企业网络安全之安全维度

简介:

这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次,网络安全 理应上升到一定的高度,得到肯定和重视。

说了这么多网络安全,那么网络安全是什么呢?先从这个词语本身来看,大概在90年代末期国内出现了与计算机安全有关的内容与要求,成为网络安全,如果对应成英文会更容易理解Network Security,没错,就是网络安全,以网络为核心的安全。当时的环境,信息化较早的公司开始建设企业网络,国家也在开始部署X金工程,金卡、金关、金盾等等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。过了几年,大概到2005、2006年,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化,成为网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了,具体几个词语的意义与演化可以在网上找找,有很清晰的解释。

不管称为网络安全也好,信息安全也好,词语在更新,内容在演化,涵盖的领域也在不断完善与丰富,这就要求我们从业人员深刻领会与理解,并运用到实际专业工作中。不过从实践角度来看,笔者从1998年开始专业从事网络安全工作到现在也有17年的时间,国内无论是甲方安全管理还是乙方的安全服务与咨询,大部分的重点还是放在了传统IT安全的领域,比较侧重在技术与基础安全,这些方面不是不重要,只是可能忽略与遗漏企业安全中其他领域,从而降低IT安全本身的价 值。从一个公司商业利益的角度,所有的投资最终要转化为对商业利益有所贡献的活动,这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中,往往缺乏了一些直接的关联关系或者中间层次的递进,出现企业中高层非常重视安全但又很难理解安全价值的情况。

笔者结合自己的专业经验与遇到的各种企业安全情况,总结了一些内容,供大家参考,如能对各位工作有所帮助,也算是一点小贡献吧。

首先,企业安全不是一个二维平面的状态,简单说,企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图,在二维平面上往往更加关注在网络 安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署,而企业安全应该是一个三维、四维的立体时空状态,今天我们先不讨论“四维时空企业安全理论”,这个我会单独文章分享与探讨。从三维角度,企业安全包括安全纵深维度、安全情景维度与安全策略维度。

如下图所示:

企业网络安全之安全维度

企业安全三维图

企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。

我们现在大部分的安全工作侧重在技术安全与一部分数据安全,对应用安全与业务安全涉及较少,或者这部分工作由企业内其他团队负责,可能出现纵深维度的脱节,当然这方面的全栈型人才本来就极少,能把4个层次贯通起来的,同时视角又够一定层次的就更少了。

不过具体4个层次的内容,在这里就不解释,大部分应该都能理解,后续也会写一些专题,讨论各个层次的问题。

安全情景维度包括:

行业特性,每个行业自身的安全要求具有较大差异。

业务特性,由于业务特性的要求,每个企业即使行业类似,对安全的要求与重点领域同样具有较大差异。

体系架构,体系架构的要求,对安全影响更加直接,如应用云计算环境与传统计算模式对安全要求的巨大差异。

合规要求,合规驱动的安全,无论是监管还是资本市场亦或是特殊行业要求,如银监会的指引、Sox与C-Sox、PCIDSS、ADSS等,数据保护、隐私管理等等。

这些内容会贯穿整个企业安全纵深维度,也就是不仅仅考虑业务安全,应用安全、数据安全与技术安全同样面临各个安全情景维度的引导与控制。

企业安全策略维度包括:

战略规划,企业的安全战略与总体要求,指引整个企业的安全活动

管理体系,管理要求

技术体系,技术要求

解决方案,落地的实务方案与执行

这个维度的内容,从企业的安全战略出发,正式或者非正式的安全战略指引企业安全的方向,成为企业安全与公司高层次策略与管理者的接口,通过管理体系与技术 体系的企业安全管控与建设要求,形成具体化的流程、活动、行为准则,承接战略目标的落地与具体解决方案的价值保障,最终所有内容通过解决方案得到落地执行。


作者:rapido


来源:51CTO


相关文章
|
5天前
|
存储 安全 网络安全
云计算与网络安全:构建安全的数字基石## 一、
本文探讨了云计算与网络安全之间的紧密联系,强调在享受云服务带来的便利与效率的同时,必须重视并加强信息安全管理。通过分析云服务的基本概念、特点及面临的主要安全风险,提出了一系列增强网络安全的策略与措施,旨在为企业和个人用户提供一个更加安全、可靠的云计算环境。 ## 二、
|
3天前
|
安全 网络安全 区块链
网络安全与信息安全:构建数字世界的防线在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的重要屏障。随着网络攻击手段的不断升级,从社交工程到先进的持续性威胁(APT),我们必须采取更加严密的防护措施。本文将深入探讨网络安全漏洞的形成原因、加密技术的应用以及提高公众安全意识的重要性,旨在为读者提供一个全面的网络安全知识框架。
在这个数字信息日益膨胀的时代,网络安全问题成为了每一个网民不可忽视的重大议题。从个人信息泄露到企业数据被盗,再到国家安全受到威胁,网络安全漏洞如同隐藏在暗处的“黑洞”,时刻准备吞噬掉我们的信息安全。而加密技术作为守护网络安全的重要工具之一,其重要性不言而喻。同时,提高公众的安全意识,也是防范网络风险的关键所在。本文将从网络安全漏洞的定义及成因出发,解析当前主流的加密技术,并强调提升安全意识的必要性,为读者提供一份详尽的网络安全指南。
|
4天前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
17 5
|
3天前
|
存储 监控 安全
解释网络切片:安全挑战与解决方案
解释网络切片:安全挑战与解决方案
19 4
|
6天前
|
存储 安全 网络安全
云计算与网络安全的交织:构建安全的数字基石##
在当今信息化时代,云计算已成为推动技术进步和创新的重要驱动力。然而,随着云服务的普及,网络安全问题也日益凸显,成为制约云计算发展的关键因素。本文将深入探讨云计算与网络安全的内在联系,分析当前面临的主要挑战,并提出相应的解决策略。通过技术创新、法规完善、用户教育等多方面的努力,我们可以共同构建一个既高效又安全的云计算环境。 ##
|
1天前
|
边缘计算 安全 5G
|
1天前
|
运维 网络协议 安全
联合赋能企业网络创新,中企通信和华为加速IPv6+进入“繁花期”
2024年7月,雄安新区建成国内首个面向车联网场景的IPv6+算力网络示范基地,推动自动驾驶技术普及。IPv6自1998年发布以来,逐步成熟,以其海量地址容量、强大业务承载能力和安全保障,成为智能时代核心技术。中企通信与华为合作,推出IPv6+和SD-WAN融合创新解决方案,助力企业实现稳定连接、高效运维和数据安全,推动各行各业数字化转型。这一合作不仅提升了网络效率,还大幅降低了运维成本,为企业全球化布局提供坚实基础。
|
3天前
|
安全 5G 网络安全
5G 网络中的认证机制:构建安全连接的基石
5G 网络中的认证机制:构建安全连接的基石
9 0
|
3天前
|
SQL 安全 算法
网络安全与信息安全的全面解析:应对漏洞、加密技术及提升安全意识的策略
本文深入探讨了网络安全和信息安全的重要性,详细分析了常见的网络安全漏洞以及其利用方式,介绍了当前流行的加密技术及其应用,并强调了培养良好安全意识的必要性。通过综合运用这些策略,可以有效提升个人和企业的网络安全防护水平。
|
4天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益严重。本文将从网络安全漏洞、加密技术和安全意识三个方面,探讨如何保护个人信息和网络安全。我们将通过实例分析,了解网络攻击者如何利用安全漏洞进行攻击,以及如何运用加密技术防止数据泄露。同时,我们还将讨论提高个人和企业的安全意识的重要性。