)實(shí)際的經(jīng)驗(yàn),要想做好這六個(gè)方面的工作,其實(shí)并不容易,尤其是在一些企業(yè)中,人力和經(jīng)費(fèi)都得不到充分的保證,而且網(wǎng)絡(luò)安全建設(shè)在每一個(gè)企業(yè)的情況都不相同,這使得網(wǎng)絡(luò)安全的建設(shè)標(biāo)準(zhǔn)在實(shí)施中困難重重,往往使得工作人員無(wú)所適從。為了對(duì)我國(guó)西部地區(qū)網(wǎng)絡(luò)安全保障工作體系建設(shè)現(xiàn)狀進(jìn)行調(diào)查,工信部網(wǎng)絡(luò)安全協(xié)調(diào)司于2013年組織了針對(duì)此現(xiàn)狀的調(diào)查,并形成了調(diào)查報(bào)告。報(bào)告中,總結(jié)并采用了36個(gè)指標(biāo)對(duì)西部地區(qū)網(wǎng)絡(luò)安全保障工作體系進(jìn)行描述[5]。本文根據(jù)西部地區(qū)報(bào)告的指標(biāo)進(jìn)行提煉,得到幾個(gè)在網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素:組織管理機(jī)構(gòu)、網(wǎng)絡(luò)安全發(fā)展規(guī)劃、教育培訓(xùn)、經(jīng)費(fèi)預(yù)算、網(wǎng)絡(luò)安全制度和規(guī)范。

        本文主要研究網(wǎng)絡(luò)安全建設(shè)過(guò)程中的關(guān)鍵因素,同時(shí)指出各因素對(duì)網(wǎng)絡(luò)安全整體建設(shè)的影響和他們之間的相互關(guān)系,幫助網(wǎng)絡(luò)安全工作人員更好地了解網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵問(wèn)題,幫助企業(yè)做出決策。

        3 網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素

        3.1 組織管理機(jī)構(gòu)

        組織管理機(jī)構(gòu)是一個(gè)企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)和核心。在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中,管理才是最重要的措施。一般來(lái)說(shuō),按照國(guó)家要求,重點(diǎn)領(lǐng)域內(nèi)的政府機(jī)構(gòu)和企業(yè)都需要有一個(gè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組工作的好與壞,直接決定了該企業(yè)網(wǎng)絡(luò)安全建設(shè)的好與壞。如圖1所示,顯示了組織管理機(jī)構(gòu)對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)和其他因素的影響。

        作為一個(gè)有效的組織管理機(jī)構(gòu),首先應(yīng)該要得到企業(yè)的任命,如果機(jī)構(gòu)的工作職責(zé)沒(méi)有得到確認(rèn),員工對(duì)其工作就不理解和認(rèn)同,從而使得下一步的工作困難重重。其次,為了明確組織管理機(jī)構(gòu)的職責(zé),書(shū)面形式的文檔是必須的,在ISO 17799中,有書(shū)面文檔是首先要進(jìn)行的第一項(xiàng)重要內(nèi)容。書(shū)面文檔不應(yīng)該僅僅定義組織管理機(jī)構(gòu)的工作內(nèi)容,對(duì)責(zé)任也應(yīng)該有所涉及,針對(duì)不同的用戶(hù)組進(jìn)行不同的行為管理,對(duì)文檔的編寫(xiě)、升級(jí)、管理維護(hù)人員也都有明確的規(guī)定。這樣,才能夠使得企業(yè)的網(wǎng)絡(luò)安全組織管理機(jī)構(gòu)運(yùn)行規(guī)范、效率,而不是僅僅在發(fā)生網(wǎng)絡(luò)安全事件以后才采取相應(yīng)的措施。例如,對(duì)于網(wǎng)絡(luò)安全的處罰,先制定好違規(guī)行為和處罰規(guī)定,在發(fā)生網(wǎng)絡(luò)安全事件并對(duì)職工進(jìn)行處罰時(shí),就不會(huì)顯得毫無(wú)依據(jù),而且也十分有利于執(zhí)行內(nèi)部和外部的安全審計(jì)。

        一般來(lái)說(shuō),想要做好企業(yè)的網(wǎng)絡(luò)安全組織管理工作,應(yīng)該優(yōu)先考慮從幾個(gè)方面進(jìn)行。

        (1)組織管理機(jī)構(gòu)對(duì)于企業(yè)的網(wǎng)絡(luò)安全建設(shè)有一個(gè)全局的策略。有專(zhuān)職的網(wǎng)絡(luò)安全工作人員并能定期向CEO、CFO、COO等企業(yè)領(lǐng)導(dǎo)成員匯報(bào)網(wǎng)絡(luò)安全概況;有網(wǎng)絡(luò)安全工作計(jì)劃并能及時(shí)回顧上一個(gè)工作期的工作落實(shí)情況,能確切地了解在企業(yè)內(nèi)部和企業(yè)外部發(fā)生的網(wǎng)絡(luò)安全事件,以便針對(duì)企業(yè)現(xiàn)狀做出適當(dāng)?shù)墓ぷ饔?jì)劃調(diào)整。以“震網(wǎng)”事件為例,每一個(gè)基礎(chǔ)設(shè)施管理部門(mén)的網(wǎng)絡(luò)安全工作人員都應(yīng)該對(duì)其有深入的了解,包括病毒攻擊的渠道、攻擊途徑、防護(hù)措施等。

        (2)把網(wǎng)絡(luò)安全支出作為信息系統(tǒng)建設(shè)成本和企業(yè)項(xiàng)目建設(shè)的一部分。在信息系統(tǒng)建設(shè)的初期,對(duì)網(wǎng)絡(luò)安全采取同步規(guī)劃、同步建設(shè)、同步運(yùn)行的措施,以確保系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。隨著企業(yè)信息化建設(shè)的逐步推進(jìn),安全防護(hù)設(shè)施的“三同步”顯得尤為重要,在信息系統(tǒng)設(shè)計(jì)的時(shí)候沒(méi)有考慮安全設(shè)施的同步規(guī)劃,將會(huì)導(dǎo)致信息系統(tǒng)建成即有缺陷,建設(shè)完成后帶著安全隱患運(yùn)行。根據(jù)實(shí)際經(jīng)驗(yàn),后期再進(jìn)行整改的投入往往較大,技術(shù)難度也更高。

        (3)建立規(guī)范的考核制度,對(duì)組織管理機(jī)構(gòu)人員的工作進(jìn)行評(píng)價(jià),幫助企業(yè)更好地了解組織管理機(jī)構(gòu)人員的實(shí)際工作情況,從而為員工制定能力發(fā)展計(jì)劃提供依據(jù)。

        3.2 網(wǎng)絡(luò)安全發(fā)展規(guī)劃

        制定企業(yè)的網(wǎng)絡(luò)安全發(fā)展規(guī)劃是網(wǎng)絡(luò)安全工作人員的責(zé)任,需要所有企業(yè)人員的配合、支持和參與,因?yàn)榫W(wǎng)絡(luò)安全的發(fā)展規(guī)劃與企業(yè)的發(fā)展規(guī)劃息息相關(guān),所以應(yīng)該保持其與企業(yè)發(fā)展目標(biāo)的一致性,確保網(wǎng)絡(luò)安全始終為企業(yè)的發(fā)展服務(wù)。圖2為網(wǎng)絡(luò)安全發(fā)展規(guī)劃所涉及的幾個(gè)方面內(nèi)容。

        “凡事預(yù)則立不預(yù)則廢”。在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中,進(jìn)行規(guī)劃是一件很重要的事情,因?yàn)樗_定了未來(lái)幾年的工作方向和重點(diǎn),以及所采取的網(wǎng)絡(luò)安全策略。文獻(xiàn)[6]指出:在系統(tǒng)設(shè)計(jì)階段就應(yīng)該考慮部署網(wǎng)絡(luò)安全的策略和方法,并且要根據(jù)設(shè)備的負(fù)載能力等來(lái)進(jìn)行適當(dāng)?shù)恼{(diào)整,在執(zhí)行部署時(shí),應(yīng)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。同時(shí),對(duì)于大多數(shù)企業(yè)來(lái)說(shuō),這意味著一種企業(yè)文化上的轉(zhuǎn)變,這種轉(zhuǎn)變是長(zhǎng)期的,而且見(jiàn)效緩慢,因此在一開(kāi)始就制定好適合企業(yè)的網(wǎng)絡(luò)安全發(fā)展規(guī)劃和支持活動(dòng),將會(huì)使得以后的網(wǎng)絡(luò)安全工作遇到的障礙明顯地減少。制定企業(yè)網(wǎng)絡(luò)安全發(fā)展規(guī)劃,要注意把握三個(gè)方面的工作。

        (1)保持網(wǎng)絡(luò)安全目標(biāo)與企業(yè)目標(biāo)的一致性。舉例來(lái)說(shuō),網(wǎng)絡(luò)安全建設(shè)成本應(yīng)該是小于所保護(hù)目標(biāo)的價(jià)值,不然網(wǎng)絡(luò)安全的建設(shè)將毫無(wú)意義。根據(jù)目標(biāo)的價(jià)值、重要程度來(lái)采取不同水平的控制措施,既能夠最大化地保障企業(yè)網(wǎng)絡(luò)安全的利益,對(duì)員工的日常工作影響也將明顯地減少。還有要注意的就是,在制定網(wǎng)絡(luò)安全策略時(shí),必須要與技術(shù)人員進(jìn)行充分交流,保證企業(yè)業(yè)務(wù)的可靠性、整體性、可用性,因此要確保技術(shù)人員的特殊要求能夠在網(wǎng)絡(luò)安全策略里被優(yōu)先得到滿(mǎn)足。

        (2)制定多種計(jì)劃,包括災(zāi)備恢復(fù)、應(yīng)急響應(yīng)、操作計(jì)劃、評(píng)估計(jì)劃等,這些工作都需要必要的硬件設(shè)施作為基礎(chǔ),因此要搭建硬件環(huán)境,并估算設(shè)備的承載能力和功能設(shè)計(jì)與實(shí)際需求的差別,選擇一個(gè)最合適的方案。

        (3)對(duì)用戶(hù)采取有效的控制計(jì)劃。根據(jù)職工所在部門(mén)采取劃分不同用戶(hù)組的辦法,對(duì)于企業(yè)核心信息了解得越多的用戶(hù),其所采用的行為控制應(yīng)該越嚴(yán)格。在保證商業(yè)連續(xù)性的條件下,對(duì)企業(yè)其他員工的活動(dòng)采取適當(dāng)控制,例如內(nèi)部控制、監(jiān)測(cè)控制、預(yù)防控制、校正控制等,同時(shí)為企業(yè)信息搭建合適的控制環(huán)境,例如分級(jí)管理、認(rèn)證與接入控制、通信與操作管理等。

        3.3 教育培訓(xùn)

        網(wǎng)絡(luò)安全教育技能培訓(xùn)的重要性一直都是國(guó)際社會(huì)在網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)關(guān)注目標(biāo)。以美國(guó)為例,其發(fā)布的《網(wǎng)絡(luò)空間安全戰(zhàn)略》就明確提出了要求加強(qiáng)“網(wǎng)絡(luò)教育和勞動(dòng)力發(fā)展培訓(xùn)”,而2009年奧巴馬公布的《網(wǎng)絡(luò)空間政策評(píng)估—保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》報(bào)告中,也要求“提升公眾的網(wǎng)絡(luò)安全意識(shí),加強(qiáng)網(wǎng)絡(luò)安全教育”。

        多年以來(lái),在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中一直都存在“重技術(shù),輕管理”的現(xiàn)象,大部分工作人員安全意識(shí)淡薄,基本沒(méi)有經(jīng)過(guò)系統(tǒng)的網(wǎng)絡(luò)安全意識(shí)和教育培訓(xùn),對(duì)網(wǎng)絡(luò)安全一知半解。而在實(shí)際的情況中,80%以上的成功入侵都是利用了人的無(wú)知、麻痹和懶惰,對(duì)安全策略知之甚少的企業(yè)。因?yàn)閱T工個(gè)人問(wèn)題而存在網(wǎng)絡(luò)安全漏洞的比例高達(dá)93%,這些漏洞包括網(wǎng)絡(luò)安全工作人員技術(shù)實(shí)力達(dá)不到要求、員工不重視網(wǎng)絡(luò)安全、對(duì)公司知識(shí)產(chǎn)權(quán)沒(méi)有保護(hù)意識(shí)等,而36%最嚴(yán)重的網(wǎng)絡(luò)安全事件都是由于人員疏忽而造成的[7]。

        2018年8月,華住集團(tuán)發(fā)生一起嚴(yán)重的酒店客戶(hù)數(shù)據(jù)泄露事件。犯罪嫌疑人竊取了華住旗下酒店的用戶(hù)數(shù)據(jù)并將其掛在境外網(wǎng)站上出售,后來(lái)經(jīng)過(guò)技術(shù)人員對(duì)日志進(jìn)行審計(jì)和分析,發(fā)現(xiàn)華住集團(tuán)技術(shù)人員存在著低級(jí)管理問(wèn)題,使用了非常簡(jiǎn)單的超級(jí)管理員賬號(hào)密碼。2018年9月,烏克蘭武裝部隊(duì)某個(gè)自動(dòng)化控制系統(tǒng)服務(wù)器被研究人員發(fā)現(xiàn)存在大量的弱密碼,上報(bào)以后,上級(jí)部門(mén)并沒(méi)有將該問(wèn)題進(jìn)行解決,后來(lái)該研究人員經(jīng)過(guò)簡(jiǎn)單的滲透測(cè)試,甚至入侵到了國(guó)防部網(wǎng)絡(luò),他們驚訝地發(fā)現(xiàn)國(guó)防部部分網(wǎng)絡(luò)是沒(méi)有密碼的,而在其將問(wèn)題再次上報(bào)以后的4個(gè)月時(shí)間內(nèi),訪(fǎng)問(wèn)烏克蘭國(guó)防部部分服務(wù)器和計(jì)算機(jī)的密碼一直沒(méi)有更改。

        人是網(wǎng)絡(luò)安全技術(shù)的載體,隨著信息技術(shù)的發(fā)展,黑客的技術(shù)也在不斷進(jìn)步,現(xiàn)階段攻擊的特點(diǎn)是:攻擊成本低,實(shí)現(xiàn)簡(jiǎn)單,造成的損失逐漸加大。根據(jù)調(diào)查,對(duì)自己企業(yè)網(wǎng)絡(luò)安全有信心的人員比例每年都在下降[7],因?yàn)楣艏夹g(shù)無(wú)時(shí)無(wú)刻不在發(fā)展,如不加強(qiáng)學(xué)習(xí),幾年后技術(shù)人員將會(huì)發(fā)現(xiàn)自己對(duì)網(wǎng)絡(luò)安全新知識(shí)一無(wú)所知,無(wú)能為力。圖3顯示了缺乏網(wǎng)絡(luò)安全教育培訓(xùn)所引發(fā)的一系列影響。

        對(duì)于企業(yè)來(lái)說(shuō),想要做好網(wǎng)絡(luò)安全教育培訓(xùn)工作,可以從三個(gè)方面進(jìn)行。

        (1)新員工的入職培訓(xùn),包括網(wǎng)絡(luò)安全技能培訓(xùn)和意識(shí)培訓(xùn),幫助其熟悉企業(yè)現(xiàn)階段所采取的網(wǎng)絡(luò)安全策略、重要的信息資產(chǎn)、網(wǎng)絡(luò)安全有關(guān)管理等;老員工的技能培訓(xùn),包括操作系統(tǒng)的安全配置、安全設(shè)備的設(shè)置、網(wǎng)絡(luò)設(shè)備的安全配置、設(shè)置訪(fǎng)問(wèn)控制策略等。在設(shè)備方面,有研究指出,沒(méi)有經(jīng)過(guò)正確配置的安全設(shè)備有時(shí)反而會(huì)減弱企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力[8]。

        (2)對(duì)于沒(méi)有組織過(guò)技能培訓(xùn)和意識(shí)培訓(xùn)的企業(yè),可以考慮組織一次全員的系統(tǒng)培訓(xùn),這樣做的效果是相當(dāng)明顯的。實(shí)際工作證明,派遣人員參加過(guò)網(wǎng)絡(luò)安全培訓(xùn)的企業(yè)比沒(méi)有參加過(guò)任何培訓(xùn)的企業(yè),在系統(tǒng)防護(hù)能力上更勝一籌,并且參加培訓(xùn)的人員等級(jí)越高,效果越明顯。

        (3)組織管理機(jī)構(gòu)成員要進(jìn)一步加強(qiáng)對(duì)企業(yè)的認(rèn)知,而不是僅僅將重點(diǎn)放在網(wǎng)絡(luò)安全技術(shù)上。鑒于每一家企業(yè)的特殊性,照搬其他企業(yè)或機(jī)構(gòu)的做法是不明智的,從企業(yè)本身出發(fā)才能更好地從整體上考慮建設(shè)的問(wèn)題。而這些出發(fā)點(diǎn)包括企業(yè)的資金預(yù)算、資產(chǎn)價(jià)值、重點(diǎn)保護(hù)的資產(chǎn)、現(xiàn)有防護(hù)能力、現(xiàn)有設(shè)備、當(dāng)前采用的策略、企業(yè)下一步的發(fā)展重點(diǎn)等。

        3.4 經(jīng)費(fèi)預(yù)算

        經(jīng)費(fèi)是網(wǎng)絡(luò)安全建設(shè)的保障,在企業(yè)里,隨著近年來(lái)設(shè)備投入和人員花費(fèi)的逐漸提高,政策制定者和研究者逐漸開(kāi)始對(duì)網(wǎng)絡(luò)安全的經(jīng)費(fèi)支出表現(xiàn)出加大的關(guān)注。如圖4所示,網(wǎng)絡(luò)安全經(jīng)費(fèi)包含了幾個(gè)方面的支出。

        隨著黑客能力的提升,網(wǎng)絡(luò)安全事件造成的損失逐年上升,具有攻擊成本低、實(shí)現(xiàn)簡(jiǎn)單、防御難度大、成本高的特點(diǎn)。

        由于缺少網(wǎng)絡(luò)安全經(jīng)費(fèi),設(shè)備和系統(tǒng)的改造、升級(jí)、購(gòu)置、維護(hù)等沒(méi)有保證,有些企業(yè)的安全設(shè)備一用就是十幾年,設(shè)備已遠(yuǎn)遠(yuǎn)跟不上需求。在這些企業(yè)里,往往都是靠技術(shù)人員自身的技術(shù)實(shí)力來(lái)進(jìn)行網(wǎng)絡(luò)安全防護(hù),但由于缺乏經(jīng)費(fèi),導(dǎo)致人員缺乏網(wǎng)絡(luò)安全培訓(xùn),技能沒(méi)有得到提升,不能及時(shí)發(fā)現(xiàn)和解決現(xiàn)有問(wèn)題,也造成了對(duì)自己網(wǎng)絡(luò)安全能力有信心的人員比例每年都在下降。為了解決這一問(wèn)題,可以從兩個(gè)方面考慮。

        (1)根據(jù)防護(hù)目標(biāo)的價(jià)值來(lái)選擇網(wǎng)絡(luò)安全花費(fèi),根據(jù)系統(tǒng)的功能來(lái)選擇重點(diǎn)需要防護(hù)的要害部位,根據(jù)人員情況選擇培訓(xùn)的重點(diǎn)。

        (2)用宏觀經(jīng)濟(jì)學(xué)和工商管理的理論方法來(lái)分析網(wǎng)絡(luò)安全領(lǐng)域的經(jīng)費(fèi)投入問(wèn)題。一般來(lái)說(shuō),企業(yè)在經(jīng)費(fèi)方面所面臨的問(wèn)題往往都是:到底要投入多少才夠?文獻(xiàn)[9]提供了一種經(jīng)典的成本評(píng)價(jià)和決策規(guī)則來(lái)進(jìn)行分析的方法—凈現(xiàn)值模型分法(Net Present Value)。當(dāng)涉及到經(jīng)費(fèi)問(wèn)題時(shí),可以先取得網(wǎng)絡(luò)安全建設(shè)的量化期望,因?yàn)榱炕诰W(wǎng)絡(luò)安全建設(shè)上會(huì)顯得更精確、更客觀和有對(duì)比性。本文3.1的第二條建議也指出,應(yīng)該要把網(wǎng)絡(luò)安全技術(shù)支出作為項(xiàng)目成本分析的一部分,并且從投資的角度來(lái)考慮這個(gè)問(wèn)題,而量化是進(jìn)行計(jì)算和統(tǒng)計(jì)分析的基礎(chǔ)。通常來(lái)說(shuō),網(wǎng)絡(luò)安全預(yù)算占到信息化建設(shè)預(yù)算的10%是比較合理的。

        3.5 網(wǎng)絡(luò)安全制度和規(guī)范

        對(duì)于一個(gè)有效的網(wǎng)絡(luò)安全管理來(lái)說(shuō),制度和規(guī)范是必不可少的,它涵蓋了網(wǎng)絡(luò)安全建設(shè)的方方面面。隨著信息技術(shù)的發(fā)展,因特網(wǎng)、云服務(wù)、網(wǎng)絡(luò)之間的互連對(duì)于企業(yè)來(lái)說(shuō)變得越來(lái)越重要,阻止員工不上互聯(lián)網(wǎng),無(wú)論是從技術(shù)手段還是從實(shí)際的工作需要出發(fā),都不太現(xiàn)實(shí),而且對(duì)于很多企業(yè)來(lái)說(shuō)是不可能的。另外,由于信息數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)正變得越來(lái)越重要,而員工的意識(shí)和習(xí)慣卻還是基于過(guò)去的認(rèn)知,因此有必要制定相關(guān)的制度和規(guī)范來(lái)對(duì)員工的網(wǎng)絡(luò)安全行為進(jìn)行約束和規(guī)范,從而建立起一個(gè)良好的網(wǎng)絡(luò)安全環(huán)境,內(nèi)容如圖5所示。

        在制定制度和規(guī)范之前,首先需要考慮一個(gè)問(wèn)題:制度和規(guī)范對(duì)于企業(yè)的影響是否是有利的?畢竟,制度和規(guī)范對(duì)于員工來(lái)說(shuō)更多的是一種約束?;仡?“千禧蟲(chóng)危機(jī)”,不難得到,盡管這個(gè)問(wèn)題早就被國(guó)際重視,但是很少有國(guó)家采取積極措施來(lái)對(duì)其進(jìn)行防御。尷尬的是,根據(jù)2013年至2018年間對(duì)廣西重要信息系統(tǒng)的檢查結(jié)果來(lái)看,網(wǎng)絡(luò)安全也同樣面臨著這樣的情況,絕大多數(shù)企業(yè)都知道網(wǎng)絡(luò)安全會(huì)帶來(lái)危害,但是能在事前采取積極行動(dòng)的企業(yè)卻不多,很多都是在發(fā)生了網(wǎng)絡(luò)安全事件以后才采取了相應(yīng)的措施。在網(wǎng)絡(luò)安全建設(shè)方面,規(guī)章和規(guī)范是確保制度有效的利器,在得到有效執(zhí)行的情況下,制度和規(guī)范會(huì)迫使企業(yè)和員工采取一些積極的應(yīng)對(duì)措施,從而使得企業(yè)的網(wǎng)絡(luò)安全建設(shè)更為有效,對(duì)于企業(yè)來(lái)說(shuō)是利大于弊的。

        2019年,法律法規(guī)在經(jīng)濟(jì)領(lǐng)域和政府機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)中,仍然顯得相當(dāng)重要。SP800-30中,提高風(fēng)險(xiǎn)管理可以從風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)削減、評(píng)價(jià)和評(píng)估這三方面進(jìn)行,而法律、規(guī)則和指導(dǎo)文件則很好地對(duì)這三個(gè)方面進(jìn)行了規(guī)定。根據(jù)MSI所建立的網(wǎng)絡(luò)安全模型,網(wǎng)絡(luò)安全是由技術(shù)、方針和意識(shí)構(gòu)成的金字塔,技術(shù)在最上層,方針位于中間層,而意識(shí)則處在最底層[10]。多方面的調(diào)查也顯示,網(wǎng)絡(luò)安全更多的是一個(gè)管理問(wèn)題而不僅僅是技術(shù)問(wèn)題,意識(shí)是真正提高安全的唯一途徑,為了提高員工意識(shí),則應(yīng)該制定規(guī)則和制度文件。

        規(guī)范的重要性在于給技術(shù)人員提供了建設(shè)的標(biāo)準(zhǔn),包括防護(hù)水平、防護(hù)的重點(diǎn)、所采用的技術(shù)設(shè)備以及控制粒度等方面的內(nèi)容。沒(méi)有任何一個(gè)策略能夠做到100%的安全,但是一個(gè)好的策略無(wú)疑會(huì)使得安全風(fēng)險(xiǎn)大大降低,而策略最終需要通過(guò)規(guī)范來(lái)確定實(shí)施。

        總的來(lái)說(shuō),制度和規(guī)范對(duì)于企業(yè)來(lái)說(shuō)具有幾個(gè)好處。

        (1)聚焦那些什么都不做的人,至少讓他們采取一些改變,如果制度正確的話(huà),那么這種改變對(duì)于企業(yè)來(lái)說(shuō)是積極的。如員工在防火墻和防病毒軟件的保護(hù)下很少會(huì)做出其它防護(hù)措施,企業(yè)重視接口的防護(hù)而忽略了終端和對(duì)用戶(hù)的管理,這里面就有很大的提升空間。

        (2)制度能帶來(lái)更高的安全意識(shí),如果以前僅僅是覺(jué)得安裝了殺毒軟件以后就無(wú)所謂了,現(xiàn)在至少會(huì)有一些行為上的改變。如上網(wǎng)會(huì)留意到是否瀏覽了有惡意代碼的網(wǎng)站,終端使用習(xí)慣有所改變(如鎖定電腦屏幕、設(shè)置登錄密碼等)。而把安全活動(dòng)提高到公司的制度上來(lái),無(wú)疑會(huì)讓員工更清楚地意識(shí)到自己的責(zé)任,從而提高警戒心,形成良好的習(xí)慣。

        (3)為網(wǎng)絡(luò)安全建立了一個(gè)機(jī)構(gòu)層面的責(zé)任,并且定義了網(wǎng)絡(luò)安全的關(guān)鍵角色和責(zé)任,工作人員會(huì)因?yàn)樗袚?dān)的網(wǎng)絡(luò)安全責(zé)任而更加地重視網(wǎng)絡(luò)安全建設(shè)。同時(shí),制度和規(guī)范也提供了一些其他的必要要求和指導(dǎo),如制度的指向性會(huì)讓職工明確其所擁有資源的重要性。

        為了能夠讓制度和規(guī)范更好地起作用,可以考慮從幾方面進(jìn)行。

        (1)完善與外包公司之間的網(wǎng)絡(luò)安全制度。對(duì)于企業(yè)來(lái)說(shuō),數(shù)據(jù)是核心資產(chǎn),數(shù)據(jù)泄漏則是重要的防御對(duì)象,而我國(guó)企業(yè)里很少有與外包公司簽訂網(wǎng)絡(luò)安全協(xié)議的。由于服務(wù)提供商具有的權(quán)限比較高,他們往往可以對(duì)數(shù)據(jù)進(jìn)行刪除和操作,而企業(yè)的商業(yè)公告、發(fā)展報(bào)告、服務(wù)器IP、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞、用戶(hù)的使用習(xí)慣等都很容易地被外包公司了解,所以制定外包公司的合作制度能起著防范作用。

        (2)力求讓每個(gè)人都清楚地理解到,將商業(yè)數(shù)據(jù)綁定在信息系統(tǒng)上的風(fēng)險(xiǎn),并能按照制定的方針和方法來(lái)操作,以規(guī)避此風(fēng)險(xiǎn)。關(guān)鍵的控制目標(biāo)應(yīng)納入員工的績(jī)效考評(píng)里,對(duì)違規(guī)的行為進(jìn)行調(diào)查和采取行動(dòng),僅僅靠口頭說(shuō)明,其約束力往往比較薄弱,而且容易給員工造成管理混亂,不知道哪些事可以做,哪些事不能做。

        (3)經(jīng)驗(yàn)告知,對(duì)一些重點(diǎn)領(lǐng)域的企業(yè)來(lái)說(shuō),政府的干預(yù)和調(diào)節(jié)是必然要發(fā)生的事情,尤其是對(duì)于那些重要的基礎(chǔ)設(shè)施管理企業(yè)。制定制度和規(guī)范將會(huì)使得政府機(jī)構(gòu)對(duì)這些比較放心,而且對(duì)于用戶(hù)來(lái)說(shuō),也顯得他們的數(shù)據(jù)得到了保障。

        4 綜合分析

        在實(shí)際的網(wǎng)絡(luò)安全建設(shè)中,以上幾個(gè)因素如果沒(méi)有做好,將會(huì)產(chǎn)生各種問(wèn)題,從而增加系統(tǒng)風(fēng)險(xiǎn),并且這些問(wèn)題并不是孤立的,關(guān)系如圖6所示。

        通過(guò)圖6不難看出,網(wǎng)絡(luò)安全的各種因素相互制約,當(dāng)某一方面出現(xiàn)問(wèn)題時(shí),會(huì)對(duì)另一方面產(chǎn)生聯(lián)動(dòng)的消極影響。因此,企業(yè)應(yīng)該全面考慮這些問(wèn)題對(duì)系統(tǒng)的影響,并將各種問(wèn)題綜合考慮進(jìn)行處理,以降低信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。企業(yè)如果想做好網(wǎng)絡(luò)安全的防護(hù)工作,則應(yīng)該抓住其中的關(guān)鍵因素,并著力于解決自身能解決的問(wèn)題。

        5 結(jié)束語(yǔ)

        網(wǎng)絡(luò)安全建設(shè)不僅僅只是技術(shù)問(wèn)題,更多的是一個(gè)組織管理問(wèn)題,對(duì)于企業(yè)來(lái)說(shuō),由于考慮到成本和效益的特殊性,根據(jù)自身實(shí)際選擇適當(dāng)?shù)牟呗允潜夭豢缮俚?。本文從網(wǎng)絡(luò)安全頂層設(shè)計(jì)角度出發(fā),提出企業(yè)在網(wǎng)絡(luò)安全建設(shè)中的幾個(gè)關(guān)鍵因素,并且分析了它們的重要性及其互相之間的影響,最后給出相應(yīng)的建議。實(shí)際工作表明,企業(yè)的網(wǎng)絡(luò)安全建設(shè)并不能簡(jiǎn)單地照搬政府機(jī)構(gòu)的網(wǎng)絡(luò)安全做法,而是需要從投資、成本、收益等不同角度來(lái)考慮,充分分析哪一個(gè)因素是目前亟需解決并且是企業(yè)自身可以解決的,從而最終得到適合自身的策略計(jì)劃。

        參考文獻(xiàn)

        [1]?國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障網(wǎng)絡(luò)安全的若干意見(jiàn)(國(guó)發(fā)〔2012〕23號(hào)).

        [2]?張浩,詹輝紅.基于ISO_IEC27001的網(wǎng)絡(luò)安全體系與國(guó)家電網(wǎng)公司現(xiàn)有體系的比較研究[J].電力信息化,2009(5):43-46.

        [3]?Gary Loveland,Mark Lobel ,Joe Nocera. Key findings from The GlobalState of Information Security Survey 2013[EB/OL]. https://www.pwc.com/na/en/assets/pdf/global-state-of-information-security-survey-2014-key-findings-report.pdf,2013.

        [4]?沈昌祥.關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障體系的思考[J].計(jì)算機(jī)安全,2002(12):3-4.

        [5]?蘭紅星,朱世清,等.西部地區(qū)網(wǎng)絡(luò)安全保障工作體系建設(shè)研究[R].廣西壯族自治區(qū)工信和信息化委員會(huì),2013:35-38.

        [6]?Guide to Information Security[EB/OL]. https://www.oaic.gov.au/images/documents/privacy/privacy-guides/information-security-guide-2013_WEB.pdf,2013.

        [7]?James Crowther,Darek Dabbs,Shaun Dakin. 2013 Information Security Breaches Survey Technical Report [EB/OL]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/200455/bis-13-p184-2013-information-security-breaches-survey-technical-report.pdf,2013.

        [8]?朱建明,Sr inivasan Raghunathan.基于博弈論的信息安全技術(shù)評(píng)價(jià)模型[J].計(jì)算機(jī)學(xué)報(bào),2009(4):831-832.

        [9]?Lawrence A.Gordon, Martin P.Loeb. Budgeting Process for Information Security Expenditures[EB/OL]. https://www.researchgate.net/publication/220427223_Budgeting_process_for_information_security_expenditures,2006.

        [10]?Alexander Hutton.Information Security Standards and Regulations[EB/OL]. http://www.microsolved.com.2004.

        猜你喜歡
        關(guān)鍵因素企業(yè)
        企業(yè)
        企業(yè)
        企業(yè)
        企業(yè)
        企業(yè)
        敢為人先的企業(yè)——超惠投不動(dòng)產(chǎn)
        論建筑工程管理中的關(guān)鍵因素與控制策略
        民辦高校會(huì)計(jì)內(nèi)部控制關(guān)鍵因素指標(biāo)體系研究
        簡(jiǎn)析建筑工程節(jié)能檢測(cè)的關(guān)鍵因素
        單克隆抗體制備的關(guān)鍵因素
        国产免费牲交视频| 日产乱码一区二区国产内射| 日本午夜福利| 亚洲中文字幕有码av| 91九色国产老熟女视频| 影视av久久久噜噜噜噜噜三级 | 亚洲久热无码av中文字幕| 久久久精品2019免费观看| 麻豆精品在线视频观看| 亚洲av日韩综合一区久热| 成人网站免费看黄a站视频| 欧美另类在线视频| 扒开双腿操女人逼的免费视频| 青青草视频在线观看网| 专干老肥熟女视频网站300部| 亚洲人成7777影视在线观看| 加勒比亚洲视频在线播放| av色一区二区三区精品| 挺进朋友人妻雪白的身体韩国电影| 亚洲七七久久综合桃花| 国产视频在线播放亚洲| 97丨九色丨国产人妻熟女| 国产免费丝袜调教视频| 久久婷婷是五月综合色狠狠| av一区二区在线免费观看| 午夜亚洲av日韩av无码大全| 久久夜色撩人精品国产小说| 国产激情一区二区三区在线蜜臀| 自由成熟女性性毛茸茸应用特色| 日本中文字幕一区二区高清在线| 亚洲色婷婷免费视频高清在线观看| 中文字幕视频二区三区| 日本三级片在线观看| 一本一道波多野结衣一区| 亚洲精品99久久久久久| 国产自拍在线观看视频| 小鲜肉自慰网站| 国产精品1区2区| 久久一区二区视频在线观看| 无码人妻丰满熟妇区五十路| 中文字幕在线亚洲一区二区三区|