在對信息系統(tǒng)進行安全管理之前,信息管理者首先要做的是樹立正確的
網(wǎng)絡(luò)安全觀。只有在正確的網(wǎng)絡(luò)安全理念指導下,信息管理者才能對網(wǎng)絡(luò)系統(tǒng)安全進行有效管理。企業(yè)網(wǎng)絡(luò)安全經(jīng)常有一些錯誤的觀念。常見的網(wǎng)絡(luò)安全錯誤觀念有哪些呢?
網(wǎng)絡(luò)安全公司搜集整理總結(jié)如下。
一、期望零風險
信息系統(tǒng)本身具有很大的“脆弱性”,信息系統(tǒng)依賴的硬件、信息系統(tǒng)應(yīng)用的IT技術(shù)(軟件方面)、信息系統(tǒng)的建設(shè)和使用過程都存在著大量的風險因素,這類風險客觀長期存在,既有有形的風險(設(shè)備、環(huán)境)、也有無形的風險(行為、道德)。
信息系統(tǒng)安全管理的目標只能是將風險控制在一定的范圍內(nèi),而不是實現(xiàn)絕對的安全。那種要求系統(tǒng)服務(wù)商承諾軟件系統(tǒng)功能無差錯,要求系統(tǒng)服務(wù)商承擔系統(tǒng)錯誤造成的損失和影響的做法都是不科學的。其實不僅是網(wǎng)絡(luò)安全,任何類型的安全都是如此。
為了追求絕對的安全,一些組織采用了物理隔離的方式。物理隔離能保證絕對安全嗎?當然不能。不要忘記,IT基礎(chǔ)設(shè)施只是信息系統(tǒng)的一部分,各種利益相關(guān)者如操作人員也是信息系統(tǒng)的組成之一。因此,即便信息系統(tǒng)的IT基礎(chǔ)設(shè)備被物理隔離,仍舊要加強信息安全管理。
二、只關(guān)注外部威脅
在進行信息系統(tǒng)安全管理時,人們的主要精力往往重點關(guān)注來自外部的安全威脅,如網(wǎng)絡(luò)滲透、黑客攻擊等,卻忽視來自內(nèi)部的安全威脅。但是縱觀IT史上那些重大的信息安全事件,大部分都是由于內(nèi)部人士誤操作或者蓄意發(fā)起。
2017年2月28號,號稱亞馬遜AWS最穩(wěn)定的云存儲服務(wù)S3出現(xiàn)超高錯誤率的宕機事件。由于美國許多大型網(wǎng)站如Snapchat、Twitter等都是基于亞馬遜的云存儲服務(wù)。結(jié)果,美國半個互聯(lián)網(wǎng)都跟著癱瘓了。AWS后來給出了確切的解釋:一名程序員在調(diào)試系統(tǒng)的時候,運行了一條原本打算刪除少量服務(wù)器的腳本,結(jié)果輸錯了一個字母,導致大量服務(wù)器被刪。為了修復(fù)這個錯誤,亞馬遜不得不重啟整個系統(tǒng),最終導致了震驚全球的Amazon S3宕機4個小時事件。
三、期待一勞永逸
在解決安全問題的過程中,不可能一勞永逸。安全產(chǎn)品、安全技術(shù)需要隨著攻擊手段的發(fā)展而不斷地升級,并且需要管理人員來日常運營維護,否則安全防護會在變化的攻擊手段前不堪一擊。因此唯一的長效安全機制就是安全的持續(xù)改進,針對變化的安全形勢和矛盾的持續(xù)調(diào)整。
四、為保安全犧牲業(yè)務(wù)目標
信息系統(tǒng)的目標是為了支撐企業(yè)組織的業(yè)務(wù),信息系統(tǒng)安全管理的目標是為了確保信息系統(tǒng)的正常運行,為企業(yè)組織實現(xiàn)業(yè)務(wù)目標提供信息支撐。因此,確保信息系統(tǒng)的安全只是手段,而不是目標,不能為了信息系統(tǒng)的安全而影響到信息系統(tǒng)的正常使用,更不能影響到企業(yè)目標的實現(xiàn)。
五、安全是IT技術(shù)人員的事情
網(wǎng)絡(luò)安全不單單是IT技術(shù)人員的事,它涉及到企業(yè)組織的方方面面,是一項系統(tǒng)工程,需要技術(shù)與管理雙管齊下。例如,盡管信息系統(tǒng)在設(shè)計過程中,綜合采用多種高級的加密算法來實現(xiàn)用戶訪問控制和權(quán)限管理,但是如果用戶沒用養(yǎng)成良好的安全意識,在登錄系統(tǒng)后隨意離開電腦,或者將自己的用戶名和密碼隨便貼在電腦顯示器邊緣,那無論采用任何高級的安全技術(shù)也不能確保信息系統(tǒng)的安全。(本文來源于:安全眼)
網(wǎng)絡(luò)安全公司廣東藍訊智能科技與各大網(wǎng)絡(luò)安全廠家合作,為企業(yè)提供專業(yè)的網(wǎng)絡(luò)安全解決方案。歡迎來電咨詢,電話:18028990096.
13580762200/13725734438/18028990096
