如今的中、小型企业,尤其是传统行业,对信息安全需求不高。但是需求不高并非意味着所面临的风险不大。我们在没有对信息安全威胁的有效识别,没有健全的风险管理体系,没有完整的信息安全策略的环境中,如何为企业逐步建立起健全的信息安全体系和制度?下面我简述一下自己的想法,也是对这一年的总结。
一、信息、情报搜集
这个阶段需要了解企业的准确信息,以了解目标的运作方式,现有的IT架构,拓扑以及业务流程。信息、情报搜集是后面所有阶段的基础。因为是在企业内部搜集信息,只要得到企业高层的支持和各业务部门的配合即可。这里所说和攻击目标系统之前用到的情报搜集手段有所不同。
掌握企业现有网络环境及相关设备,熟悉现有安全设备的部署和配置。
了解企业的组织架构以便协调和利用在企业信息安全建设过程中的各部门资源。最重要一点:企业信息安全建设需要组织最高层领导的支持。
熟悉企业业务流程并准确的进行威胁建模以识别,分类,分析潜在威胁
二、基础工作
三、安全意识
改变用户的行为方式是安全解决方案成功实现的基础。如何让用户遵守安全策略中规定的标准、指南和程序。这就需要对用户开展安全培训。而实际的安全培训的先决条件又是安全意识。所以安全意识的培养是分厂重要的,安全意识的培养不仅在于安全培训和策略宣传,更应注重对用户潜移默化的影响。
1、建立自己的威胁情报中心。
2、培训宣传,许多工具可用于培养信息安全意识,比如桌面背景,屏保,鼠标垫,海报等等;生动的课堂也是非常好的选择
3、多渠道信息发布:北京什么时候治疗白癜风比较好专业治疗皮肤白癜风
