目前在信息安全领域,攻击手段和工具、防护手段和工具都日新月异,现在大家都认可没有绝对的安全这一理念,那对一个企业来说,该如何界定相对安全的范围,或者说,有没有某种方法论,或者某个规范,来指导一个企业安全体系的建设,实现由被动接受安全厂家主动ppt式的宣传推销到根据自身需要自主选择产品的转变?
目前国内并没有一个值得称道且统一的安全体系,最多也就是一些行业牛人根据自己想法编著给大众参考的,就目前来说,一定要选一个安全标准体系做参考的话,国内的“信息安全等级保护“算是一个,不过这个等保的制度从1994年到现在已经10多年了,还是差不多停留在原地,国际的安全标准倒是有很多,比如我们众所周知的ISO27000家族体系(27000,27001,27002)和ISO7498-2,其中ISO27002中包含了14大安全域,ISO7498强调了两个指标分别是五类安全服务,七类安全制度。这两类体系可以相辅相成,同时也存在很大的区别,比如他们的出发点,等级分类,安全分类都不一样。
所以从相对安全论来说,你如果能做到这两类安全体系的结合,从设备(含物理)安全,数据安全,内容安全,行为安全上做到对数据的保密性,完整性,不可否认性那么我就认为就是安全的。
当然我们刚才说了这么多,主要还是技术上的安全管理,日常应用中,我们通常是需要结合组织架构体系(如人事,行政,关联岗位)和管理体系(培训,制度,流程,法律等)
ps:
14大安全领域:包括通信安全、访问控制、业务连续性、信息安全组织、物理与环境安全、人力资源安全等
五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。
七类安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制和公证机制。
收起