- 1、本文档共2页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
如何通过IT资产管理降低IT安全风险
信息安全专业人员可以利用IT资产管理最佳实践来降低企业内的IT风险,本文将探讨这方面的内容。
AD:
企业信息技术资产管理的概念听上去可能一点都不吸引人,但信息安全从业人员会惊讶于这两个领域交织的方式。信息安全专业人员可以利用IT资产管理最佳实践来降低企业内的IT风险,而这正是本篇文章将要讨论的内容。
什么是ITAM?
信息技术资产管理是业务流程集,其目的在于管理技术资产的生命周期和库存。它可以通过适当的预定义资产管理来减少IT成本、降低IT风险以及提高生产力,从而为企业提供价值。IT资产管理(ITAM)作为正式的业务流程系列已经存在了十年,不过,与典型的业务流程相比,它还不太成熟。
IT资产管理和企业信息安全交织的领域可能并不是很明显。信息安全是涉及高技能IT工程师、架构师和战略师的复杂活动,其任务包括抵御垃圾邮件和网络钓鱼攻击,以及抵御通过计算机攻击活动给金融市场制造混乱的跨国恐怖主义活动,还有这两者之间的各种攻击活动。
而IT资产管理有很多目标,包括最大限度地提高企业在信息技术的投资。为了满足这个目标,一种常见方法是了解企业的IT需求,然后建立标准来满足这些需求。这将带来资产类型的合理化(定义可接受IT资产的具体准则),以及资产类型的减少。例如,通过应用合理化,企业可以看到软件应用数量的显著减少,这种做法涉及定义哪些类型的应用程序满足预定义准则(支持企业的IT目标),并试图消除不满足这些准则的应用。随着应用的不断精选,这能够为IT安全团队提高安全性,因为他们需要硬化、修复、监控和审计的应用更少了。
ITAM的另一个优势是了解企业内谁需要哪些IT资源来帮助其完成本职工作。采用这种做法的企业能够了解谁可以访问敏感数据,并且,高山茶 eupai.net用户权限可以基于需求进行更逻辑化的限制,在某些情况下,甚至可以作为特权管理系统的基础或者逻辑检查。
正如你所看到的,事实证明,这两个领域其实在很多方面都有交织。
ITAM的过去和目前的趋势
在21世纪初期,IT资产管理和信息安全之间几乎没有任何关联。ITAM侧重于通过硬件管理和软件授权合规来赢得企业的支持。其主要重点是在任何时候知道物理硬件的位置,控制其在企业的进出,以及利用价格杠杆实现批量购买机会;从软件的角度来看,其重点是巩固授权谈判,建立关于授权合规的普遍意识,以及确保供应商审计让成本符合预期。ITAM最初让人们觉得,IT资产管理人员只是清点 东西 。
目前的趋势表明,ITAM在多个方面与数据安全流程和关注领域有着重叠,特别是在报废处理以及处理过程中的数据安全。此外,重叠领域还包括移动库存控制和风险管理的责任,这侧重于网络接入点的管理以及设备在企业控制之外的安全性。
这是这两个领域之间真正的重叠区域,这个重叠区域将更多的ITAM工具带到信息安全领域,本来这些工具可能不会存在,或者对于没有强大ITAM方案的企业,需要专门购买或从零开始开发。ITAM资产管理控制和报废处理过程现在水草玛瑙 mnwg.net已经非常成熟,现在资产都有条形码标签或RFID标签,还有成熟的库存跟踪系统,以及明确到个人的资产分配。这些功能加上信息安全身份管理和强大的访问跟踪及访问管理控制为这两个领域提供了广泛的功能,这些功能提供的强大控制能够解决安全风险,让企业更方便地知道在特定时间谁在对特定IT资产做了什么。
此外,丢失或被盗的资产更容易识别和跟踪,网络通信更好地关联到个人设备和接入点,并且,企业可以基于最新ITAM数据存储库确定软件为已授权或未授权。虽然这里仍然存在一些真正的风险,但IT资产管理程序提供了很好的额外工具来解决数据安全问题。
应用的正确部署和使用让企业可以更有效地监控这些资产。然而,在通信和教育方面,很多企业还没有实现的最大回报。成功的ITAM程序在很大程度上依赖于企业内所有人的合作,而这种合作只有在一种情况下才能实现,即在正确使用IT方面,员工了解其相应职责。虽然IT对于企业非常有用,IT总是会带来严重风险;但完善的IT资产管理方案可以帮助减轻这种风险。
对ITAM未来的预测
ITAM和IT安全有着相似的目标。正因为如此,一些ITAM方案归IT安全部门管理,或者这两者都属于更广泛的IT运营部门。在某些情况下,ITAM和安全的组合是为ITAM方案获得资金的唯一途径。然而,在接下来的两到五年,ITAM程序和功能,以及信息安全的需求将会以新的有意义的方式交织和重叠。我们将会看到,在一些较大型企业,这两组控制被融合到具有广泛职责的单个部门。这里的主要驱动力是新兴的全球定位(GPS)开始整合到各种信息技术设备中。在资产追踪、用户识别和网络访问控制方面,都会开始出现新的功能。
现在,网络访问主要通过企业身份验证系统来控制,并涉及各种其他技术,例如网络访问控制
文档评论(0)