企业网络安全之安全维度

简介:

这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次,网络安全 理应上升到一定的高度,得到肯定和重视。

说了这么多网络安全,那么网络安全是什么呢?先从这个词语本身来看,大概在90年代末期国内出现了与计算机安全有关的内容与要求,成为网络安全,如果对应成英文会更容易理解Network Security,没错,就是网络安全,以网络为核心的安全。当时的环境,信息化较早的公司开始建设企业网络,国家也在开始部署X金工程,金卡、金关、金盾等等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。过了几年,大概到2005、2006年,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化,成为网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了,具体几个词语的意义与演化可以在网上找找,有很清晰的解释。

不管称为网络安全也好,信息安全也好,词语在更新,内容在演化,涵盖的领域也在不断完善与丰富,这就要求我们从业人员深刻领会与理解,并运用到实际专业工作中。不过从实践角度来看,笔者从1998年开始专业从事网络安全工作到现在也有17年的时间,国内无论是甲方安全管理还是乙方的安全服务与咨询,大部分的重点还是放在了传统IT安全的领域,比较侧重在技术与基础安全,这些方面不是不重要,只是可能忽略与遗漏企业安全中其他领域,从而降低IT安全本身的价 值。从一个公司商业利益的角度,所有的投资最终要转化为对商业利益有所贡献的活动,这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中,往往缺乏了一些直接的关联关系或者中间层次的递进,出现企业中高层非常重视安全但又很难理解安全价值的情况。

笔者结合自己的专业经验与遇到的各种企业安全情况,总结了一些内容,供大家参考,如能对各位工作有所帮助,也算是一点小贡献吧。

首先,企业安全不是一个二维平面的状态,简单说,企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图,在二维平面上往往更加关注在网络 安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署,而企业安全应该是一个三维、四维的立体时空状态,今天我们先不讨论“四维时空企业安全理论”,这个我会单独文章分享与探讨。从三维角度,企业安全包括安全纵深维度、安全情景维度与安全策略维度。

如下图所示:

企业网络安全之安全维度

企业安全三维图

企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。

我们现在大部分的安全工作侧重在技术安全与一部分数据安全,对应用安全与业务安全涉及较少,或者这部分工作由企业内其他团队负责,可能出现纵深维度的脱节,当然这方面的全栈型人才本来就极少,能把4个层次贯通起来的,同时视角又够一定层次的就更少了。

不过具体4个层次的内容,在这里就不解释,大部分应该都能理解,后续也会写一些专题,讨论各个层次的问题。

安全情景维度包括:

行业特性,每个行业自身的安全要求具有较大差异。

业务特性,由于业务特性的要求,每个企业即使行业类似,对安全的要求与重点领域同样具有较大差异。

体系架构,体系架构的要求,对安全影响更加直接,如应用云计算环境与传统计算模式对安全要求的巨大差异。

合规要求,合规驱动的安全,无论是监管还是资本市场亦或是特殊行业要求,如银监会的指引、Sox与C-Sox、PCIDSS、ADSS等,数据保护、隐私管理等等。

这些内容会贯穿整个企业安全纵深维度,也就是不仅仅考虑业务安全,应用安全、数据安全与技术安全同样面临各个安全情景维度的引导与控制。

企业安全策略维度包括:

战略规划,企业的安全战略与总体要求,指引整个企业的安全活动

管理体系,管理要求

技术体系,技术要求

解决方案,落地的实务方案与执行

这个维度的内容,从企业的安全战略出发,正式或者非正式的安全战略指引企业安全的方向,成为企业安全与公司高层次策略与管理者的接口,通过管理体系与技术 体系的企业安全管控与建设要求,形成具体化的流程、活动、行为准则,承接战略目标的落地与具体解决方案的价值保障,最终所有内容通过解决方案得到落地执行。


作者:rapido


来源:51CTO


相关文章
|
15天前
|
JavaScript
Vue中Axios网络请求封装-企业最常用封装模式
本教程介绍如何安装并配置 Axios 实例,包含请求与响应拦截器,实现自动携带 Token、错误提示及登录状态管理,适用于 Vue 项目。
30 1
|
3月前
|
机器学习/深度学习 存储 监控
内部文件审计:企业文件服务器审计对网络安全提升有哪些帮助?
企业文件服务器审计是保障信息安全、确保合规的关键措施。DataSecurity Plus 是由卓豪ManageEngine推出的审计工具,提供全面的文件访问监控、实时异常告警、用户行为分析及合规报告生成功能,助力企业防范数据泄露风险,满足GDPR、等保等多项合规要求,为企业的稳健发展保驾护航。
|
4月前
|
存储 运维 监控
云服务运行安全创新标杆:阿里云飞天洛神云网络子系统“齐天”再次斩获奖项
阿里云“超大规模云计算网络一体化运行管理平台——齐天系统”凭借卓越的技术创新与实践成果,荣获“云服务运行安全创新成果奖”,同时,齐天团队负责人吕彪获评“全栈型”专家认证。
|
7天前
|
存储 算法 安全
即时通讯安全篇(三):一文读懂常用加解密算法与网络通讯安全
作为开发者,也会经常遇到用户对数据安全的需求,当我们碰到了这些需求后如何解决,如何何种方式保证数据安全,哪种方式最有效,这些问题经常困惑着我们。52im社区本次着重整理了常见的通讯安全问题和加解密算法知识与即时通讯/IM开发同行们一起分享和学习。
75 9
|
9天前
|
人工智能 安全 网络安全
从不确定性到确定性,“动态安全+AI”成网络安全破题密码
2025年国家网络安全宣传周以“网络安全为人民,靠人民”为主题,聚焦AI安全、个人信息保护等热点。随着AI技术滥用加剧,智能化攻击频发,瑞数信息推出“动态安全+AI”防护体系,构建“三层防护+两大闭环”,实现风险前置识别与全链路防控,助力企业应对新型网络威胁,筑牢数字时代安全防线。(238字)
|
3月前
|
监控 安全 网络安全
网络安全工具及其使用方法:保护数字安全的第一道防线
在信息时代,网络攻击变得日益复杂且频繁,保护个人和企业数据安全的重要性日益凸显。幸运的是,各种网络安全工具为用户提供了有效的防护手段。从防火墙到密码管理器,这些工具覆盖了威胁检测、攻击防御和数据保护的方方面面。本文将介绍几款常用的网络安全工具,并提供其使用方法,以帮助您构建强大的网络安全防线。
125 1
|
2月前
|
运维 监控 安全
计算机网络及其安全组件纲要
本文主要介绍了 “计算机网络及常见组件” 的基本概念,涵盖网卡、IP、MAC、OSI模型、路由器、交换机、防火墙、WAF、IDS、IPS、域名、HTTP、HTTPS、网络拓扑等内容。
198 0
|
5月前
|
运维 安全 网络性能优化
工业路由器:企业网络的中流砥柱和个人路由器有什么区别?卓伊凡
工业路由器:企业网络的中流砥柱和个人路由器有什么区别?卓伊凡
443 11
工业路由器:企业网络的中流砥柱和个人路由器有什么区别?卓伊凡
|
6月前
|
人工智能 供应链 调度
|
5月前
|
监控 数据可视化 安全
看得见的安全:如何用可视化大屏提升数据监测和网络预警效率
网络安全已成各组织核心议题,传统防护难以应对复杂攻击。AnaTraf网络流量分析仪通过实时分析流量,提取关键行为,提前发现潜在威胁。其可视化大屏将数据直观呈现,助力安全人员快速捕捉风险。系统基于趋势分析构建动态风险模型,实现预判而非仅报警,成为有判断力的“网络安全参谋”。在攻击无孔不入的时代,AnaTraf提供全新认知方式,以“看得见”提升对威胁的判断力。
看得见的安全:如何用可视化大屏提升数据监测和网络预警效率

热门文章

最新文章