信息安全实施方法

---

介绍

信息安全保护信息免受中断、误用、破坏、泄露、修改或未经授权的访问。信息安全的目标是保护关键数据和隐私，无论是在数字上还是物理上。信息安全缩写为InfoSec。

信息安全遵循机密性、完整性和可用性。

• 机密性 − 保护信息免受对敏感信息的未经授权的泄露。

• 完整性 − 数据应受到保护，防止入侵者修改或篡改数据，从而确保信息的准确性。

• 可用性 − 信息必须能够被任何实体、组织等在需要时访问。

信息安全的其他特性包括真实性、问责制和不可否认性，即任何一方都不能否认发送或接收交易或消息。信息安全使用风险管理来防止对组织的威胁，并遵守数据隐私的法律要求。

信息安全实施通过两种方法实现：

自下而上和自上而下

这些方法有助于保护数据免受盗窃或丢失、修改和未经授权的访问，从而确保完整性。此外，敏感信息会被加密以保护数据。

概述

定义

信息安全是一套程序，用于保护信息免受中断、误用、破坏、泄露、修改或未经授权的访问。

讨论了两种方法，如下所示：

自下而上方法

系统管理员、网络工程师或网络安全专业人员的职责不包括高层管理职位。这些人的主要职责是利用其专业知识、知识、教育和培训来构建高度安全的模型，从而保护信息系统。

自下而上方法的优点

个人或团队利用其专业知识解决信息系统的复杂安全问题。确定公司威胁以减轻可能的潜在威胁。

分配现有团队或个人而不是新员工，这是一种在复杂计划中节省时间和金钱的方法。这是利用现有宝贵资源的好方法。

自下而上方法的优点

这些策略并未得到高层管理或专家的协助，并且整合可能缺乏彻底性或持久性。

高层管理的协作利用公司标准、关注点、资源等提供了更广阔的视角。

自上而下方法

该方法由高层管理人员创建、启动或实施。这种方法通过指令程序、创建信息安全策略和遵循程序来实施数据安全。项目活动的优先级和责任由高层管理人员承担。高层管理人员会寻求信息安全系统中其他专业人员的帮助。

自上而下方法的优点

• 自上而下的方法比自下而上的方法更高效。

• 与个人或团队相比，公司的管理层在保护数据方面更强大，因为它考虑了公司范围内的优先级。

• 每个问题都是独一无二的，每个部门或办公室都存在漏洞。为了解决这个问题，自上而下的方法非常重要。

信息安全程序的步骤

• 安全团队正在根据当前情况构建框架。

• 了解威胁的来源。

• 风险评估。

• 管理和补救威胁。

• 制定行动计划以评估任何损失。

• 确认第三方。

• 安全控制以降低风险。

• 安全意识和培训。

• 审核和监控以评估漏洞。

信息安全方法中的层次

InfoSec实施的保护措施包括网络安全、基于Web、应用程序、设备、网络、物理或软件的安全。还包括灾难期间的数据恢复和备份。

将关注点整合到较小的部分的方法可以确保每一层的保护并易于管理。让我们讨论每种分层方法：

设备安全

智能手机、应用程序系统的安全性如下：

• 软件或设备是最新的。

• 用户凭据使用密码进行保护，并定期更改。

• 系统维护非常重要。

• 需要入侵检测，还要检测可能的威胁。

• 补丁管理对于确保系统安全也至关重要。

网络和Web安全

网络和浏览器中涵盖InfoSec策略的安全措施如下：

• 对每个人（例如经理、第三方或员工）进行身份验证。

• 防病毒、防火墙、入侵检测和反恶意软件系统。

• 使用邮件、邮件附件等保护免受网络钓鱼攻击。

• 锁定弹出式消息。

• 访问合法用户。

• VPN和流量分析，IP网络安全。

• 智能手机和平板电脑等设备的安全。

• 邮件和文件的数据丢失。

• 网络分割。

InfoSec的缺点

• 对于大型组织来说，该系统复杂且耗时。

• 维护和实施这些要求成本很高。

• InfoSec系统难以改变通常的系统。

• 缺乏适应新变化的系统，并且僵化。

• 安全系统可能会发出错误警报，导致它们忽略访问控制。

结论

公司使用自下而上的方法与员工合作，然后根据政策将结果传递给上层管理人员。但高层管理人员可能缺乏威胁信息，这可能导致突然崩溃。

如果使用自上而下的方法来保护信息，则可以解决问题的广泛视角。高层管理人员可以通过收集网络工程师人员的信息来启动流程，从而解决问题。

信息安全旨在防止恶意攻击并确保合法访问。