安全是指防止以任何形式存储的数据,包括电子、印刷或其他形式的数据,被未经授权访问、使用、披露、破坏、修改或中继,从而确保在企业的整个信息安全周期内信息的保密性、完整性和可用性。
随着信息技术成为驱动企业各方面业务的基础,信息安全成为保证业务稳定与正常运营的关键,信息安全技术也就成了保护业务连续性的安全卫士。是否启用共享和协作,如何防止或侦测内在攻击,或防范看不见的随机网络攻击,这使得保证IT基础设施高可用性与信息安全成为数据中心设计的一个关键技术因素。随着安全威胁变得日益复杂并且多样,企业需要集成的解决方案来保护数据、应用、操作系统和网络的安全。企业面对从移动设备到数据中心乃至网络上连接的打印机,需要从人员、技术和流程上构建起一个较完善的安全技术组合,实现资源保护、数据保护和身份验证保护。
资源保护:通过保护网络、系统、应用、软件和数据库应用系统并提升可用性,获得可信赖而坚固的平台,使因不安全因素而引发系统崩溃的可能最小化。
数据保护:通过使用加密、识别管理并结合其他主动安全管理技术,贯穿于数据从使用到迁移到停用的全部过程。
身份验证保护:在企业通过加密、密钥管理以及与其他合规要求集成,建立安全审计跟踪制度并能实时报警以满足内外部的合规要求。
为了确保数据中心系统的安全,防护系统主要通过防火墙、入侵检测系统、安全审计、抵抗拒绝服务攻击、流量整形和控制、网络防病毒系统来实现全面的安全防护。
建立信息安全管理体系作为客户的安全行为指导方针,为客户建立完整的安全策略体系,特别要考虑客户业务的特殊性和复杂性。信息安全不仅仅依赖技术,还依赖于人员与流程。信息安全建设首先要明确所管理的信息资源的风险,以明确安全防范的重点,为后续的安全技术体系、管理体系建设提供有利的参考和依据。
安全体系是个复杂的系统,而且我们无法做到绝对的安全,其特殊性直接导致了安全体系建设和维护的难度非常高,以及安全项目的效果体现不明显。因此,在安全规划和治理层面,安全建设的初期就需要从高管层和整个企业战略角度确定安全的目标,量化安全需要达到的程度和水平,从而制定出可以指导安全建设和管理的策略、方针。
信息系统是由人来维护管理的,因此安全的核心是人,员工的安全意识和安全技术水平,是安全状态和水平最直观的体现。因此,需要依据策略结合相关岗位人员定制安全意识培训体系和计划,确保员工可以达到安全策略和方针要求的水平。
各信息系统都有必须遵守的规范和制度,在安全规划和治理阶段,我们需要结合国家及行业的安全法律、法规、标准和规范,确定构建信息系统标准化和规范化的要求、指标及基线。
(责任编辑:adminadmin2008)
