400-888-5228

CISSP認(rèn)證是信息安全領(lǐng)域的權(quán)威認(rèn)證,由國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC)2提供。它評(píng)估個(gè)人在信息安全領(lǐng)域的知識(shí)和技能,包括安全管理、安全架構(gòu)、安全工程、安全運(yùn)營(yíng)等方面。獲得CISSP認(rèn)證可以證明持證人具備專業(yè)的信息安全知識(shí)和能力。

  • 中文名CISSP信息安全專家認(rèn)證
  • 英文名Certified Information Security Systems Professional
  • 英文簡(jiǎn)稱CISSP
  • 頒證機(jī)構(gòu)(ISC)2(國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì))
  • 證書類別信息安全
  • 同類認(rèn)證CISM、CRISC、CISA

信息安全事件到底是啥?簡(jiǎn)單來(lái)說(shuō),就是在組織里出現(xiàn)了不好的信息安全狀況,像信息泄露啦、中了勒索病毒啦、數(shù)據(jù)被損毀啦等等。

總的來(lái)講,只要是對(duì)機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)這CIA三元素造成破壞的事情,都能算作信息安全事件。信息安全管理呢,就是要全力_信息的機(jī)密性、完整性和可用性,這是貫穿整個(gè)信息安全管理全局的一個(gè)思路。包括在進(jìn)行信息安全審計(jì)和評(píng)估的時(shí)候,通常也從這三個(gè)方向著手進(jìn)行分析。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第1張

01

因?yàn)榘踩芾砣笔?dǎo)致的企業(yè)受影響的案例數(shù)不勝數(shù),以下是今年上半年發(fā)生在我國(guó)的一些信息安全事件:

6

  • 香港中文大學(xué)專業(yè)進(jìn)修學(xué)院遭黑客入侵,20870 名學(xué)生、教職員工和校友個(gè)人信息泄露,涵蓋用戶名、真實(shí)姓名等詳細(xì)內(nèi)容。
  • 名為 Rafel 的開源遠(yuǎn)程控制木馬(RAT)攻擊安卓設(shè)備,三星、小米、vivo、華為等品牌受影響,中國(guó)用戶成為主要攻擊目標(biāo)之一。

5

  • 太原公安發(fā)布,1 月至今,15 家企業(yè)因信息泄露隱患、數(shù)據(jù)安全隱患,被行政警告并責(zé)令限期整改。
  • “某客查”平臺(tái)依靠大數(shù)據(jù)技術(shù)抓取大規(guī)模售賣國(guó)內(nèi)企業(yè)家個(gè)人信息,包括農(nóng)夫山泉?jiǎng)?chuàng)始人鐘睒睒等多位知名企業(yè)家。
  • 杭州互聯(lián)網(wǎng)法院審理個(gè)人信息保護(hù)民事公益訴訟案,犯罪嫌疑人李某非法購(gòu)入、售賣新生兒個(gè)人信息 3 萬(wàn)余條,被判刑并處罰金。

3

  • 我國(guó)某高新科技企業(yè)遭境外黑客攻擊,信息化系統(tǒng)及數(shù)據(jù)被加密鎖定,生產(chǎn)經(jīng)營(yíng)活動(dòng)被迫停止。
  • 研究人員發(fā)現(xiàn)國(guó)內(nèi)某辦公軟件曝出嚴(yán)重漏洞,攻擊者能未經(jīng)身份驗(yàn)證遠(yuǎn)程上傳惡意文件到服務(wù)器執(zhí)行任意代碼,北京、廣東等地風(fēng)險(xiǎn)資產(chǎn)及關(guān)聯(lián) IP 眾多。

2

  • 江蘇常州警方查處新生兒信息泄露案,犯罪嫌疑人販賣 2.6 萬(wàn)條新生兒信息,非法獲利 30 余萬(wàn)元。

1

  • 中小企業(yè)網(wǎng)絡(luò)安全調(diào)查發(fā)布,中國(guó) 42%的中小企業(yè)在過(guò)去 12 個(gè)月遭到網(wǎng)絡(luò)攻擊,其中 75%的中小企業(yè)客戶信息落入網(wǎng)絡(luò)攻擊者手中。
  • 安全人員發(fā)現(xiàn),互聯(lián)網(wǎng)上有近 1100 萬(wàn)臺(tái) SSH 服務(wù)器暴露,中國(guó)有近 130 萬(wàn)臺(tái)服務(wù)器存在安全風(fēng)險(xiǎn),易受“水龜攻擊”,且“水龜攻擊”潛伏期長(zhǎng)、難以發(fā)現(xiàn),數(shù)據(jù)安全問(wèn)題發(fā)現(xiàn)存在滯后性。
  • 網(wǎng)信辦通報(bào),知名火鍋連鎖品牌在收集個(gè)人信息和存儲(chǔ)個(gè)人信息環(huán)節(jié)存在違法違規(guī)行為,如外送微信小程序強(qiáng)制索取精準(zhǔn)位置信息,會(huì)員及員工信息未加密存儲(chǔ)。

每年都會(huì)出現(xiàn)此類事件,感興趣的都可以自己再搜搜看。這些事件的發(fā)生一次又一次地警示著我們,危機(jī)從未停止,務(wù)必要做好信息安全相關(guān)工作。

02

那怎么才能把信息安全工作做好呢?這里給出一個(gè)總體思路,供參考:

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第3張

  • 風(fēng)險(xiǎn)管理:包括對(duì)風(fēng)險(xiǎn)進(jìn)行分類,采集公司和系統(tǒng)可能存在的風(fēng)險(xiǎn),對(duì)采集的風(fēng)險(xiǎn)識(shí)別以及對(duì)風(fēng)險(xiǎn)進(jìn)行跟蹤,管控和處理風(fēng)險(xiǎn);
  • 安全管理:主要以建立網(wǎng)絡(luò)安全體系為主,包括安全技術(shù)架構(gòu)、安全策略、技術(shù)管理和人員管理四個(gè)方面;
  • 安全運(yùn)營(yíng):包括安全運(yùn)維操作、安全體系落地、安全審計(jì)工作、安全數(shù)據(jù)分析以及安全績(jī)效考核等。

03

風(fēng)險(xiǎn)管理:提前預(yù)見并掌控潛在威脅

風(fēng)險(xiǎn)管理是信息安全管理的頭一步。這要求企業(yè)得有風(fēng)險(xiǎn)意識(shí)和危機(jī)意識(shí),通過(guò)辨認(rèn)、評(píng)估還有控制風(fēng)險(xiǎn),把那些可能的威脅早早解決掉。

同時(shí),通過(guò)風(fēng)險(xiǎn)管理,搞清楚各種風(fēng)險(xiǎn)的類型、各種攻擊手段的原理,把企業(yè)存在的風(fēng)險(xiǎn)和可能的漏洞都收集起來(lái)辨認(rèn)清楚,建立起風(fēng)險(xiǎn)的生命周期管理,_對(duì)企業(yè)現(xiàn)有的風(fēng)險(xiǎn)和可能帶來(lái)的威脅心里有數(shù)。

1.風(fēng)險(xiǎn)分類

風(fēng)險(xiǎn)能分成外部風(fēng)險(xiǎn)和內(nèi)部風(fēng)險(xiǎn)。外部風(fēng)險(xiǎn)一般是像網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露這種由外面因素引起的安全問(wèn)題;內(nèi)部風(fēng)險(xiǎn)呢,就是員工不小心操作錯(cuò)了或者內(nèi)部人員亂用權(quán)限這類情況。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第5張
另外,像重要系統(tǒng)、數(shù)據(jù)庫(kù)沒(méi)有弄好備份驗(yàn)證機(jī)制,缺少高可用支持這些,也都屬于風(fēng)險(xiǎn)。

2.風(fēng)險(xiǎn)生命周期管理

風(fēng)險(xiǎn)管理可不光是識(shí)別風(fēng)險(xiǎn),更重要的是建立起風(fēng)險(xiǎn)的生命周期管理,這里面包括風(fēng)險(xiǎn)收集、辨認(rèn)、跟蹤還有處理。通過(guò)定期做滲透測(cè)試和用網(wǎng)絡(luò)安全設(shè)備掃描,企業(yè)就能及時(shí)發(fā)現(xiàn)并處理安全風(fēng)險(xiǎn)。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第7張 如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第9張

04

安全管理:搭建企業(yè)安全體系

安全管理是企業(yè)信息安全體系的基石,它包括安全架構(gòu)、安全策略、技術(shù)管理和人員管理。

  • 安全架構(gòu)主要是結(jié)合企業(yè)的軟硬件設(shè)備和網(wǎng)絡(luò),搭建信息安全架構(gòu);
  • 安全策略是安全體系的核心,就是對(duì)軟硬件設(shè)備、網(wǎng)絡(luò)、服務(wù)器、應(yīng)用、數(shù)據(jù)庫(kù)、客戶端這些 IT 方面日常工作的規(guī)定,后面所有安全體系的落實(shí)都得靠它;
  • 安全技術(shù)主要是把安全策略一條一條拆開,制定出相應(yīng)的細(xì)則規(guī)范并且實(shí)際落實(shí);
  • 人員管理主要是有關(guān)安全組織架構(gòu)、人員還有培訓(xùn)這些方面的管理。

 

1.安全架構(gòu)

安全架構(gòu)涉及到軟硬件設(shè)備的合理組合,搭建起企業(yè)的信息安全技術(shù)架構(gòu)。這里面有網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)區(qū)域劃分、云防護(hù)、防火墻、IPS/IDS、WAF、審計(jì)、日志服務(wù)器等等,組成企業(yè)的_道防線。(參考下圖:一些大中型企業(yè)的較為完善的安全架構(gòu))

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第11張

2.安全策略

安全策略是安全體系的核心,包含了物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)安全的策略制定。這些策略給企業(yè)的安全建設(shè)定了規(guī)矩。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第13張

  • 物理安全策略:機(jī)房和公司運(yùn)行相關(guān)的物理安全都有規(guī)范和要求,比如機(jī)房建設(shè)和管理、公司的監(jiān)控門禁電話等方面。
  • 數(shù)據(jù)安全策略:根據(jù)業(yè)務(wù)數(shù)據(jù)重要程度分類分級(jí),在數(shù)據(jù)產(chǎn)生到銷毀各環(huán)節(jié)都有相應(yīng)的安全規(guī)定。
  • 網(wǎng)絡(luò)安全策略:網(wǎng)絡(luò)設(shè)備要_安全避免單點(diǎn)故障,無(wú)線網(wǎng)絡(luò)、網(wǎng)絡(luò)訪問(wèn)要管理控制和審計(jì),設(shè)備策略設(shè)置要合理。
  • 系統(tǒng)安全策略:包含終端和服務(wù)器等的安全策略,像密碼設(shè)置、服務(wù)器管理等都有具體要求。

3.技術(shù)管理

技術(shù)管理就是把安全策略變成能執(zhí)行的技術(shù)方案,像服務(wù)器部署的標(biāo)準(zhǔn)、數(shù)據(jù)庫(kù)的安全加固、應(yīng)用中間件的配置等等。

4.人員管理

人員管理主要是提高員工的安全意識(shí)和技能,通過(guò)培訓(xùn)和演練,_每個(gè)人在安全事件發(fā)生的時(shí)候都能做出正確反應(yīng)。

05

安全運(yùn)營(yíng):持續(xù)監(jiān)督與改進(jìn)

安全運(yùn)營(yíng)是信息安全管理一直要做的事,包括日常運(yùn)維、安全審計(jì)、數(shù)據(jù)分析和績(jī)效考核。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第15張

1.安全運(yùn)維

日常運(yùn)維得按照定好的安全策略和技術(shù)標(biāo)準(zhǔn)來(lái),_運(yùn)維操作安全而且能被檢查。

一般日常運(yùn)維工作,包含:

  • 服務(wù)器上下架
  • 操作系統(tǒng)部署和配置
  • 反向代理服務(wù)部署和配置
  • 數(shù)據(jù)庫(kù)部署和配置
  • 應(yīng)用服務(wù)部署和配置
  • 應(yīng)用發(fā)布和應(yīng)用變更
  • 服務(wù)器賬戶管理
  • 數(shù)據(jù)庫(kù)賬戶管理
  • 數(shù)據(jù)庫(kù)數(shù)據(jù)處理
  • 其他運(yùn)維服務(wù)部署和配置修改
  • ……

2.安全審計(jì)

安全審計(jì)是監(jiān)督安全策略執(zhí)行的情況,_所有安全措施都能真正落實(shí)。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第17張

簡(jiǎn)單來(lái)說(shuō),安全審計(jì)就是對(duì)于制定了啥的執(zhí)行的情況和操作了啥的操作記錄進(jìn)行審計(jì),這是廣義的安全審計(jì)。狹義上的安全審計(jì),主要是指信息安全相關(guān)的內(nèi)容。

 

3.安全分析

通過(guò)分析安全數(shù)據(jù),企業(yè)就能知道安全體系的運(yùn)行情況,找到并補(bǔ)上潛在的安全漏洞。

如何打造企業(yè)信息安全的“銅墻鐵壁”? 看這三大組合拳:風(fēng)險(xiǎn)管理、安全管理、安全運(yùn)營(yíng) -- 第19張

安全分析一部分是安全審計(jì)的結(jié)果,用來(lái)分析公司安全執(zhí)行情況;還有公司安全設(shè)備和平臺(tái)記錄的被攻擊數(shù)據(jù)信息,以及公司的安全事件記錄,這些都是安全數(shù)據(jù)分析的東西。

4.安全績(jī)效考核

安全績(jī)效考核是為了鼓勵(lì)員工和組織一直提高安全水平,通過(guò)考核讓安全體系更完善。

06

總結(jié)

信息安全管理是一個(gè)系統(tǒng)性的工程,需要企業(yè)在風(fēng)險(xiǎn)管理、安全管理和安全運(yùn)營(yíng)等多個(gè)層面進(jìn)行全面布局。通過(guò)建立有效的信息安全管理體系,不僅可以降低安全風(fēng)險(xiǎn),還能為業(yè)務(wù)的可持續(xù)發(fā)展提供有力_。

好了,今天就說(shuō)這么多。如果你想要掌握更多信息安全管理方面的知識(shí)和技能,小艾老師推薦大家參加:CISM信息安全經(jīng)理認(rèn)證CISSP信息安全專家認(rèn)證

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開。 必填項(xiàng)已用*標(biāo)注

  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    【延期到11/5】什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-05 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-07 20:00
    職場(chǎng)故事:從文科生到IT領(lǐng)域的轉(zhuǎn)型之路
  • 2024-11-08 14:00
    數(shù)字化人才的“1+X”證書策略!這樣安排,回報(bào)率最高
  • 2024-11-12 20:00
    流程框架與績(jī)效管理
  • 2024-11-14 20:00
    “一切皆項(xiàng)目”!IT經(jīng)理的項(xiàng)目管理之道
  • 2024-11-19 20:00
    流程體系建設(shè):組織之間的高效協(xié)同,流程管理體系構(gòu)建與落地
  • 2024-11-21 20:00
    神秘莫測(cè):密碼學(xué)和加密解密
  • 2024-11-26 20:00
    職場(chǎng)故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場(chǎng)需要的技能
  • 2024-11-28 20:00
    智能財(cái)務(wù)運(yùn)營(yíng)的未來(lái)視角:RPA與AI技術(shù)的融合應(yīng)用
  • 2024-11-29 14:00
    周五課堂:如何帶團(tuán)隊(duì)?靠什么服眾?那些無(wú)處不在的“軟技能”
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-21
  6. CDMP數(shù)據(jù)管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-16
近期課程安排