专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

企业网络安全之安全维度
2015-09-07 16:01:53 来源:E安全APP 作者:【
关键词:企业安全 网络安全 维度
 
这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。

  这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次,网络安全 理应上升到一定的高度,得到肯定和重视。

  说了这么多网络安全,那么网络安全是什么呢?先从这个词语本身来看,大概在90年代末期国内出现了与计算机安全有关的内容与要求,成为网络安全,如果对应成英文会更容易理解Network Security,没错,就是网络安全,以网络为核心的安全。当时的环境,信息化较早的公司开始建设企业网络,国家也在开始部署X金工程,金卡、金关、金盾等等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。过了几年,大概到2005、2006年,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化,成为网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了,具体几个词语的意义与演化可以在网上找找,有很清晰的解释。

  不管称为网络安全也好,信息安全也好,词语在更新,内容在演化,涵盖的领域也在不断完善与丰富,这就要求我们从业人员深刻领会与理解,并运用到实际专业工作中。不过从实践角度来看,笔者从1998年开始专业从事网络安全工作到现在也有17年的时间,国内无论是甲方安全管理还是乙方的安全服务与咨询,大部分的重点还是放在了传统IT安全的领域,比较侧重在技术与基础安全,这些方面不是不重要,只是可能忽略与遗漏企业安全中其他领域,从而降低IT安全本身的价 值。从一个公司商业利益的角度,所有的投资最终要转化为对商业利益有所贡献的活动,这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中,往往缺乏了一些直接的关联关系或者中间层次的递进,出现企业中高层非常重视安全但又很难理解安全价值的情况。

  笔者结合自己的专业经验与遇到的各种企业安全情况,总结了一些内容,供大家参考,如能对各位工作有所帮助,也算是一点小贡献吧。

  首先,企业安全不是一个二维平面的状态,简单说,企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图,在二维平面上往往更加关注在网络 安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署,而企业安全应该是一个三维、四维的立体时空状态,今天我们先不讨论“四维时空企业安全理论”,这个我会单独文章分享与探讨。从三维角度,企业安全包括安全纵深维度、安全情景维度与安全策略维度。

  如下图所示:

  企业网络安全之安全维度

  企业安全三维图

  企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。

  我们现在大部分的安全工作侧重在技术安全与一部分数据安全,对应用安全与业务安全涉及较少,或者这部分工作由企业内其他团队负责,可能出现纵深维度的脱节,当然这方面的全栈型人才本来就极少,能把4个层次贯通起来的,同时视角又够一定层次的就更少了。

  不过具体4个层次的内容,在这里就不解释,大部分应该都能理解,后续也会写一些专题,讨论各个层次的问题。

  安全情景维度包括:

  行业特性,每个行业自身的安全要求具有较大差异。

  业务特性,由于业务特性的要求,每个企业即使行业类似,对安全的要求与重点领域同样具有较大差异。

  体系架构,体系架构的要求,对安全影响更加直接,如应用云计算环境与传统计算模式对安全要求的巨大差异。

  合规要求,合规驱动的安全,无论是监管还是资本市场亦或是特殊行业要求,如银监会的指引、Sox与C-Sox、PCIDSS、ADSS等,数据保护、隐私管理等等。

  这些内容会贯穿整个企业安全纵深维度,也就是不仅仅考虑业务安全,应用安全、数据安全与技术安全同样面临各个安全情景维度的引导与控制。

  企业安全策略维度包括:

  战略规划,企业的安全战略与总体要求,指引整个企业的安全活动

  管理体系,管理要求

  技术体系,技术要求

  解决方案,落地的实务方案与执行

  这个维度的内容,从企业的安全战略出发,正式或者非正式的安全战略指引企业安全的方向,成为企业安全与公司高层次策略与管理者的接口,通过管理体系与技术 体系的企业安全管控与建设要求,形成具体化的流程、活动、行为准则,承接战略目标的落地与具体解决方案的价值保障,最终所有内容通过解决方案得到落地执行。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇希捷NAS用户请速更新固件 以便修..
下一篇真正有用的四大安全指标

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259