企业网络安全

《企业网络安全》由会员分享，可在线阅读，更多相关《企业网络安全（2页珍藏版）》请在金锄头文库上搜索。

1、企业网络安全之安全维度这几年国内网络安全概念很热，国家层面在谈，政府在谈，各种公司在谈，各行各业的从业 人员也在谈，仿佛网络安全一下子从圈子内专业人员的小众化专业词汇，变成众人热捧的时 尚名词，从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障 视角还是专业价值体现甚至到国家安全层次，网络安全 理应上升到一定的高度，得到肯定 和重视。说了这么多网络安全，那么网络安全是什么呢?先从这个词语本身来看，大概在 90年代末期 国内出现了与计算机安全有关的内容与要求，成为网络安全，如果对应成英文会更容易理解Network Security,没错，就是网络安全，以网络为核心的安全。当

2、时的环境，信息化较早的 公司开始建设企业网络，国家也在开始部署X金工程，金卡、金关、金盾等等，核心内容就 是两个业务系统信息化与跨地域网络联通，这种大环境下，安全的重点就不难理解为网络层 面的安全，保护网络的边界，确保联网后不出现重大安全事件。过了几年，大概到 2005、 2006年，开始采用信息安全这个词语，对应的英文变为Information Security，更加重视保护 信息，也就是内容与数据，这时的信息安全所指的安全涵盖范围更广泛，内容更多样，包括 了传统的网络安全内容，也包括了信息、数据等安全内容。近几年安全的专业词语又发生了 变化，成为网络安全，但这个网络安全不同于最初的网络安全

3、，从英文上看，已经演化为 Cyber Security，可以理解为网络空间的安全，这个范围就更大更广泛了，甚至不仅仅是商业 视角的范畴了，具体几个词语的意义与演化可以在网上找找，有很清晰的解释。不管称为网络安全也好，信息安全也好，词语在更新，内容在演化，涵盖的领域也在不断完 善与丰富，这就要求我们从业人员深刻领会与理解，并运用到实际专业工作中。不过从实践 角度来看，笔者从1998年开始专业从事网络安全工作到现在也有17年的时间，国内无论是 甲方安全管理还是乙方的安全服务与咨询，大部分的重点还是放在了传统IT安全的领域， 比较侧重在技术与基础安全，这些方面不是不重要，只是可能忽略与遗漏企业安全中

4、其他领 域，从而降低IT安全本身的价值。从一个公司商业利益的角度，所有的投资最终要转化为 对商业利益有所贡献的活动，这也是公司所有者、经营者、高级管理层更加重视与更容易理 解的内容。在IT安全活动与商业利益活动中，往往缺乏了一些直接的关联关系或者中间层 次的递进，出现企业中高层非常重视安全但又很难理解安全价值的情况。笔者结合自己的专业经验与遇到的各种企业安全情况，总结了一些内容，供大家参考，如能 对各位工作有所帮助，也算是一点小贡献吧。首先，企业安全不是一个二维平面的状态，简单说，企业安全不是一般物理上看到的地域、 区域、部门、分支机构连接的平面图，在二维平面上往往更加关注在网络 安全、边界安

5、全、 访问控制等安全设备的堆叠与各种解决方案的部署，而企业安全应该是一个三维、四维的立 体时空状态，今天我们先不讨论“四维时空企业安全理论”，这个我会单独文章分享与探讨。 从三维角度，企业安全包括安全纵深维度、安全情景维度与安全策略维度。如下图所示：应用虫全敌据安全技术蓝全企业安全三维图 企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。 我们现在大部分的安全工作侧重在技术安全与一部分数据安全，对应用安全与业务安全涉及 较少，或者这部分工作由企业内其他团队负责，可能出现纵深维度的脱节，当然这方面的全 栈型人才本来就极少，能把4 个层次贯通起来的，同时视角又够一定层次的就更少了。 不

6、过具体4 个层次的内容，在这里就不解释，大部分应该都能理解，后续也会写一些专题， 讨论各个层次的问题。安全情景维度包括： 行业特性，每个行业自身的安全要求具有较大差异。 业务特性，由于业务特性的要求，每个企业即使行业类似，对安全的要求与重点领域同样具 有较大差异。体系架构，体系架构的要求，对安全影响更加直接，如应用云计算环境与传统计算模式对安 全要求的巨大差异。合规要求，合规驱动的安全，无论是监管还是资本市场亦或是特殊行业要求，如银监会的指 引、Sox与C-Sox、PCIDSS、ADSS等，数据保护、隐私管理等等。这些内容会贯穿整个企业安全纵深维度，也就是不仅仅考虑业务安全，应用安全、数据安全 与技术安全同样面临各个安全情景维度的引导与控制。企业安全策略维度包括： 战略规划，企业的安全战略与总体要求，指引整个企业的安全活动 管理体系，管理要求技术体系，技术要求 解决方案，落地的实务方案与执行 这个维度的内容，从企业的安全战略出发，正式或者非正式的安全战略指引企业安全的方向， 成为企业安全与公司高层次策略与管理者的接口，通过管理体系与技术 体系的企业安全管 控与建设要求，形成具体化的流程、活动、行为准则，承接战略目标的落地与具体解决方案 的价值保障，最终所有内容通过解决方案得到落地执行。