扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2003年1月25日,一场SQL 蠕虫席卷互联网,全球各大网络运营商,企业均遭受了巨大的冲击,不少金融机构也陷入麻烦,某些重灾地区的自动取款机无法正常工作…… 事后发现,攻击起源居然是安全补丁已经公布了半年之久的一个安全漏洞。痛定思痛,我们不禁想知道,我们的互联网,这个当年被美国军方设计用来在非常时期能够用于军队信息指挥调度的网络,为什么会变的如此脆弱?
在看惯了安全厂商信誓旦旦的产品承诺,听惯了技术专家玄妙高深的攻防描述之余,让我们用自己的双眼,看一下实际的信息安全现状吧。
信息安全存在的问题
新的安全漏洞公告出来很久,却无人重视和采取措施;强度很高的密码由于难记被员工贴在办公桌上;不断有人在企业内部拨号上网而使内网门户大开,强大的防火墙形同虚设;离职解聘员工的系统登陆账号和密码一直没有被更换和取消;好奇的员工总是点击标题诱人的恶意邮件的附件;专业财务管理的密码和普通桌面密码混用;新的安全补丁并没有在每一个桌面上进行安装,甚至公司配备专业的信息安全管理员对这种状况也一无所知;安全产品的默认密码从未变更;安全会议开了很多次但总是效果不大;这些现象,相信不少的企业管理者都会有所体会。
专家指出,近年来越来越多的企业用户开始重视信息安全中的问题,他们投入了大量的资金进行了关键安全设备的采购,甚至不少高端用户建立培养了自己的专业技术队伍,进行信息安全的维护和保障;但是由于对整体安全认识上的缺陷,没有意识到内部安全规范、安全管理工作的保障意义,导致了各种安全隐患依然大量存在,并时刻威胁着企业的信息化建设的进程。可以用这样的比喻,维护网络的安全就好比维护人体的健康,尽管外在的药物(安全产品)能够很好的控制病毒的侵入和治疗疾病,但是通过正确的生活习惯(搭建安全组织体系)和体育锻炼(实施安全管理制度)来维护肌体的健康并增强对疾病的抵抗力,免疫力依然是首要的。而且,保持肌体的健康也是能够从疾病中迅速恢复的必要保障,对于发生了安全问题的企业而言,具有更好的管理制度和管理规范的企业显然可以更快的进行信息恢复并更好的减少损失。
用户企盼一体化的安全管理系统
安全隐患层出不穷,使得当今依赖于网络生存的企业客户不得不将信息安全提到一个很重要的战略高度上来。在经历了大量触目惊心的信息安全事件之后,用户总结了一定的经验和教训,正在逐渐告别以往盲目追随各种所谓安全技术的时代,他们开始重新审视自己对信息安全的理解。一些用户已经意识到:单一信息安全产品远远不能真正有效地维护安全的网络,信息安全也绝不只是各种安全产品的技术堆砌和功能叠加。
特别可喜的是,部分高信息安全需求领域的客户认识到信息安全不再是纯粹技术层面能够解决的问题,他们开始意识到企业组织体系、管理体系在整体信息安全建设中的重要意义,也意识到制定安全规范、安全制度的必要性,只有在企业内部贯彻安全管理思想,才能有效地控制和防范内部员工的一些不良操作习惯和由此导致的安全隐患。遗憾的是,限于大多数安全厂商在安全理解、安全观念上的局限性,这些高端用户很难得到真正的有效帮助,从而无法有效地组织企业信息安全管理体系的建设和实施。
面对纷繁复杂的网络环境,用户迫切需要借助一套能够对企业安全制度、安全评估、安全防范进行一体化管理的系统,以应对明天可能更加险恶的安全威胁和漏洞。这套系统应该能够跨越多个部门甚至多个企业。为了达到预期设定的应用目标,最基本的要求是系统能够运行起来,实现集成化应用,建立企业安全完善的信息安全体系和安全信息共享机制。企业用户采用一体化的安全管理体系,因此而带来的收益包括:降低安全风险,减少安全方面的投入,提高企业员工的整体安全意识,企业整体安全性得到大幅度提升,企业面对安全事件的响应速度大大加快,最终客户满意度显著提高。
在今天,业内逐步已经达成如下的共识,即信息安全不仅仅是技术,稳健、持续的网络安全是30%的技术加70%的组织管理。信息安全市场呼唤一体化的安全管理系统!
ESP应运而生?
有需求,就会有供给,随着用户安全需求的明朗化,ESP?的概念开始浮出水面。在国内从事专业网络安全服务,能真正为客户提供定制的安全服务支持和全面的网络安全解决方案的高科技公司并不多,绿盟科技就是其中最优秀的一家。绿盟科技在多年进行安全服务以及开发配套安全产品的扎实基础之上,建立了完备的理论体系并积累了大量实践经验。根据目前国内信息安全建设过程中存在的问题,率先总结归纳出了ESP?(企业安全计划)理念,它是一个能够实现全面管理体系并能实际指导工作的安全体系,充分体现了CC体系(信息技术安全性评估通用准则)和"七分管理,三分技术"的安全平台搭建宗旨,能够解决如何进行有效的安全管理,如何充分利用安全产品资源的难题,ESP?为未来几年信息安全行业的发展提供了新思路。
据绿盟科技总裁沈继业介绍:ESP?(Enterprise Security Planning)企业安全计划,通过对整体网络安全状况的整体监控、管理,动态了解当前网络安全状况,体现了安全管理为信息安全建设的核心,对整个信息安全链?进行管理,对信息安全产品进行集中管理,同时能迅速提高企业员工的整体安全意识。绿盟科技并不想把ESP?做成绿盟科技的专有概念,和ERP一样,它也是根据企业的实际信息化建设的需要而形成的通用理念。ESP?的核心思想就是实现对整个企业信息安全链?的有效管理,主要体现在以下三个方面:体现对整个信息安全链?进行管理的思想;体现动态安全的思想;体现事先计划与事中控制的思想。ESP?将指导企业的管理人员意识到,仅靠企业自己的资源不可能有效地保护自己的整体信息安全,还必须把信息安全过程中的有关各方要素,包括但不限于企业员工、安全服务商、安全产品、运营网络、企业客户等,纳入一个紧密的信息安全链?中。ESP?产品包括企业结构信息模块、日常安全管理模块、企业安全监控模块、安全知识库模块、企业安全培训模块、系统设置模块。看来,ESP?是为业界建立新规则的好工具,其前景如何,我们拭目以待。
ESP?看来是一个应运而生的幸运儿,多年前,在战火纷飞的解放战场上,毛主席挥笔写下"谁敢横刀立马,唯我彭大将军"的诗句;今天,在硝烟弥漫的网络安全战场上,我们是否可以说"谁敢横刀立马,唯我ESP?"呢?我相信用户最有发言权,让我们期待这一谜底的揭晓!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者