企业网络系统包括内部应用系统和外部访问的门户网站系统组成。本文从分析企业网络安全隐患入手,对企业网络安全体系的建设与管理方法进行了探讨。
企业在日常运营活动中,经常会遇到各种各样的安全问题,比如入侵导致用户资料被拖库或服务器完整性被破坏或服务器不可用、公司技术秘密泄露、上线的IT产品或服务存在各种各样的漏洞等问题。
如果公司的网站经常遭遇入侵,则需要加强安全防御,保护业务安全运行,防止入侵,以及保护用户隐私,防止用户资料被拖库;这就需要在安全防御方面,建立基本 的IT安全基础设施,支撑业务的正常有序开展,不受安全入侵事件破坏或窃密,提供不间断的高可用服务。这些安全基础设施和基本安全服务就像公共安全领域的 公安局和派出所,维持基本的安全环境,不能任由黑客出入或者员工泄密而不管不问。
同时,产品自身也要修炼内功,提高抵御入侵的能力。从源头控制安全是提升产品安全性的根本之计,需要将安全融入到IT开发/建设流程,从生命周期全过程保障 IT系统的安全性。如安全纳入需求,方案安全性审核,安全测试,安全验收,上线后的安全运营等。不至于让上线的系统存在轻易就能利用的漏洞,影响业务的安 全性,即使发生入侵事件,也能够通过安全事件监控和分析发现并进行及时的修补。
如果公司商业竞争激烈,或产品技术含量高,需要保护竞争信息或自有知识产权,防止竞争对手窃取,则需要加强防止信息泄密方面的建设,强化知识产权意识,倡导 正常有序的竞争和劳动创造价值。对内部员工以及管理员而言,在这种文化氛围的影响和熏陶下,减少了主动或被动泄密的可能,为窃取企业知识产权的行为产生厌 恶感;对外部潜在的竞争者或入侵者,它代表的是一种捍卫知识产权的宣言,保护核心的信息资产不被当前或潜在的竞争对手窃取,进行针对性防御,形成市场优 势。针对性防御就像国安局,要明确的知道对手是谁,他们想要什么,然后进行相应的安全控制措施。信息安全建设要有的放矢,避免万里长城式的全面防御。
政府有关网络安全的法律法规、美国上市企业SOX审计均有网络安全方面的条款,需要确保遵从性得到保障。
如果需要获取某种资质才能参与招投标或者提高中标概率(如竞投政府项目),需要通过某种安全认证,以此证明公司在保护客户信息方面的能力,对客户而言,有助 于建立信任和品牌,让客户感觉到企业提供的产品或服务是安全的,从而提供品牌美誉度和用户粘性,并进一步扩大市场、提高销售额。例如,涉密项目需要资质; 又如,企业在进入某些特定客户或海外市场时,通过公认的信息安全认证,如ISO 27001、等级 保护等,是一道准入的门槛。
还有,有的业务会经常遭遇欺诈,或者业务逻辑被恶意利用,导致业务损失,如被恶意注册批量账号(参与运营活动领取补贴)、重复支付、短信接口被冒用等,需要深入业务,改进业务安全。
由此可见,无论是主动或被动,都有建立网络安全体系的需求,来保护我们的业务正常开展!