随着云计算、大数据、物联网、人工智能等一系列互联网科技的引入,当今的IT世界风起云涌。复杂的网络业务平台、各种层次的云服务、无处不在的数据访问、多样化的通信网络环境等等,都对每一位IT专业人士,提出了新的、越来越多的信息安全需求。
近年来,我国的网络安全事件频发,无孔不入,而网络罪犯造成的经济损失量,高居全球第一,侵害了大量个人和企业的切身利益。可以说,信息安全与我们每个人、每个企业都息息相关。
但由于绝大多数个人,以及绝大多数企业,对于信息安全的知识了解甚少,因此很多时候,并不能真正地做好个人信息及企业信息的保护,从而造成了极大的信息安全隐患。
在这里,我们将信息安全的基本知识做了一个简单的梳理,让大家能够对信息安全的知识范畴有个基本的了解。而如果希望掌握更全面的知识,可以找一些信息安全方面的专业书籍来系统学习,我们有一本电子版的信息安全教材,感兴趣的朋友可以根据文末信息获取。
第一:网络安全
现在,无论一个企业地处何处或规模多小,它们可能都会在工作中使用互联网,并有可能会将一定规模的业务,发布至互联网上供用户公开访问。所有的网络系统都会给企业带来风险,控制措施包括如防火墙、资源隔离、加固系统配置、认证和访问控制以及加密等多种方法。
各种网络设备(交换机、路由器、防火墙等)应具备一定的冗余级别,以确保网络的可用性;
要能识别各种网络设备的关键安全控制机制,并了解这些控制机制失效的后果,并有效管控;
可利用代理服务或Web过滤,阻止内部和外部的直接连接;
要及时为各种网络设备安装升级补丁以及经常校验设备的安全配置是否正确(或被修改了);
可在网络设备中禁用多余的服务,以及保护关键的服务;
要进行正确的无线用户认证,以及无线局域网的入侵检测和异常追踪。
第二:系统安全
一个安全的系统可以保护主机和所有运行于其上的软件和硬件。安全是操作系统的一个非常重要的设计目标,操作系统接触(内存、文件、硬件、设备驱动程序等)的每一个资源,都必须从安全的角度进行交互。
在开始安装一个全新的系统之前,必须百分之百地确保系统里的软件都是可信的;
通过访问控制列表,实现操作系统的基础安全功能;
关闭不必要的服务来减少攻击系统的可能;
安装安全软件,以及定期和快速地更新系统和基础软件的安全补丁;
强化身份验证的过程,以及限制管理员的数量和权限。
第三:应用安全
编写完的应用程序,会带着尚未被发现的安全漏洞,被部署在环境中,它将在一段或长或短的时间内,以原本的功能去面对各种威胁、失误、误用或者恶意使用。环境里的恶意主体,也将有同样长的时间,去观察这些应用程序,调整其攻击方式,直至起作用。虽然总体概率较低,可一旦不希望的事情发生了,后果则可能是非常非常严重的。而预先在软件里面构筑安全防护功能,相较于等到软件发布后再提供安全更新,更加容易和方便。
每个开发人员都应参与相应的安全培训,以规范他们的安全活动和使用的技术;
对开发过程中的源代码库、文件共享以及开发和测试服务器等,必须进行安全管控;
应针对开发活动,制定必要的安全要求和安全目标,以及在设计文档中添加安全属性;
应建立一套独立于开发团队的安全设计评审机制来验证应用架构的安全性;
应使用安全或已审核的函数和库的版本,消除未使用的代码,正确处理数据;
可使用静态分析工具或手动代码检查等方式来检查应用代码中的安全问题;
应执行重复性的测试(如回归测试)和探索性的测试(如渗透测试)来发现安全问题;
如果应用程序需要对外交付,则需要提供详细的安全文档,以指导应用的安全部署和使用;
在应用发布后,一旦暴露了安全问题,应及时发布补丁程序来更新该应用。
第四:数据安全
数据是企业的核心信息资产,也是绝大多数网络攻击的最终目标。不过,对数据进行保护,不能仅仅保护存储在数据库中的静态数据,还要