客服热线:
手机版
二维码
信息安全威胁有什么
信息安全威胁有什么?
防范恶意攻击
对于利用互联网接入来开展业务或者辅助工作的企业而言,骇客的恶意攻击行为无疑是 最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价,而这些被曝光的案例尚只是冰 山一角。
由于大多数企业担心公布这些信息会对自身形象造成负面影响,因此我们相信仍旧有大量的信息 安全事件没有为大众所知晓。而另一方面,由于许多企业没有精力处理频繁发生的攻击事件,甚至大部分由于恶意攻击造成的损失都 没有被正确估算。我们从1个侧面能够了解到目前恶意攻击已经演变到何等剧烈的程度,那么就是现在企业对于骇客攻击所持的态度。
仅仅是几年前这些事件对于我们而言还是那么的遥远与神秘,而现在当网络发生问题时恶意攻击已经成为 1个主要的被怀疑对象了。在小微企业的信息环境里,攻击行为相对而言并不特别猛烈,或者说小型的信息设施相对较少受到有针对 性的、强度很大的攻击。可是,目前的小微企业所选用的软件产品存在着大量的安全漏洞,而针对这些漏洞的自动化攻击工具已经相 当的民间化了。
对于没有受到过滤保护的网络节点而言,每时每刻都要承受大量网络攻击的考验。即使这 些攻击是漫无目的的,但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲,这些不讲究策略的攻击者对小微企业的 安全威胁要更大一些。
计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和许多 攻击程序一样,利用系统的安全漏洞进行传播,并且并没有特定的感染目标。对于一些蠕虫病毒而言,在1个小时的时间里就能够轻 松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患,企业必须进行许多工作。
单纯的应用 安全防护产品是无法避免这类攻击行为的,企业还必须执行补丁管理等辅助的安全管理措施。在小微企业中,进行这些工作有许多先 天性的“阻碍。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应 对的不仅仅是企业单方面的意识提高,更适合小微企业具体情况的安全防御产品目前也存在着很大的空白。尽管近两年涌现的许多整 合式的信息安全设备在总体成本和易用性上提供了许多吸引小微企业的特性,可是还不足以解决目前小微企业在信息安全领域所遭受 的困境。
•误用和滥用
对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明 显的因果关系。由于我们探讨的信息安全问题并不仅仅包含骇客行为所带来的经济及非经济损失,只要对信息设施的运行造成障碍的 行为都能够被划归到信息安全范畴进行管理。
在许多情况下,企业的员工都会由于某些不经意的行为对企业 的信息资产造成破坏。尤其是在小微企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对 企业信息资产做出鉴别。从更高的层次来分析,小微企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信 息管理中存在着大量的安全盲点和误区。
这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业 务的重要性。这既能够看作是国内信息安全产业一种进步的表现,同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了 供应商之外,用户也已经深刻的认识到同样的问题,相信经过广泛的培训和教育,这种现状能够被很好的改善。
除了对信息设施的错误使用之外,滥用的问题在近一段时间表现的更为突出一些,并且由于滥用问题更加模糊和难以界定 ,使企业在处理类似问题的情况下颇显捉襟见肘。尽管近些年被广泛关注的P2P传输问题并不是1个典型的信息安全问题,但由于这些传 输流量常常严重干扰企业的正常通信流量并且也存在着一些泄漏企业信息的风险,因此这确实是信息设施滥用问题的1个较好的示例 。
从技术的角度处理P2P传输问题并没有太大的难度,可是面对员工权利和隐私等方面的争论,企业对P2P 传输的管理问题已经上升到了道德问题的层次。在小微企业里,由于制度化管理方面的相对弱化,在处理信息设施滥用乃至误用问题 的情况下会加倍艰难。这也是在小微企业环境中实施信息安全所迫切必须解决的问题。
•总结
综合上述的问题,小微企业的信息安全需求主要体现在迫切必须适合自身情况的综合解决方案。随着时间 的发展,小微企业所面临的安全问题会进1步复杂化和深入化。而随着越来越多的小微企业将自己的智力资产建构在其信息设施基础 之上,对于信息安全的需求也会迅速的成长。我们所热切希望的就是,在这种需求产生爆炸性膨胀的前夕,所有的厂商都准备好了足 够的武器去赢得这场战争。
信息安全无小事ISO20000与ISO27001的必要性
随着网络的高速发展,我们的生活越来越信息化,信息技术越来越接近于我们的生活。当然,任何事情的发展都是带有两面性的,在信息化改变生活的同时,尽管有着它便利的一面,但也存在着相当大的隐患。
01
据统计,世界上每分钟就有2个企业由于信息安全问题倒闭,而在所有的信息安全事故中,仅有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。因此企业信息安全建设必须内外兼修,构建企业信息安全整体解决方案。 某电子硬件拓展软件服务制造商,随着业务的发展,由硬件产品到软件服务,公司的业务也越来越依赖于信息化,由此带来的信息安全保障,尤其是商业秘密保护的重要性日益凸显,怎样妥善地加强信息安全建设,在合理投入的范围内,最大限度的减少或避免因信息泄密、丢失、破坏等问题所造成的经济损失及对企业的影响。
小编建议,公司能够通过办理ISO 27001和ISO 20000.整体提升公司管理水平和信息安全标准。
02
ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
ISO/IEC27001是1个组织的全面或部分信息安全管理体系评估的基础,它能够作为对1个组织的全面或部分信息安全管理体系进行评审认证的标准。
目前,有不少企业在通过ISO 27001认证后,也会此外取得ISO 20000以提升整体IT服务质量,但ISO 20000信息技术服务管理标准与ISO 27001信息安全管理标准中的联络在哪儿,许多公司搞不清楚。
众所周知,新版ISO27001于2019年10月19日正式发布,对于ISO27001与ISO20000之间的联络,下面为大家讲解。
03
主体的侧重点不同
ISO20000 以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001 以控制点/控制措施为主,比较具体。
体系规范的侧重点有所不同
ISO20000 是面向IT 服务管理的质量体系标准,而ISO27001 是面向信息安全的质量标准规范,ISO20000 强调以流程的方式达到质量管理标准,ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。
体系规范存在的共性特征
如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。
范围不太一样
ISO20000 适用于企业的IT 服务部门,通常是IT 部门;ISO27001 适用于整个企业,不仅是IT 部门,还包含业务部门、财务、人事等部门。
ISO20000认证与ISO27001认证存在着本质区别,ISO20000是IT信息技术服务管理体系,ISO27001是信息安全管理体系。
在信息安全保护方面上,我们毫无疑问不能一味的只依靠于我们的管理体系,而是在我们管理体系给与我们一定的方向和基础的前提下,要做到落实标准,将信息安全意识印入我们的脑海,仅有时刻警惕信息安全,我们才能做到真正的信息安全保护。
