第一篇：G 第十六章 推薦的信息安全策略大全

第十六章 推薦的信息安全策略

由FBI主導(dǎo)的調(diào)查結(jié)果顯示，超過(guò)90%的大企業(yè)和政府機(jī)構(gòu)遭受過(guò)計(jì)算機(jī)入侵者的攻擊，美聯(lián)社在2002年4月對(duì)其進(jìn)行了報(bào)導(dǎo)。有趣的是，只有大約三分之一的公司報(bào)導(dǎo)或公開(kāi)了這些攻擊，沉默意味著他們學(xué)到了很多東西，為了避免失去客戶的信任，為了防止更多入侵者的出現(xiàn)，大部分的商業(yè)公司不會(huì)公開(kāi)報(bào)導(dǎo)計(jì)算機(jī)安全事件。

似乎沒(méi)有任何社會(huì)工程學(xué)攻擊的統(tǒng)計(jì)，就算有，數(shù)據(jù)也很不可靠，在大部分情況下一家公司永遠(yuǎn)也不會(huì)知道社會(huì)工程師已經(jīng)“偷走了”信息，因此許多攻擊都沒(méi)有記錄。

有效的策略能針對(duì)大多數(shù)的社會(huì)工程學(xué)攻擊類型進(jìn)行防范，但是讓我們現(xiàn)實(shí)——除非企業(yè)里每一個(gè)人都認(rèn)識(shí)到安全的重要性并把它作為他（或她）的職責(zé)（遵守公司的安全策略），否則社會(huì)工程學(xué)攻擊將永遠(yuǎn)是企業(yè)面臨的嚴(yán)重威脅之一。

事實(shí)上，針對(duì)安全攻擊的技術(shù)手段一直在進(jìn)步，通過(guò)社會(huì)工程學(xué)途徑獲取私有的公司信息或滲透企業(yè)網(wǎng)絡(luò)，這種攻擊將越來(lái)越頻繁并引起信息竊賊的關(guān)注。商業(yè)間諜通常會(huì)選擇使用最簡(jiǎn)單同時(shí)也是最隱蔽的方法來(lái)達(dá)到他（或她）的目標(biāo)。事實(shí)上，那些使用了最先進(jìn)的安全技術(shù)保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的公司，可能會(huì)面對(duì)更多來(lái)自于使用社會(huì)工程學(xué)策略和方法的攻擊。

本章介紹了防范社會(huì)工程學(xué)攻擊的詳細(xì)策略，這些策略除了針對(duì)基于技術(shù)漏洞的攻擊，還涉及到幾種引導(dǎo)信任的員工提供信息或執(zhí)行操作的騙局，阻止攻擊者訪問(wèn)敏感商業(yè)信息或企業(yè)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)。

什么是安全策略？

安全策略是指導(dǎo)員工行為、保護(hù)信息安全的明確指南，是安全體系中防范潛在威脅的重要組成部分，這些策略在察覺(jué)并防范社會(huì)工程學(xué)攻擊時(shí)尤其有效。

有效的安全管理需要培訓(xùn)員工精心設(shè)計(jì)的策略和程序，然而，即使每一個(gè)員工都嚴(yán)格地遵守了安全策略，也無(wú)法保證防御所有的社會(huì)工程學(xué)攻擊。相反，合理的目標(biāo)總是能用可接受的標(biāo)準(zhǔn)減小威脅。

在這里介紹的這些策略包括了一些與社會(huì)工程學(xué)攻擊無(wú)關(guān)的防范措施，之所以放在這里，是因?yàn)樗鼈兩婕暗搅艘恍┕粽叱Ｓ玫募夹g(shù)。例如，email附件攻擊——可以安裝特洛伊木馬軟件讓攻擊者控制受害者的電腦——就被定義為計(jì)算機(jī)入侵者頻繁使用的方法。

制定程序的步驟

一個(gè)全面的信息安全程序通常從威脅評(píng)估開(kāi)始：

需要保護(hù)哪些企業(yè)信息資產(chǎn)？

有哪些針對(duì)這些資產(chǎn)的具體威脅？

如果這些潛在的威脅成為現(xiàn)實(shí)會(huì)對(duì)企業(yè)造成哪些損失？

威脅評(píng)估的主要目標(biāo)是對(duì)需要立即保護(hù)的信息資產(chǎn)按優(yōu)先次序排列，而不是對(duì)安全措施進(jìn)行成本效益分析。首先想一想，哪些資產(chǎn)需要首先保護(hù)，保護(hù)這些資產(chǎn)需要花多少錢(qián)。高級(jí)管理人員的支出和對(duì)安全策略和信息安全程序的大力支持非常重要。正如其它的企業(yè)程序一樣，如果一個(gè)安全程序成功了，管理層可以對(duì)其進(jìn)行推廣，前提是要有個(gè)人案例證明其有效性。員工們需要意識(shí)到信息安全和保護(hù)公司商業(yè)信息的重要性，每一個(gè)員工的工作都依賴于這一程序的成功。

設(shè)計(jì)信息安全策略藍(lán)圖的人需要以非技術(shù)員工也能輕松理解的通俗方式書(shū)寫(xiě)安全策略，并解釋為什么這些是重要的，否則員工可能會(huì)認(rèn)為一些策略是在浪費(fèi)時(shí)間而對(duì)其忽略。策略書(shū)寫(xiě)者應(yīng)當(dāng)創(chuàng)建一份介紹這些策略的文檔，并把它們分開(kāi)來(lái)，因?yàn)檫@些策略可能會(huì)在執(zhí)行的時(shí)候有小范圍的修改。

另外，策略的書(shū)寫(xiě)者應(yīng)當(dāng)了解哪些安全技術(shù)能被用來(lái)進(jìn)行信息安全培訓(xùn)。例如，大部分的操作系統(tǒng)都能用指定的規(guī)則（比如長(zhǎng)度）限制用戶密碼。在一些公司，可以通過(guò)操作系統(tǒng)的本地或全局策略阻止用戶下載程序。在允許的情況下，策略應(yīng)當(dāng)要求使用安全技術(shù)代替人為的判斷。

必須忠告員工不遵守安全策略與程序的后果，應(yīng)當(dāng)制定并宣傳違反策略的處罰。同樣，要對(duì)表現(xiàn)優(yōu)異或者發(fā)現(xiàn)并報(bào)告了安全事件的員工進(jìn)行獎(jiǎng)勵(lì)。當(dāng)一名員工受到獎(jiǎng)勵(lì)時(shí)，應(yīng)當(dāng)在公司范圍內(nèi)廣泛地宣傳，比如在公司時(shí)訊中寫(xiě)一篇文章。

安全培訓(xùn)程序的一個(gè)目標(biāo)是傳達(dá)安全策略的重要性和不遵守這些規(guī)則的后果。拜人性所賜，員工們有時(shí)候會(huì)忽略或繞過(guò)那些看上去不合理或者太費(fèi)時(shí)間的策略。管理層有責(zé)任讓員工們了解其重要性與制定這些策略的原因，而不是簡(jiǎn)單地告訴他們繞過(guò)策略是不允許的。

值得注意的是，信息安全策略不是固定不變的，就像商業(yè)需要變化一樣，新的安全技術(shù)和新的安全漏洞使得策略在不斷的修改或補(bǔ)充。應(yīng)當(dāng)加入常規(guī)的評(píng)估與更新程序，可以通過(guò)企業(yè)內(nèi)網(wǎng)或公共文件夾讓企業(yè)安全策略與程序不斷更新，這增加了對(duì)策略與程序頻繁審核的可能性，并且員工可以從中找到任何與信息安全有關(guān)的問(wèn)題和答案。

最后，使用社會(huì)工程學(xué)方法與策略進(jìn)行的周期性滲透測(cè)試與安全評(píng)估應(yīng)當(dāng)暴露出培訓(xùn)或公司策略和程序的不足。對(duì)于之前使用的任何欺騙滲透測(cè)試策略，應(yīng)當(dāng)告知員工有時(shí)候可能會(huì)進(jìn)行這種測(cè)試。

怎樣使用這些策略

本章中介紹的詳細(xì)策略是我認(rèn)為對(duì)減輕所有安全威脅非常重要的信息安全策略子集，因此，這些策略并不是一個(gè)完整的列表，更確切的說(shuō)，它們是創(chuàng)建合適的安全策略的基礎(chǔ)。

企業(yè)的策略書(shū)寫(xiě)者可以基于他們公司的獨(dú)特環(huán)境和商業(yè)目的選擇適合的策略。每一家有不同安全需求（基于商業(yè)需要、法律規(guī)定、企業(yè)文化和信息系統(tǒng)）的企業(yè)都能在這些介紹找到所需的策略，而忽略其它的內(nèi)容。

每一種策略都會(huì)提供不同的安全等級(jí)選擇。大部分員工都互相認(rèn)識(shí)的小型公司不需要擔(dān)心攻擊者會(huì)通過(guò)電話冒充員工（當(dāng)然攻擊者還可以偽裝成廠商）。同樣，一家企業(yè)文化輕松休閑的公司可能會(huì)希望只用這些策略中的一部分來(lái)達(dá)到它的安全目標(biāo)，雖然這樣做會(huì)增加風(fēng)險(xiǎn)。

數(shù)據(jù)分類

數(shù)據(jù)分類策略是保護(hù)企業(yè)信息資產(chǎn)、管理敏感信息存取的基礎(chǔ)。這一策略能讓所有員工了解每一種信息的敏感等級(jí)，從而提供了保護(hù)企業(yè)信息的框架。

沒(méi)有數(shù)據(jù)分類策略的操作——幾乎所有公司的現(xiàn)狀——使得的大部分的控制權(quán)掌握在少數(shù)員工手里。可想而知，員工的決定在很大程度上依賴于主觀判斷，而不是信息的敏感性、關(guān)鍵程度和價(jià)值。如果員工不了解被請(qǐng)求信息的潛在價(jià)值，他們可能會(huì)把它交到一名攻擊者手里。

數(shù)據(jù)分類策略詳細(xì)說(shuō)明了信息的貴重程度。有了數(shù)據(jù)分類，員工就可以通過(guò)一套數(shù)據(jù)處理程序保護(hù)公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權(quán)者的可能性。

每一個(gè)員工都必須接受企業(yè)數(shù)據(jù)分類策略培訓(xùn)，包括那些并不經(jīng)常使用計(jì)算機(jī)或企業(yè)通信系統(tǒng)的人。因?yàn)槠髽I(yè)中的每一個(gè)人——包括清潔工、門(mén)衛(wèi)、復(fù)印室職員、顧問(wèn)和承包人，甚至是實(shí)習(xí)醫(yī)生——都有可能訪問(wèn)敏感信息，任何人都能成為攻擊的目標(biāo)。

管理層必須指定一個(gè)信息所有者負(fù)責(zé)公司目前正在使用的任何信息，信息所有者的職責(zé)之一就是保護(hù)信息資產(chǎn)。通常，所有者負(fù)責(zé)確定基于信息保護(hù)需要的分類等級(jí)，周期性地評(píng)估分類等級(jí)，并在必要的時(shí)候?qū)ζ溥M(jìn)行修改，信息所有者可能還會(huì)負(fù)責(zé)指定管理人員或其他人員來(lái)保護(hù)數(shù)據(jù)。

分類類別與定義

應(yīng)當(dāng)基于敏感程度將信息分成不同的分類等級(jí)。一旦建立了詳細(xì)的分類系統(tǒng)，重新分類信息將十分昂貴和費(fèi)時(shí)。在我們的策略范例中，我選擇了4個(gè)適合幾乎所有大中型企業(yè)的分類等級(jí)。依靠敏感信息的編號(hào)和分類，商業(yè)公司可以選擇增加更多分類以適應(yīng)將來(lái)的特殊類型。在小型商業(yè)公司，三個(gè)等級(jí)的分類方案可能就夠了。記住——分類方案越復(fù)雜，企業(yè)培訓(xùn)員工和執(zhí)行方案的費(fèi)用就越高。

機(jī)密是最敏感的信息分類，機(jī)密信息只能在企業(yè)內(nèi)部使用。在大多數(shù)情況下，機(jī)密信息只能讓少數(shù)有必要知道的人訪問(wèn)。機(jī)密信息的泄漏會(huì)嚴(yán)重影響到公司（股東、商業(yè)伙伴和（或）客戶）。機(jī)密信息通常包括以下內(nèi)容：

商業(yè)機(jī)密信息、私有源代碼、技術(shù)或規(guī)格說(shuō)明書(shū)、能被競(jìng)爭(zhēng)者利用的產(chǎn)品信息。并不公開(kāi)的銷(xiāo)售和財(cái)政信息。

關(guān)系到公司運(yùn)轉(zhuǎn)的其它任何信息，比如商業(yè)戰(zhàn)略前景。

私有是僅在企業(yè)內(nèi)部使用的個(gè)人信息分類。如果未授權(quán)的人（尤其是社會(huì)工程師）獲得了私有信息，員工和公司都將受到嚴(yán)重影響。私有信息內(nèi)容包括：?jiǎn)T工病歷、健康補(bǔ)助、銀行帳戶、加薪歷史，和其它任何沒(méi)有公共存檔的個(gè)人識(shí)別信息。

注釋：

內(nèi)部信息分類通常由安全人員設(shè)定，我使用了“內(nèi)部”這個(gè)詞，因?yàn)檫@是分類使用的范圍。我列出的這些敏感分類并不是詳細(xì)的安全等級(jí)，而是查閱機(jī)密、私有和內(nèi)部信息的快捷方式，用另一句話說(shuō)，敏感程度涉及到了任何沒(méi)有指定為公共權(quán)限的公司信息。

內(nèi)部信息分類能提供給任何受雇于企業(yè)的員工。通常，內(nèi)部信息的泄漏不會(huì)對(duì)公司（股東、商業(yè)伙伴、客戶或員工）造成嚴(yán)重影響，但是，熟悉社會(huì)工程學(xué)技能的人能用這些信息偽裝成一個(gè)已授權(quán)的員工、承包人或者廠商，從沒(méi)有絲毫懷疑的員工那里獲得更多敏感信息突破企業(yè)計(jì)算機(jī)系統(tǒng)的訪問(wèn)限制。

必須在傳遞內(nèi)部信息給第三方（提供商、承包人、合作公司等等）之前與其簽署一份保密協(xié)議。內(nèi)部信息通常包括任何在日常工作中使用的、不能讓外部人員知道的信息，比如企業(yè)機(jī)構(gòu)圖、網(wǎng)絡(luò)撥號(hào)號(hào)碼、內(nèi)部系統(tǒng)名、遠(yuǎn)程訪問(wèn)程序、核心代碼成本、等等。

公共信息被明確規(guī)定為公共可用。這種信息類型，比如新聞稿、客服聯(lián)系信息或者產(chǎn)品手冊(cè)，能自由地提供給任何人。需要注意的是，任何為指定為公共可用的信息都應(yīng)當(dāng)視為敏感信息。

數(shù)據(jù)分類術(shù)語(yǔ)

基于其分類，數(shù)據(jù)應(yīng)當(dāng)由不同的人負(fù)責(zé)。本章中的許多策略都提到過(guò)不允許身份未驗(yàn)證的人訪問(wèn)信息，在這些策略中，未驗(yàn)證的人指的是員工并不親自認(rèn)識(shí)的人和不能確定是否有訪問(wèn)權(quán)限的員工，還有無(wú)法保證可信的第三方。

在這些策略中，可信的人是指你親自見(jiàn)過(guò)的、有訪問(wèn)權(quán)限的公司員工、客戶或者顧問(wèn)，也可以是與你的公司有合作關(guān)系的人（比如，客戶、廠商或者簽署了保密協(xié)議的戰(zhàn)略合作伙伴）。

在第三方的保證中，可信的人可以驗(yàn)證一個(gè)人的職業(yè)或身份，和這個(gè)人請(qǐng)求信息或操作的權(quán)限。注意，在某些情況下，這些策略會(huì)要求你在響應(yīng)信息或操作請(qǐng)求之前確認(rèn)保證者仍然受雇于公司。

特權(quán)帳戶是指需要超越基本用戶帳戶權(quán)限的計(jì)算機(jī)（或其它）帳戶，比如系統(tǒng)管理員帳戶。有特權(quán)帳戶的員工通常能更改用戶權(quán)限或執(zhí)行系統(tǒng)操作。

常規(guī)部門(mén)信箱是指回答一般問(wèn)題的語(yǔ)音信箱，用來(lái)保護(hù)在特殊部門(mén)工作的員工的名字和分機(jī)號(hào)碼。

驗(yàn)證與授權(quán)程序

信息竊賊通常會(huì)偽裝成合法的員工、承包人、廠商或商業(yè)伙伴，使用欺騙策略訪問(wèn)機(jī)密商業(yè)信息。為了保護(hù)信息安全，員工在接受操作請(qǐng)求或提供敏感信息之前，必須確認(rèn)呼叫者的身份并驗(yàn)證他的權(quán)限。

本章中推薦的程序能幫助一名收到請(qǐng)求（通過(guò)任何通訊方式，比如電話、email或傳真）的員工判斷其是否合法。

可信者的請(qǐng)求

針對(duì)可信者的信息或操作請(qǐng)求：

確認(rèn)其是否當(dāng)前受雇于公司或者有權(quán)訪問(wèn)這一信息分類，這能阻止離職員工、廠商、承包人、和其他不再與公司有關(guān)系的人冒充可信的職員。

驗(yàn)證此人是否有權(quán)訪問(wèn)信息或請(qǐng)求操作。

未核實(shí)者的請(qǐng)求

當(dāng)遇到未核實(shí)者的請(qǐng)求時(shí)，必須使用一個(gè)合理的驗(yàn)證程序確認(rèn)請(qǐng)求者是否有權(quán)接收請(qǐng)求的信息，尤其是當(dāng)請(qǐng)求涉及到任何計(jì)算機(jī)或計(jì)算機(jī)相關(guān)的設(shè)備時(shí)。這一程序成功防范社會(huì)工程學(xué)攻擊的關(guān)鍵：只要實(shí)施了這些驗(yàn)證程序，社會(huì)工程學(xué)攻擊成功的可能性將大大減小。

需要注意的是，如果你把程序設(shè)置得過(guò)于復(fù)雜，將超過(guò)成本限制并被員工忽略。

下面列出了詳細(xì)的驗(yàn)證程序步驟：

驗(yàn)證請(qǐng)求者是他（或她）所聲稱的那個(gè)人。

確認(rèn)請(qǐng)求者當(dāng)前受雇于公司或者與公司有須知關(guān)系。

確認(rèn)請(qǐng)求者已被授權(quán)接收指定信息或請(qǐng)求操作。

第一步：驗(yàn)證身份

以下列出的推薦步驟按有效性從低到高排列，每一條中還加入了社會(huì)工程師行騙的詳細(xì)說(shuō)明。

1、來(lái)電顯示（假設(shè)這一功能已經(jīng)包括在了公司的電話系統(tǒng)之中）。用來(lái)電顯示確認(rèn)電話是來(lái)自公司內(nèi)部還是公司外部，顯示的名字和電話號(hào)碼是否符合呼叫者提供的身份。

弱點(diǎn)：外部來(lái)電顯示信息可以被任何能用PBX或者電話交換機(jī)連接到數(shù)字電話服務(wù)的人偽造。

2、回?fù)?。在公司的目錄中查詢?qǐng)求者的名字，并通過(guò)列出的分機(jī)號(hào)碼回?fù)艽_認(rèn)請(qǐng)求者的身份。

弱點(diǎn)：當(dāng)員工回?fù)茈娫挄r(shí)，準(zhǔn)備充分的攻擊者可以將其呼叫轉(zhuǎn)移到一個(gè)外部的電話號(hào)碼。

3、擔(dān)保。由一個(gè)可信的人為請(qǐng)求者的身份擔(dān)保。

弱點(diǎn)：攻擊者可以偽裝成一個(gè)可信員工，讓另一個(gè)員工為他擔(dān)保。

4、接頭暗號(hào)。在企業(yè)范圍內(nèi)使用接頭暗號(hào)，比如每日密碼。

弱點(diǎn)：如果有很多人知道這個(gè)接頭暗號(hào)，攻擊者也可以輕易地知道。

5、員工管理員/經(jīng)理。打電話給員工的頂頭上司并請(qǐng)求驗(yàn)證。

弱點(diǎn)：如果請(qǐng)求者提供了他（或她）的上司的電話號(hào)碼，員工聯(lián)系上的也許是攻擊者的同謀。

6、安全Email。請(qǐng)求數(shù)字簽名信息。

弱點(diǎn)：如果攻擊者入侵了員工的計(jì)算機(jī)并通過(guò)鍵盤(pán)記錄程序獲取了密碼，他便可以像普通員工一樣發(fā)送數(shù)字簽名email。

7、個(gè)人語(yǔ)音識(shí)別。通過(guò)聲音判斷請(qǐng)求者的身份。

弱點(diǎn)：這是相當(dāng)安全的方法，攻擊者無(wú)法輕易突破，但是如果沒(méi)有見(jiàn)過(guò)請(qǐng)求者（或者和請(qǐng)求者說(shuō)過(guò)話），這一方法就沒(méi)有任何用處。

8、動(dòng)態(tài)密碼方案。請(qǐng)求者通過(guò)一個(gè)動(dòng)態(tài)的密碼方案（比如安全I(xiàn)D）識(shí)別自身。

弱點(diǎn)：攻擊者可以獲取其中的動(dòng)態(tài)密碼設(shè)備和相應(yīng)的員工PIN碼，或者欺騙員工讀出PIN設(shè)備上顯示的信息。

9、佩戴ID。請(qǐng)求者佩戴員工證件或其它合適的照片ID。

弱點(diǎn)：攻擊者可以偷竊員工證件，或者直接偽造一張。然而，攻擊者通常會(huì)避免這樣做，以減小被發(fā)現(xiàn)的可能性。

第二步：驗(yàn)證員工身份

最大的信息安全威脅并不是專業(yè)的社會(huì)工程師，也不是熟練的計(jì)算機(jī)入侵者，而是剛剛解雇想要報(bào)復(fù)或者偷竊公司商業(yè)信息的員工。（注意，這一步驟的另一個(gè)版本可用于和你的公司有另一種商業(yè)關(guān)系的人，比如廠商、顧問(wèn)或契約工人）

在提供敏感信息給另一個(gè)人或者接受計(jì)算機(jī)或計(jì)算機(jī)相關(guān)的設(shè)備指示操作之前，使用下面這些方法驗(yàn)證請(qǐng)求者是否仍是公司的員工：

查看員工目錄。如果公司有一份活動(dòng)員工目錄，可以查看請(qǐng)求者是否仍在列表中。請(qǐng)求者的上司核對(duì)。用公司目錄上列出的電話號(hào)碼打電話給請(qǐng)求者的上司，而不是使用請(qǐng)求者提供的號(hào)碼。

請(qǐng)求者的部門(mén)或工作組驗(yàn)證。打電話給請(qǐng)求者的部門(mén)或工作組，從該部門(mén)或工作組的任何人那里確認(rèn)請(qǐng)求者仍是公司的員工。

第三步：驗(yàn)證權(quán)限

除了驗(yàn)證請(qǐng)求者是否為活動(dòng)員工或者與公司有關(guān)聯(lián)之外，仍然有必要確認(rèn)確認(rèn)請(qǐng)求者已被授權(quán)訪問(wèn)所請(qǐng)求的信息，或者已被授權(quán)指導(dǎo)指定的計(jì)算機(jī)或計(jì)算機(jī)相關(guān)的設(shè)備操作。

可以使用以下這些方法進(jìn)行驗(yàn)證：

職位/工作組/職責(zé)列表。企業(yè)可以使用一張列表說(shuō)明指定的員工可以訪問(wèn)哪些指定信息，并通過(guò)員工的職位、部門(mén)、工作組、職責(zé)或者綜合這些進(jìn)行分類。這一列表需要不斷更新并提供授權(quán)信息的快捷訪問(wèn)方式。通常，信息所有者應(yīng)當(dāng)負(fù)責(zé)創(chuàng)建并維護(hù)這一列表，監(jiān)控信息的訪問(wèn)。

注釋

值得注意的是，維護(hù)這種列表是在邀請(qǐng)社會(huì)工程師，試想一下，如果攻擊者將一家公司作為目標(biāo)，就會(huì)知道這一列表的存在，并有足夠的興趣獲取一份，這一列表能為攻擊者打開(kāi)方便之門(mén)，使公司陷入嚴(yán)重的危機(jī)之中。

獲得上司授權(quán)。員工聯(lián)系他（或她）自己的上司，或者請(qǐng)求者的上司，請(qǐng)求授權(quán)同意這一請(qǐng)求。

獲得信息所有者或指定人員的授權(quán)。信息所有者可以決定是否允許訪問(wèn)，基于計(jì)算機(jī)的訪問(wèn)控制程序可以讓員工聯(lián)系他（或她）的頂頭上司申請(qǐng)?jiān)L問(wèn)基于工作任務(wù)的信息，如果這一任務(wù)不存在，管理人員有責(zé)任聯(lián)系相關(guān)的數(shù)據(jù)所有者請(qǐng)求許可。這一管理系統(tǒng)的實(shí)施應(yīng)當(dāng)保證信息所有者不會(huì)拒絕常用信息的請(qǐng)求。

獲得專業(yè)軟件程序授權(quán)。對(duì)于高競(jìng)爭(zhēng)性產(chǎn)業(yè)的大公司，可以使用專業(yè)軟件程序進(jìn)行授權(quán)。這種軟件的數(shù)據(jù)庫(kù)中存儲(chǔ)了員工的姓名和機(jī)密信息訪問(wèn)權(quán)限，用戶無(wú)法查看每個(gè)人的訪問(wèn)權(quán)限，但可以輸入請(qǐng)求者的名字，并找到相關(guān)的權(quán)限信息。這種軟件提供了響應(yīng)標(biāo)志，可以判斷員工是否已被授權(quán)訪問(wèn)這一信息，并用獨(dú)立的權(quán)限信息消除了創(chuàng)建個(gè)人列表的危險(xiǎn)性。

第二篇：信息安全策略

信息安全策略

是一個(gè)有效的信息安全項(xiàng)目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來(lái)看，信息安全策略的核心地位變得越來(lái)越明顯。例如，沒(méi)有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問(wèn)控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價(jià)的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時(shí)間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時(shí)間和精力。即使是雇傭外部顧問(wèn)來(lái)輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。組織為高層主管、董事會(huì)成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對(duì)信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對(duì)信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。也需要召開(kāi)相關(guān)人員會(huì)議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計(jì)主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計(jì)算機(jī)操作策略、應(yīng)用系統(tǒng)開(kāi)發(fā)策略、人力資源策略、物理安全策略。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。資料收集不全，調(diào)研不夠充分會(huì)導(dǎo)致新建的信息安全策略無(wú)法與組織的真正需求一致。也無(wú)法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪問(wèn)控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開(kāi)始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見(jiàn)進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門(mén)做出修改后，交由信息安全管理委員會(huì)評(píng)審。

信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸。

評(píng)審過(guò)程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，由首席信息官簽名也可以。要注意僅有信息安全部門(mén)主管或同級(jí)的部門(mén)主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。

一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門(mén)人員組成，參與者一般包括以下部門(mén)的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門(mén)的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒(méi)有信息安全管理委員會(huì)，在制定信息安全策略的時(shí)候正是建立管理委員會(huì)的好時(shí)機(jī)，或由組織內(nèi)已存在的同職能部門(mén)擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個(gè)適當(dāng)?shù)膶?shí)施過(guò)程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒(méi)有策略更糟糕，因?yàn)檫@樣會(huì)教會(huì)員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個(gè)欠考慮的想法。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對(duì)他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門(mén)或?qū)徲?jì)部門(mén)內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會(huì)遇到多樣化的問(wèn)題。可以通過(guò)績(jī)效評(píng)估和相應(yīng)獎(jiǎng)懲制度來(lái)保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識(shí)提升是無(wú)效的。在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評(píng)估調(diào)查表—在新的策略實(shí)施時(shí)，制定評(píng)估表，填寫(xiě)實(shí)施情況，就能明確哪些部門(mén)沒(méi)有遵守好、哪些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個(gè)反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過(guò)考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過(guò)錄像或培訓(xùn)軟件存檔。不同策略對(duì)象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門(mén)或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。

第三篇：稅務(wù)系統(tǒng)信息安全策略

論文編號(hào)：6G21112101

稅務(wù)系統(tǒng)信息安全策略

劉宏斌 李懷永

內(nèi)容題要：

隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過(guò)分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問(wèn)題來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略

計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國(guó)家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門(mén)在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國(guó)家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國(guó)稅務(wù)信息化建設(shè)自開(kāi)始金稅工程以來(lái)，取得了長(zhǎng)足進(jìn)步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問(wèn)題，各種應(yīng)用軟件自成體系、重復(fù)開(kāi)發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理，采取先進(jìn)有效的技術(shù)防范措施。本文主要通過(guò)分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

一、稅務(wù)機(jī)關(guān)信息安全的重要性

稅收是國(guó)家財(cái)政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn)，隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國(guó)鄉(xiāng)鎮(zhèn)，點(diǎn)多面廣，信息安全防范難度加大，稅務(wù)機(jī)關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點(diǎn)和難點(diǎn)。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國(guó)家基礎(chǔ)信息建設(shè)，其基本特點(diǎn)是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對(duì)象復(fù)雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國(guó)稅、地稅之分，從地域來(lái)說(shuō)通過(guò)總局、省局、市局?jǐn)?shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級(jí)、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門(mén)、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對(duì)如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見(jiàn)，經(jīng)過(guò)不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn)，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問(wèn)題

稅務(wù)信息化的網(wǎng)絡(luò)為計(jì)算機(jī)內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨(dú)立于其他任何網(wǎng)絡(luò)的獨(dú)立網(wǎng)絡(luò),這里所謂的獨(dú)立是指的物理上的獨(dú)立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問(wèn)題主要表現(xiàn)為：

1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復(fù)雜性和多元性；

2、網(wǎng)絡(luò)邊界的擴(kuò)大。遠(yuǎn)程撥號(hào)用戶、移動(dòng)辦公用戶、VPN 用戶、分支機(jī)構(gòu)、合作伙伴、供應(yīng)商、無(wú)線局域網(wǎng)等等已經(jīng)大大地?cái)U(kuò)展了網(wǎng)絡(luò)的邊界，使得邊界保護(hù)更加困難；稅務(wù)分局、稅務(wù)所等分支機(jī)構(gòu)的局域網(wǎng)與上級(jí)稅務(wù)骨干網(wǎng)的連接，無(wú)論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒(méi)有路由安全和防止入侵的技術(shù)措施。

3、病毒/蠕蟲(chóng)/特洛伊木馬。病毒蠕蟲(chóng)大規(guī)模泛濫、新的蠕蟲(chóng)不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來(lái)?yè)p失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲(chóng)攻擊等安全問(wèn)題后，不能做到及時(shí)地阻斷、隔離；一般是以尋找后門(mén)、竊取密碼和重要文件為主，還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護(hù)，業(yè)務(wù)資料和私人信息混存，不設(shè)開(kāi)機(jī)口令，沒(méi)有讀寫(xiě)控制，業(yè)務(wù)系統(tǒng)登錄口令簡(jiǎn)單且長(zhǎng)期不變，移動(dòng)存儲(chǔ)設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。

4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對(duì)脆弱，不能有效抵御來(lái)自內(nèi)外部的入侵和攻擊的問(wèn)題，安全策略不能得到及時(shí)地分發(fā)和執(zhí)行，最終導(dǎo)致安全策略形同虛設(shè)；主要方式有：IP欺騙、ARP欺騙、DNS 欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過(guò)指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作）、地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）等。

5、內(nèi)網(wǎng)非法主機(jī)外聯(lián)。非法主機(jī)的接入、內(nèi)部網(wǎng)非法通過(guò) Modem、無(wú)線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風(fēng)險(xiǎn)。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來(lái)回?fù)Q用，一些只應(yīng)在內(nèi)部網(wǎng)上運(yùn)行的操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)沒(méi)有與互聯(lián)網(wǎng)實(shí)行“隔離”，存在潛在風(fēng)險(xiǎn)。

6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對(duì)內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web 頁(yè)面訪問(wèn)，文件上傳下載等等）進(jìn)行監(jiān)控的手段，導(dǎo)致組織機(jī)密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開(kāi)比較隨意，不少重要或敏感信息只有發(fā)布沒(méi)有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購(gòu)的設(shè)備等，不少?zèng)]有經(jīng)過(guò)權(quán)威部門(mén)的檢測(cè)和認(rèn)定，系統(tǒng)運(yùn)行中缺少嚴(yán)格的跟蹤監(jiān)控，存在安全隱患。

7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過(guò)了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個(gè)程序或者操作系統(tǒng)崩潰。

三、稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案

1、做好信息安全風(fēng)險(xiǎn)評(píng)估

為確保稅務(wù)信息資產(chǎn)的安全，應(yīng)定期組織業(yè)務(wù)、技術(shù)和管理等專業(yè)人員進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，制定科學(xué)的安全預(yù)算。

信息安全評(píng)估應(yīng)著重于以下問(wèn)題：

（1）確定可能對(duì)信息資產(chǎn)造成危害的威脅，包括計(jì)算機(jī)病毒、黑客和自然災(zāi)害等。

（2）通過(guò)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性。（3）對(duì)可能受到威脅影響的信息資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定所有信息資產(chǎn)的重要程度。

（4）對(duì)最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。

（5)準(zhǔn)確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。

（9）向上級(jí)提交安全保障體系建設(shè)的意見(jiàn)和建議。

（10)通過(guò)項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)自己的安全技術(shù)骨干及隊(duì)伍。

2、加強(qiáng)信息安全管理

信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計(jì)算機(jī)信息安全的最重要環(huán)節(jié)。

（1）建立健全信息安全管理組織，明確領(lǐng)導(dǎo)體制和工作機(jī)制。（2）建立健全信息安全管理制度, 落實(shí)安全防范責(zé)任制。（3）廣泛開(kāi)展計(jì)算機(jī)信息安全宣傳，提高全員信息安全意識(shí)，建立信息安全培訓(xùn)機(jī)制，組織開(kāi)展多層次、多方位的信息安全培訓(xùn)，提高全員信息安全防范技能。

（4）開(kāi)展經(jīng)常性的安全檢查，切實(shí)整改安全隱患，不斷改進(jìn)信息安全管理工作。

（5）科學(xué)評(píng)定信息系統(tǒng)及信息資產(chǎn)的重要級(jí)別，確定信息安全工作重點(diǎn)，制定近、中、遠(yuǎn)期信息安全工作規(guī)劃。

3、完善信息安全技術(shù)手段

信息安全離不開(kāi)安全技術(shù)的實(shí)施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點(diǎn)。

（1）病毒防范：建立嚴(yán)密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實(shí)行統(tǒng)一的殺毒組件分發(fā)、維護(hù)、更新和報(bào)警等，重點(diǎn)防控網(wǎng)絡(luò)終端、移動(dòng)存儲(chǔ)設(shè)備的病毒入侵和傳染。

（2）身份鑒別與訪問(wèn)控制：嚴(yán)格設(shè)定所有應(yīng)用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計(jì)技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進(jìn)入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進(jìn)入各級(jí)信息系統(tǒng)。

（3）安全審計(jì)：對(duì)網(wǎng)絡(luò)的Web瀏覽、Web發(fā)布、郵件、即時(shí)通信、FTP和遠(yuǎn)程登錄等行為進(jìn)行全面審計(jì)，對(duì)重要數(shù)據(jù)庫(kù)的訪問(wèn)對(duì)象、訪問(wèn)時(shí)間、訪問(wèn)類型和訪問(wèn)內(nèi)容進(jìn)行嚴(yán)密跟蹤，及時(shí)掌握整個(gè)網(wǎng)絡(luò)動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。

（4）入侵檢測(cè)：對(duì)內(nèi)部網(wǎng)中主要的網(wǎng)段進(jìn)行實(shí)時(shí)入侵監(jiān)測(cè)，動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，及時(shí)發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當(dāng)?shù)奶幹谩?/p>

（5）信息加密：對(duì)重要信息資料、數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。

稅務(wù)機(jī)關(guān)要立足實(shí)際，切實(shí)解決好人員、資金、技術(shù)問(wèn)題，把信息安全管理工作放在應(yīng)有位置，逐步實(shí)現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。

結(jié)束語(yǔ)

解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問(wèn)題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等，是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)。現(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視?？茖W(xué)技術(shù)的發(fā)展不一定能對(duì)任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。

參考文獻(xiàn)：

(1)戴宗坤,羅萬(wàn)伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，2002.(2)黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學(xué)出版社, 2005:7-58(3)孫銳,王純.信息安全原理及應(yīng)用.2003年7月第1版.清華大學(xué)出版社,2003:17-21(4)王聰生.信息與網(wǎng)絡(luò)安全中的若干問(wèn)題.電力信息化[J],2004(7).(5)白巖, 甄真, 倫志軍, 周芮.計(jì)算機(jī)網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報(bào)[J],2006,8(8).(6)王純斌.淺議計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學(xué)報(bào)[J],2006(9).(7)趙月霞.信息網(wǎng)絡(luò)安全設(shè)計(jì)與應(yīng)用.寧夏電力[J],2004(1).(8)陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學(xué)出版社，2005.(9)鐘樂(lè)海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社,2003.(10)張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[M].北京：人民郵電出版社,2007.(11)吳金龍,蔡燦輝,王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社,2004.(12)熊心志.計(jì)算機(jī)網(wǎng)絡(luò)信息安全初探.計(jì)算機(jī)科學(xué).2006, 33卷.B12 期:60-62(13)網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國(guó)科技信息.2006,16期:149-151

（作者單位：盤(pán)錦市大洼縣國(guó)稅局）

第四篇：信息安全策略綱要

信息安全策略綱要

1范圍

信息系統(tǒng)是技術(shù)密集的大型復(fù)雜的網(wǎng)絡(luò)化人機(jī)系統(tǒng)，其面臨的安全問(wèn)題非常突出。為了保障海南電網(wǎng)信息通信分公司（以下簡(jiǎn)稱“公司”）信息系統(tǒng)的安全可靠運(yùn)行，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)制定本策略綱要。本綱要適用于公司信息系統(tǒng)?？傮w目標(biāo)

總體目標(biāo)：保護(hù)公司信息系統(tǒng)的硬件、軟件、業(yè)務(wù)信息和數(shù)據(jù)、通信網(wǎng)絡(luò)設(shè)備等資源的安全，有效防范各類安全事故，合法合規(guī)發(fā)展各類信息系統(tǒng)，確保為社會(huì)提供高效穩(wěn)定的電力服務(wù)。規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)

《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274.1-2006）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT 22239-2008）本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國(guó)家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行?？傮w方針

4.1組織與體制

構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。

4.2 遵守法令法規(guī)

遵守與信息安全有關(guān)的法令法規(guī)，制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。

4.3信息資產(chǎn)的分類與管理

按照重要級(jí)別信息資產(chǎn)進(jìn)行分類，并妥善管理。

4.4培訓(xùn)與教育

為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開(kāi)展針對(duì)性培訓(xùn)與教育教育活動(dòng)。使他們充分認(rèn)識(shí)信息安全的重要性以及掌握正確的管理方法。

4.5物理性保護(hù)

為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對(duì)其保管場(chǎng)所與保管辦法加以明確。

4.6技術(shù)性保護(hù)

為切實(shí)保護(hù)信息資產(chǎn)不受來(lái)自外部的非法入侵，對(duì)信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?/p>

4.7運(yùn)用

為確?；痉结樀膶?shí)際成效，在對(duì)遵守情況進(jìn)行監(jiān)督的同時(shí)，對(duì)違反基本方針時(shí)的處置辦法及針對(duì)來(lái)自外部的非法入侵等緊急事態(tài)采取的應(yīng)對(duì)措施等加以規(guī)定。

4.8評(píng)價(jià)及復(fù)審

隨著社會(huì)環(huán)境的變化、技術(shù)的進(jìn)步等，應(yīng)定期對(duì)基本方針與運(yùn)用方式進(jìn)行評(píng)價(jià)與復(fù)審安全策略

5.1安全管理制度

在信息安全中，最活躍的因素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度重點(diǎn)關(guān)注管理制度、制定和發(fā)布、評(píng)審和修訂三方面。

目的是根據(jù)系統(tǒng)的安全等級(jí)，依照國(guó)家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn)，建立信息安全的各項(xiàng)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)開(kāi)發(fā)、運(yùn)行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。

5.2安全管理機(jī)構(gòu)

建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機(jī)構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專家決策，以推動(dòng)信息安全工作的開(kāi)展。

公司成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機(jī)構(gòu)，負(fù)責(zé)研究重大事件，落實(shí)方針政策，制定實(shí)施策略和原則，開(kāi)展安全普及教育等。下設(shè)辦公室負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。

信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。

5.3人員安全管理

通過(guò)建立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險(xiǎn)。人是決定性因素，人員安全管理的原則是：職責(zé)分離、有限授權(quán)、相互制約、任期審計(jì)。

人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。

信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案。

信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

5.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（初始、采購(gòu)、實(shí)施）中各項(xiàng)安全管理活動(dòng)。

系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇十一個(gè)控制點(diǎn)。

5.5系統(tǒng)運(yùn)維管理

目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定，對(duì)運(yùn)行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、有關(guān)安全機(jī)制保障、安全管理控制平臺(tái)等方面的管理要素。

對(duì)運(yùn)行過(guò)程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實(shí)施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢和變更操作需經(jīng)過(guò)授權(quán)和合法性驗(yàn)證。

應(yīng)急管理也是運(yùn)維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。

在海南省電網(wǎng)公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過(guò)測(cè)試演練修訂，同時(shí)宣傳普及。

5.6物理安全

目的是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保證信息系統(tǒng)的實(shí)體安全。

有關(guān)物理環(huán)境的選址和設(shè)計(jì)應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜電、防鼠害等機(jī)房措施，維持系統(tǒng)不間斷運(yùn)行能力，確保信息系統(tǒng)運(yùn)行的安全可靠。

對(duì)重要安全設(shè)備的選擇，需符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書(shū)齊全。

嚴(yán)格確定設(shè)備的合法使用人，建立詳細(xì)運(yùn)行日志和維護(hù)記錄。

5.7網(wǎng)絡(luò)安全

目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險(xiǎn)，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺(tái)。

對(duì)于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng)，需根據(jù)其安全級(jí)別，實(shí)施相應(yīng)的訪問(wèn)控制、身份認(rèn)證、審計(jì)等安全服務(wù)機(jī)制；在網(wǎng)絡(luò)邊界處，需根據(jù)資源的保護(hù)等級(jí)，實(shí)施相應(yīng)安全級(jí)別的防火墻、認(rèn)證、審計(jì)、動(dòng)態(tài)檢測(cè)等技術(shù)，防范信息資源的非法訪問(wèn)、篡改和破壞。

5.8主機(jī)安全

主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)承載著各種應(yīng)用，是保護(hù)信息安全的中堅(jiān)力量。

主機(jī)安全需著重關(guān)注和加強(qiáng)身份鑒別、訪問(wèn)控制、惡意代碼防范、安全審計(jì)、入侵防范幾個(gè)方面，同時(shí)定期或不定期的進(jìn)行安全評(píng)估（含滲透性測(cè)試）和加固，實(shí)時(shí)確保主機(jī)的健壯性。

5.9應(yīng)用安全

應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程及最終產(chǎn)品的安全性。

在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，是基本的應(yīng)用；業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求；故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運(yùn)行。

應(yīng)用系統(tǒng)的總體需求計(jì)劃階段，應(yīng)全面評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的訪問(wèn)控制、身份認(rèn)證、審計(jì)跟蹤等安全需求；總體架構(gòu)設(shè)計(jì)階段，應(yīng)實(shí)施安全需求設(shè)計(jì)，確立安全服務(wù)機(jī)制、開(kāi)發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)用系統(tǒng)的實(shí)現(xiàn)階段，應(yīng)全程實(shí)施質(zhì)量控制，防止程序后門(mén)，減少代碼漏洞；在上線運(yùn)行之前，應(yīng)充分進(jìn)行局部功能、整體功能、壓力測(cè)試，以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測(cè)試。5.10數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、應(yīng)用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。附 則

? 本標(biāo)準(zhǔn)由海南電網(wǎng)公司信息通信分公司負(fù)責(zé)解釋。

? 本標(biāo)準(zhǔn)自頒布之日起實(shí)行。

第五篇：企業(yè)網(wǎng)絡(luò)信息安全策略

企業(yè)網(wǎng)絡(luò)信息安全策略

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)管理也越來(lái)越受到人們的重視，企業(yè)的發(fā)展更離不開(kāi)網(wǎng)絡(luò)，但是網(wǎng)絡(luò)的質(zhì)量又直接影響著企業(yè)的信息安全管理，因此，企業(yè)需要制定一種網(wǎng)絡(luò)和數(shù)據(jù)安全策略，提高網(wǎng)絡(luò)管理員的信息掌控能力，為了把企業(yè)網(wǎng)絡(luò)管理做到安全合理，翔羚科技給廣大企業(yè)做出以下幾點(diǎn)建議。

評(píng)估企業(yè)網(wǎng)絡(luò)完整性

評(píng)估網(wǎng)絡(luò)的完整性?！傲私庾约?IT 基礎(chǔ)架構(gòu)的起點(diǎn)和終點(diǎn)，但仍有為數(shù)眾多的企業(yè)不清楚其網(wǎng)絡(luò)的整體性。還要了解自己的?正常狀態(tài)?是什么，這樣能夠便于你快速確定問(wèn)題并作出響應(yīng)?！敝匦略u(píng)估您的可接受使用策略和商業(yè)行為準(zhǔn)則?！皰仐壞欠N冗長(zhǎng)的安全政策清單的做法，只將焦點(diǎn)放在那些您知道自己必須實(shí)施且能夠?qū)嵤┑恼呱??！?/p>

做好企業(yè)內(nèi)部人員數(shù)據(jù)管理

確定必須保護(hù)哪些數(shù)據(jù)?！叭绻恢辣仨毐Ｗo(hù)企業(yè)內(nèi)部的哪些信息，您就無(wú)法構(gòu)建有效的 DLP 計(jì)劃。您還必須確定企業(yè)內(nèi)部哪些人有權(quán)訪問(wèn)這些信息，以及必須采用什么方式?！绷私鈹?shù)據(jù)所在位置，目前采用什么方式進(jìn)行保護(hù)(以及是否正進(jìn)行保護(hù))?！按_定哪些第三方有權(quán)存儲(chǔ)您公司的數(shù)據(jù)(從云服務(wù)提供商到電郵營(yíng)銷(xiāo)企業(yè))，確保您的信息正得到適當(dāng)?shù)谋Ｗo(hù)。合規(guī)要求，以及當(dāng)前網(wǎng)絡(luò)犯罪領(lǐng)域?牽一發(fā)而動(dòng)全身?的發(fā)展趨勢(shì)都表明，企業(yè)絕對(duì)不能假設(shè)自己的數(shù)據(jù)是安全的，即便是這些我要走了，今天就早！你給我的工資太高了我受不起啊，我每天都遲到自己感到十分的內(nèi)疚，不過(guò)每天都是我來(lái)最早的！合同我已經(jīng)撕了，你的那份我也幫你偷偷的撕了。我不會(huì)怪你的老板，要怪就怪那個(gè)寶寶，她怎么就在貴州了呢？我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里?！?/p>

合理采用監(jiān)控

采用出口監(jiān)控?！斑@是一項(xiàng)基本要求，但是很多企業(yè)都不夠重視，出口監(jiān)控是一種監(jiān)控重心的轉(zhuǎn)變，而不是僅側(cè)重于阻止?壞人?進(jìn)來(lái)。您應(yīng)該監(jiān)控那些由內(nèi)向外發(fā)送的內(nèi)容，包括發(fā)送者是誰(shuí)、發(fā)往何處，并攔截那些不允許外泄的內(nèi)容?！睖?zhǔn)備迎接必然到來(lái)的 BYOD。“企業(yè)不要再去想何時(shí)轉(zhuǎn)變到 BYOD 模式，而是要開(kāi)始思考如何轉(zhuǎn)變?！?/p>

做好企業(yè)應(yīng)變決策

制定事件響應(yīng)計(jì)劃。“IT 方面的風(fēng)險(xiǎn)應(yīng)該像任何其他業(yè)務(wù)風(fēng)險(xiǎn)一樣對(duì)待。這意味著企業(yè)需要預(yù)先制定明確的計(jì)劃，以便對(duì)任何類型的安全事件迅速作出適當(dāng)?shù)姆磻?yīng)，無(wú)論這些事件屬于有針對(duì)性攻擊所造成的數(shù)據(jù)泄露、員工疏忽導(dǎo)致的違規(guī)還是黑客行動(dòng)主義事件?！睂?shí)施安全措施幫助彌補(bǔ)對(duì)社交網(wǎng)絡(luò)控制的不足?！安灰凸兰夹g(shù)控制的強(qiáng)大力量，比如用于抵御網(wǎng)絡(luò)威脅的入侵防御系統(tǒng)。聲譽(yù)過(guò)濾系統(tǒng)也是一種用于檢測(cè)可疑活動(dòng)和內(nèi)容的基本工具。”監(jiān)控風(fēng)險(xiǎn)形勢(shì)的動(dòng)態(tài)變化，及時(shí)向用戶通報(bào)?！捌髽I(yè)及其安全團(tuán)隊(duì)需要對(duì)范圍更廣的風(fēng)險(xiǎn)來(lái)源保持警惕，包括移動(dòng)設(shè)備、云和社交網(wǎng)絡(luò)，以及未來(lái)新技術(shù)可能伴隨的任何威脅。他們應(yīng)該采用雙管齊下的方法：對(duì)安全漏洞泄露作出反應(yīng)，同時(shí)主動(dòng)教育員工如何保護(hù)自身和企業(yè)抵御持久、嚴(yán)重的網(wǎng)絡(luò)威脅。”