关于企业信息安全管理的思考.pdfVIP

关于企业信息安全管理的思考 №＼老唐 序： 感谢服务社老李的邀请，围绕企业内部的信息安全，结合本人吹牛的水平。与 “免费ERP ” 群的朋友交流和沟通。权且当吹牛不打底稿，欢迎拍砖。 佩服于老李执着和精神。 分享是一种生活态度，分享才是价值的体现。 服务社(免费ERP) 网址： QQ 群：138331559 下面 计划分几个部分来分享我对企业内部的信息安全的认 ： 一、企业信息安全的边界？ 二、信息流安全管控如何落地？ 三、对企业信息安全的建议？ 企业信息安全的边界 随着信息化的普及，企业运营对信息系统有很强的依赖性，这种依赖性却使企业更加脆 弱，几乎所有的机密信息都以电子数据的形式存在各种平台中。（或者以文件格式或者以数 据库（结构化数据）保存）。一旦信息泄露或者某些不可避免的灾害发生，无疑给公司的打 击是巨大的，很可能是灾难性的。 第一节：乱象丛生、鱼龙混杂 经常接触厂 、供应 、集成 ，也经常参加诸如研讨会、峰会、新产品发布会等活 动。 文档加密（防泄密）厂 ，鼓吹自己的加密如何安全，什么驱动层 （应用层）加密、 什么全盘加密。算法如何复杂，安全性如何好。 总之各方面管控都到位。用了这样的平台（系统）一定就万无一失了。 一看典型案例，N 多名字很熟悉的企业都在使用且规模很大（几千上万个点）。后来 看多了，就不把这个当一回事。 典型客户重复很多。难不成这个也有很大的水分。上帝呀，谁来打假。 于是乎拉了几家对产品进行了实际的测试。声明本人是外行，信奉：“是驴是马拿出 来遛一遛”。 《一切加密软件都是纸老虎》，这个不是我说的，顶多算是抄 。其实抄袭没有错，只 要勇于承认还是好孩子啦。 网络安全厂 ， 吹嘘上网行为控制、网络安全接入、入侵检测等等。 其他如服务器、备份、安防、门禁、红外检测、病毒防护、桌面管理、虚拟化、云等 各个厂 （系统集成 ）甚至是财务、ERP 、PDM 等软件厂商也加入了这个行当。都在鼓 吹 “信息安全的整体解决方案”，慢慢就麻木了。 就像怀孕的女人一样吐。 第二节 信息安全边界=未知数？ 很多业内的朋友，都在这样的错综复杂的环境中迷失了方向，厂家倒是高兴，不断的推 陈出新、不断的玩新理念。 随着企业的发展各种独立的平台或者系统都在应用。 “信息孤岛”，可怕的结果出现了。 如何整合各种厂 提供的整体解决方案？疲于奔命呀。 信息安全有没有边界？到底我们所做的工作是否是拣了芝麻丢了西瓜？ 如服务器本身的安全性、容灾、备份；网络的链路安全、负载均衡等等；应用平台底层 代码、数据文件等等。 这是没有任何问题的，都是安全的重要 成部分。 企业的信息安全也不仅仅是保持在服务器上的图档、代码、发明专利、合同、财务数据、 人事资料、各种会议记要……，还包含很多其他的层面。 跳出您的技术思维方式，可能您的视野会豁然开朗起来。 如下图： 离职审查 保密制度/手册 展览宣传审查 供应商与客户 保密合同 对外发表审查 保密津贴 员工入职 工离职 不侵权承诺 文档管理 物理安全 N DA( 保密协定) 入职培训 重点 工回访 存储介质管理 计算机网络安全 竟业限制协议 如果您固执的认为：