伊朗网军入侵twitter后再度攻陷百度,谷歌电邮系统遭到入侵,连赛门铁克这个全球知名的企业终端安全安全产品的公司被入侵企业终端,看似不相关的事件事实彰显了同一个问题,企业信息化安全问题暗潮涌动。
试问,如此精通于网络之道的企业巨头尚且不能避免被黑,如果我们的企业也遭遇这样的撞击,那会是怎样的情景?在信息时代,我们安全吗?
企业面临三大威胁:物理安全威胁、网络安全威胁,数据安全威胁。
物理安全的威胁主要表现在:软件资产(应用软件、操作系统、数据库等)和硬件资产(计算机及外设、网络设备、UPS设备、打扫码设备、视频监控设备等)、面临自然灾害(如火灾、雷击)、环境事故及不法分子通过物理手段进行的违法犯罪等威胁。
网络安全威胁主要表现在:病毒、木马造成网络拥塞与瘫痪;内部ARP防火墙攻击、DDOS攻击;VLAN划分不当形成大量的冲突域造成网络风暴;黑客的入侵造成内部数据的泄密和丢失等。
数据安全威胁主要表现在:数据被破坏、删除或窃取、恶意篡改;不可预测的灾难导致数据库的崩溃等。这些风险都可能造成公司业务的中断,甚至破坏公司的品牌和信誉。
企业已经意识到了信息化建设的重要性,也体验到了信息化带来的诸多便捷。但在注重信息化建设的同时,企业并未注意到其中的安全隐患,安全理念严重缺失。信息化建设越来越普及,我们对信息系统的依赖性不断增长,而由于信息建设期间安全建设理念并未深入到企业中,潜在的风险就越大,信息系统的脆弱性也日益暴露。如何规范日趋复杂的信息系统安全保障体系建设已成为当前行业实现信息化运作亟待解决的问题。
企业的网络规划不完善、技术设计不完善及安全管理不完善,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,同时针对信息系统的"弱点"进行改进,以此降低潜在的安全危险,通过有效的措施把可能面临的安全威胁最大限度地弱化。