虽然中国信息安全行业起步相对较晚,但至今为止,大家的信息安全意识都越来越强烈,加上政府重视和政策扶持,也不断推动中国信息安全产业的快速发展,使得网络和信息安全得到了越来越多政府机构和企业的关注和重视。然而,无论是政府机构还是企业,用户都面临着更加严峻的信息安全威胁。这是因为攻击技术几经演变,变得越来越隐蔽,越来越智能,从而需要我们对信息的管理与应急措施的要求更为严格。
信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。一个安全有效的计算机信息系统可以同时支持机密性、完整性、可控性、可用性这四个核心安全属性,除了有效的技术支持,企业对于信息安全的管理与防范方面也是尤为重要的,以下分别从四个核心的安全属性来详细说明。
信息的机密性要求数据不被外泄或被他人利用其特性。原本系统本身很难保证数据在传输过程中不被非授权者访问,所以我们对于一些重要的文件需要进行加密处理。对于企业而言,外部人员要想访问内部系统时,一定需要领导授权,授权后的访问权限也要有所限制,即便被不怀好意的人用非法手段获取了一些文件数据,没有密钥也是无济于事的。其次对于内部员工也要有权限的限制,还要签订负法律责任的保密协议。
其次,所谓的完整性就需要保持数据原有的特性,存储器中的数据或经网络传输后的数据,必须与传输前的数据在内容与形式上保持一致,保证信息系统上的数据没有受损,使数据不会因为有意或者无意的事件被改变或者被破坏。负责企业信息安全的网络部门需要制定一些故障应急方案和预防性措施,服务器可结合金笛短信平台建立报警系统,如有异常可第一时间发现并及时处理。
再次,数据的可用性要求非授权访问者不能占用所有的资源而阻碍授权者的工作,需要时随时可以取得数据,访问资源,是网络设计和安全的基本目标。企业的员工拥有各自的账号与密码,在登陆系统时都需要自己的手机短信验证码,确保万一本人密码遗失,他人无短信验证码同样无法登陆,从而也确保了账号的安全性。
最后,数据的可控性是指可以控制授权范围内的信息流向以及行为方式。在企业内部,首先针对员工岗位的不同,设定不同的操作权限,访问不同的系统模块,这一点就是通过访问控制和授权来实现的。其次,每个员工都有固定的工号,在员工离职后就会立即收回此工号的所有权限,防止资料外泄。
企业信息安全的实质就是要保护企业信息系统资源免受各种类型的威胁、干扰和破坏,除了有过硬的技术保护作为基础,更需要良好的管理和防范措施,才能更好地保护我们各自的信息空间。