在对信息系统进行安全管理之前,信息管理者首先要做的是树立正确的
网络安全观。只有在正确的网络安全理念指导下,信息管理者才能对网络系统安全进行有效管理。企业网络安全经常有一些错误的观念。常见的网络安全错误观念有哪些呢?
网络安全公司搜集整理总结如下。
一、期望零风险
信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的IT技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。
信息系统安全管理的目标只能是将风险控制在一定的范围内,而不是实现绝对的安全。那种要求系统服务商承诺软件系统功能无差错,要求系统服务商承担系统错误造成的损失和影响的做法都是不科学的。其实不仅是网络安全,任何类型的安全都是如此。
为了追求绝对的安全,一些组织采用了物理隔离的方式。物理隔离能保证绝对安全吗?当然不能。不要忘记,IT基础设施只是信息系统的一部分,各种利益相关者如操作人员也是信息系统的组成之一。因此,即便信息系统的IT基础设备被物理隔离,仍旧要加强信息安全管理。
二、只关注外部威胁
在进行信息系统安全管理时,人们的主要精力往往重点关注来自外部的安全威胁,如网络渗透、黑客攻击等,却忽视来自内部的安全威胁。但是纵观IT史上那些重大的信息安全事件,大部分都是由于内部人士误操作或者蓄意发起。
2017年2月28号,号称亚马逊AWS最稳定的云存储服务S3出现超高错误率的宕机事件。由于美国许多大型网站如Snapchat、Twitter等都是基于亚马逊的云存储服务。结果,美国半个互联网都跟着瘫痪了。AWS后来给出了确切的解释:一名程序员在调试系统的时候,运行了一条原本打算删除少量服务器的脚本,结果输错了一个字母,导致大量服务器被删。为了修复这个错误,亚马逊不得不重启整个系统,最终导致了震惊全球的Amazon S3宕机4个小时事件。
三、期待一劳永逸
在解决安全问题的过程中,不可能一劳永逸。安全产品、安全技术需要随着攻击手段的发展而不断地升级,并且需要管理人员来日常运营维护,否则安全防护会在变化的攻击手段前不堪一击。因此唯一的长效安全机制就是安全的持续改进,针对变化的安全形势和矛盾的持续调整。
四、为保安全牺牲业务目标
信息系统的目标是为了支撑企业组织的业务,信息系统安全管理的目标是为了确保信息系统的正常运行,为企业组织实现业务目标提供信息支撑。因此,确保信息系统的安全只是手段,而不是目标,不能为了信息系统的安全而影响到信息系统的正常使用,更不能影响到企业目标的实现。
五、安全是IT技术人员的事情
网络安全不单单是IT技术人员的事,它涉及到企业组织的方方面面,是一项系统工程,需要技术与管理双管齐下。例如,尽管信息系统在设计过程中,综合采用多种高级的加密算法来实现用户访问控制和权限管理,但是如果用户没用养成良好的安全意识,在登录系统后随意离开电脑,或者将自己的用户名和密码随便贴在电脑显示器边缘,那无论采用任何高级的安全技术也不能确保信息系统的安全。(本文来源于:安全眼)
网络安全公司广东蓝讯智能科技与各大网络安全厂家合作,为企业提供专业的网络安全解决方案。欢迎来电咨询,电话:18028990096.
18028990096/13725734438
