前阵子在坛子里和圈子里讨论过一个问题,“如何加强企业信息的安全保护”!~~ 在此我将我个人的观点阐述下,希望能够给各位看官提出点思路!~
首先从我个人经验考虑应该以文档的产生-传输-使用-存储-销毁,这五个层次进行分析,并控制每个环节的安全。 业务数据从生成传输使用存储销毁五个环节考虑安全, 业务数据按照功能大体分成控制执行类数据、汇总报告类数据,输出指导类数据等,控制执行类主要是指大型企业的数据采集上来的对设备及系统的参数捕捉,形成的能够指导操作人员对系统进行配置更改的数据;汇总报告类数据主要是从基层系统中对生产的产品进行统计并通过数据采集到上位机进行统计汇总再进入ERP系统进行汇总的数据,也有直接连接到ERP进行手动录入的数据,可能是一个厂的产值或一个地区的销售额等数据;控制执行类数据,主要以上级机构或集团机关等领导层针对汇总报告类数据进行分析处理,得出的指导性文件。或是方针政策或是指导文件等。 详述如下:
1、生成,就是数据生成所处的环境安全,从集成的数据采集设备、中间阶段的手动录入过程、机关内的文档拟定环境等各个环节,都要进行安全风险评估,判定潜在的威胁,并形成风险,针对风险进行系统的安全加固;
2、传输,主要依托传输工具,如网络链路、存储介质。这个大家都知道怎么进行防范;
3、使用,针对使用业务数据的人员进行授权控制,对人员使用数据的网络及物理环境进行分析,至于用啥方法防御,就看你如何说服客户防范了;
4、存储,无外乎如何配合存储手段,然后以分级授权方式进行存储数据的保护,确保在存储环节上的安全可靠,对存储有一个最大的挑战也就是如何进行数据的恢复使用,回滚数据是非常麻烦的事,也是企业不得不面临的问题; 这里分析的只以技术控制保护数据的安全,如何控制人员及避免人员的恶意破坏,还有待于管理方面的加强。
5、销毁,对于重要的信息,以文件或电子文档的形式存储并展示出来的,要进行严格的销毁流程,监管整个销毁的流程,确保不被抄袭,重点注意格式的泄漏,防止被套用模板进行恶意信息传播,影响生产。
先明确清楚所指的业务安全的范畴,有很多方面都可以说是业务安全,大致分为下面几类:
1、业务逻辑安全,比如金融领域的反欺诈、反洗钱、反骗保,企业中的反舞弊,反贪污,互联网领域的反外挂,反盗币等,是业务设计本身的问题,这些一般由企业内部的安全或内控团队完成;乙方要做需要非常深入行业;
2、业务体系安全,指的是业务逻辑没问题,但是在支撑业务的组织、流程、IT系统等方面出现安全风险;
3、业务权限安全,指的是由于企业人员角色岗位众多,如何在系统配置中实现有效的业务权限梳理和职责分离,一般大型企业的ERP系统或业务系统会涉及这方面;
4、业务数据安全,指的是业务数据从产生到销毁全生命周期中,相关人员、流程、系统方面的安全风险控制;
其次考虑的是维护业务安全的技术控制,从主要是应用的接入层、汇聚层、核心层等几个层面,考察采用的技术是否成熟,是否稳定安全,设备是否安全可靠。
再考虑网络链路的安全可靠,链路的安全控制主要是考虑链路搭线,外联接入控制等;
最后完备自己的管理体系,最为如何保护数据的安全,管理体系为重中之重的,在生产数据到销毁数据的五个环节过程中,管理体系始终贯穿。
结论:从如何加强企业信息的安全保护,可以从等保的十个方面进行系统的分析,进而从一个数据保护的点完成对企业系统的等保工作。本人拙见请批评指教。