洛阳新闻,党建新农村建设,蔷靖潞影,杨雨婷 张书记
 
位置: 亚洲金融智库网 > 网络安全 > 正文

信息安全主要包括哪些内容

时间:2021-07-08 21:34
本文关于信息安全主要包括哪些内容,据亚洲金融智库2021-07-08日讯:

信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

网络安全之信息防泄漏=全加密?

信息防泄漏是指通过一定的技术手段,防止企业的指定(重要或者敏感的)数据或信息资产以违反安全策略规定的形式流出企业的一种策略。从字面意思来看,信息防泄漏是防止信息的外泄。
  “在进行任何修改后文档能自动加密,丝毫不影响用户操作。
没有授权的情况下,带出去也看不了”诚然,透明加密的概念很诱人,但仅上加密能保证信息不外泄吗?我们就能高枕无忧了吗?加密是信息防泄漏的终极武器吗?最近与几位安全业界专家、客户也就此问题探讨了一番,在此,与大家一同分享其中的精彩观点。
  有些企业只安装了加密,希望借此来保证数据安全,对于这种现象,网络游侠张百川提醒道:加密算法并非牢不可破,一旦算法被攻破,企业就暴露在危险环境中而无招架之力。
实施了加密,还是需要多种技术联合起来防泄漏。
  是药三分毒,郑州三全食品股份有限公司CIO周清湘对加密技术也持谨慎观点。“‘加密’手段既是保险柜,也是死胡同。加密后,即使数据泄露出去,因为看不到原文企业也不会为此紧张;反之,若加密技术有问题,加密算法被破解那么企业就非常难过了。
不可盲目轻信加密技术,所以也就要当心‘如何加密?’‘范围多大?’等问题。”他如是说。
  有些企业采取的做法是一刀切地在内部部署加密,而一些企业只在研发设计等核心部门部署了文档加密产品。然而,只在核心部门部署文档加密产品,那么在与其它部门交互的时候,边界安全将得不到保证。
而且我们又该怎样定义核心部门呢?
  制造业信息化专家黄培博士指出安全体系中的“核心部门”与企业组织架构中的“核心部门”并不相同,安全体系的架构不应按照企业组织架构来考虑,而应该以核心信息流转的角度来考虑。“一般企业组织架构中,核心部门在设计、财务、销售等部门,而在安全体系中,所有能接触到核心信息的部门都应该是核心部门。

  实施过加密的企业应该深知,加密虽然看起来“透明”,实则会多少影响一些系统运行效率。如果对不需要加密的文档都盲目加密,系统运行效率将受到更大的挑战。安全与效率不可兼得,管理者需要在安全和效率之间取得一定的平衡。是药三分毒,加密会在一定程度上影响组织原有的业务流程,不是所有的组织都适合部署加密产品,甚至加密只适合于某些高度涉密的特定部门。

  加密系统一般都会辅以对应的外发审批机制,这就要求有对应的规章流程,以及有对应的审批人员和权限规定。如果组织的规模很大,所有人都要审批,又没有专门的部门,那么外发审批很明显会成为一场灾难。对于一些要求不那么严格的组织来说,对常见的网络、外设、Email等进行完整的审计和一定的限制,就足以达到效果了。

  加密与信息防泄漏不能划等号,但不可否认,加密是信息防泄漏中核心的一环。那我们如何在不影响业务流程的前提下,实现安全呢?又如何使得加密更好地为我们所用呢?
  三一重工股份有限公司研究总院信息化经理谭俊峰兼顾安全与效率平衡的做法是既“顾全大局”,又不“过犹不及”。
他的理念是从全局出发的,“设计部门只是企业的一个环节或者一个点,只是对一个部门做了加固很难防范安全边界,很多时候设计部门的东西可以通过别的部门流出来。” 看来,平衡二者的重点是要理解“核心部门”。
  每个公司的业务流程不同,核心信息不同,那么流转的部门也就不同。
加密范围,也就更为不同。并且,随着企业业务变化,和信息化的建设,企业本身的核心数据流动也会发生变化。正因为如此,整体加密与局部加密在很多情况下,不能说孰优孰劣。回到“信息防泄漏”中的“信息”一词,“信息”是指有意义的数据,那么判定信息是否是核心信息,才应该是加密的要点。
即使在“核心部门”,也不是工作中100%都是敏感信息。
  武汉凡谷电子技术股份有限公司信息部经理朱哲表示,通常的情况,就算是核心部门,工作中80%还是非敏感的信息,日常业务中诸如出差申请单、办公用品申请单都需要审核解密,对工作效率影响太大。

  虽然每个企业的加密范围无从统一,内容判定也不相同,但是同样的是,加密以后的安全审计很重要。“企业要经常性的进行检查以评估安全的效能,不要以为加密后就万无一失。”杭州汽轮机股份有限公司黄梁所长强调,“就算是信息防泄漏体系,也不能保证万无一失。
”安全永远都是相对的。青岛中集冷藏箱制造有限公司信息主任耿峰点明问题的源头:“因为这些系统是人在使用。”
  对此,武汉凡谷电子技术股份有限公司信息部经理朱哲深有体会。加密技术之于他和凡谷电子来说,最有效的是“防止了信息被人为的无意识、不经意地泄露”。
加密技术就像是一堵墙,因为信息要流通,就要开一个门,有门就要有门岗来守安全。任何企业都有供应商、客户、关系单位、管理政府部门,订单、采购信息、报告、请示等各种各样的电子文件,其中涉及到各种流程、人。而这些流程和人就是企业加密系统的门和门岗。流程需要人来审核,人和门岗都需要管理。
只有完善的管理制度,才会真正的将技术的作用发挥出来。
  单一的加密不能实现信息防泄漏,信息防泄漏要用整体的理念来对待。加密只是解决了机密信息本身的保密性问题,而不能解决信息使用、流通中的泄漏风险。企业如果想全盘控制自己的机密信息,必然要对信息的存储、使用、传播都做出保护。
加密就像一个坚固的保险柜,把机密信息锁起来,保险柜虽然安全,但没有人想自己的保险柜随便出现在大街上。
  而且,并不是所有部门都适合部署加密产品。加密虽然能够大大提升企业的信息资产的安全性,但加密也是会对原有的工作流程会产生较大影响。
虽然安全性很高,由于可能涉及到申请、审批、外发、离线等工作流程,必然会以信息流动受阻为代价。这种受影响的程度,视企业想要做到的权限控制和保密的细致程度而定,因此,企业应该衡量安全与效率之间的平衡。
  并不是所有部门都适合部署加密?那企业应该在多大的范围内部署加密?这“应企而异”。
企业信息系统中所包含的信息的机密程度是不同的,大部分的信息可能是普通信息,涉及到机密的核心信息只是一小部分。
  此外,这些信息可能集中在某个核心的业务部门,但更多的可能是分散在不同部门中,即每个部门都有其需要高度保密的信息。
这就要求企业在部署加密产品时,应该以机密信息为中心,视存储和处理的信息的重要程度来决定某个终端的保密级别。企业所部署的信息防泄漏方案,也应该考虑到策略制定、下发、实施和更改的灵活性与便捷性,注重可变性、可扩展性等特性。


专题推荐:网络安全(1850)加密(6)泄漏(1)
打印此文】 【关闭窗口】【返回顶部
·上一篇:怎么后台管理网站 ·下一篇:没有了
网络安全(1850)加密(6)泄漏(1)相关文章
推荐文章
最新图文


亚洲金融智库网版权所有
  亚洲金融智库网主要提供风险管控,网络安全,舆论公关,金融法务,金融培训等相关资讯。