隨著網(wǎng)絡(luò)信息安全形勢(shì)的愈演愈烈，對(duì)于企業(yè)而言，如何保障企業(yè)網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)關(guān)注的焦點(diǎn)問(wèn)題所在。

有限的網(wǎng)絡(luò)可視性等于有限的控制，而這又增加了信息安全風(fēng)險(xiǎn)，企業(yè)面對(duì)的網(wǎng)絡(luò)安全的挑戰(zhàn)也會(huì)隨之增加。網(wǎng)絡(luò)可視性較差的大部分原因在于企業(yè)網(wǎng)絡(luò)的復(fù)雜性。企業(yè)環(huán)境中的系統(tǒng)、應(yīng)用、供應(yīng)商、流程和人員以及企業(yè)遇到的安全困難數(shù)量之間有著直接的可量化的關(guān)系。

隨著時(shí)間的推移，企業(yè)IT和安全專(zhuān)家都不得不看到越來(lái)越多的“東西”堆積在已經(jīng)非常龐大的系統(tǒng)之上，就像不斷堆積在你收件箱中的郵件。這個(gè)問(wèn)題部分在于缺乏資源，還有的則是沒(méi)有意識(shí)到這個(gè)問(wèn)題。這很可能導(dǎo)致你你無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)中的安全問(wèn)題，并最終導(dǎo)致數(shù)據(jù)泄漏事故的發(fā)生。例如網(wǎng)絡(luò)中的所有移動(dòng)設(shè)備或每天使用的云計(jì)算應(yīng)用。很多事情在你眼皮底下發(fā)生，而你沒(méi)有絲毫察覺(jué)。如果你不知道什么東西在什么地方，你就不可能保護(hù)你的網(wǎng)絡(luò)。

如何了解和保護(hù)你的網(wǎng)絡(luò)

為了正確地保護(hù)企業(yè)網(wǎng)絡(luò)及其信息資產(chǎn)，我們必須比對(duì)手更好地了解網(wǎng)絡(luò)。在本文中，我們將介紹三個(gè)重要的步驟來(lái)幫助你確定、評(píng)估和保護(hù)企業(yè)網(wǎng)絡(luò)。

一、了解什么信息在什么位置以及它目前的風(fēng)險(xiǎn)情況

很多企業(yè)還沒(méi)有執(zhí)行深入的安全審查，還有些企業(yè)則沒(méi)有審查正確的位置。如果你不能明確信息的位置，你就不能說(shuō)一切都在控制之中。對(duì)此，你可以從盤(pán)查你的網(wǎng)絡(luò)系統(tǒng)開(kāi)始。到目前為止，我從來(lái)沒(méi)見(jiàn)過(guò)也沒(méi)聽(tīng)說(shuō)過(guò)“當(dāng)前系統(tǒng)庫(kù)存”這個(gè)東西，即使是在最小的環(huán)境。最后你需要分析你的敏感信息的位置。你可能已經(jīng)有信息分類(lèi)系統(tǒng)，這是一個(gè)良好的開(kāi)端，但你必須更深入地挖掘。例如查看移動(dòng)設(shè)備、打開(kāi)網(wǎng)絡(luò)共享和云應(yīng)用。人們很容易認(rèn)為這些領(lǐng)域沒(méi)有任何價(jià)值，高管也一直這么認(rèn)為，但當(dāng)你獲得更多網(wǎng)絡(luò)透明度后，你會(huì)驚訝地發(fā)現(xiàn)有多少信息不在你控制之內(nèi)。

二、了解你的工具

很多時(shí)候，我們有我們需要的所有信息，我們只是不是很了解我們的工具或者讓它們共同運(yùn)行來(lái)處理重要的事情，以讓我們可以充分了解在特定時(shí)間網(wǎng)絡(luò)中所發(fā)生的事情。我們甚至沒(méi)有很好地了解基本技術(shù)，例如防火墻和日志記錄系統(tǒng)。即使這不是你的日常工作的一部分，你也應(yīng)該更好地了解漏洞系統(tǒng)軟件、數(shù)據(jù)丟失防御工具、日志管理或安全信息和事件管理系統(tǒng)等。無(wú)論你是實(shí)際操作的技術(shù)人員還是高層管理人員，你和你的同事了解更多的信息和事件，你將獲得更好的監(jiān)管水平和問(wèn)責(zé)制，這將最終有助于幫助降低你的信息風(fēng)險(xiǎn)水平。

三、根據(jù)風(fēng)險(xiǎn)水平確定優(yōu)先次序

雖然看似枯燥和不重要，但時(shí)間管理對(duì)你能夠?qū)崿F(xiàn)的信息安全水平有著巨大的影響。你需要了解什么工作對(duì)業(yè)務(wù)有著重要作用。每個(gè)營(yíng)利性企業(yè)的核心目標(biāo)是獲得并留住客戶(hù)，而政府機(jī)構(gòu)和非營(yíng)利組織則需要在特定的預(yù)算內(nèi)完成其工作。你的IT工作如何能夠守住這個(gè)底線？你需要能夠?qū)ふ乙环N方法來(lái)分配業(yè)務(wù)價(jià)值到不同的信息資產(chǎn)，然后與IT之外的人溝通現(xiàn)有的風(fēng)險(xiǎn)水平。你認(rèn)為應(yīng)該使用什么解決方案？有沒(méi)有方法來(lái)簡(jiǎn)化你環(huán)境中的所有移動(dòng)部件。

我看到IT和安全專(zhuān)業(yè)人員讓網(wǎng)絡(luò)復(fù)雜性不斷提高，雖然這可以為他們提供很好的就業(yè)保障，但并不利于企業(yè)的安全狀態(tài)。同樣地，我看到管理層拒絕資助信息風(fēng)險(xiǎn)評(píng)估，因?yàn)樗麄冎溃陲L(fēng)險(xiǎn)被記錄后，它們必須得到解決。你的企業(yè)不能容許這些政策復(fù)雜性。

D1Net評(píng)論：

隨著企業(yè)網(wǎng)絡(luò)安全形勢(shì)變得越來(lái)越復(fù)雜，企業(yè)需要了解的東西就越來(lái)越繁多，對(duì)于企業(yè)而言，需要了解所有的東西以及身處環(huán)境中正在發(fā)生什么情況。最終，必須這樣做來(lái)盡量減少對(duì)企業(yè)最重要的業(yè)務(wù)的影響。調(diào)整企業(yè)的策略，了解自身的網(wǎng)絡(luò)，專(zhuān)積極地管理任務(wù)，并準(zhǔn)備好做出回應(yīng)。這是所有這一切的秘訣。其實(shí)，并不難。