面对技术进步以及信息呈几何级数增长,一方面,立法部门需要使法律更加具体和细化,其反应机制也应该越来越快,为监管部门提供及时有效的监管依据;另一方面,需要借鉴他国立法经验,以及各国政府之间的合作,共同保护信息安全。
政府监管紧跟技术发展。技术日新月异,政府监管的步伐不可能快过技术的发展,但如果某款软件出问题,相关部门应该迅速介入,然后依法对其进行调查、处罚。然后是企业,企业在信息安全建设方面需从以下三点入手;
第一点,领导的重视。可以说,任何一种新事物刚出现的时候都可能遭到人们的不理解或反对,信息安全管理也是这样。企业部署信息安全系统,需要每个员工进行配合,日常工作中会增加一些操作,当然会有人表示不接受。难道这样就不进行下去了吗?当然不是。这时就需要企业领导的支持,领导要明白,员工一般只会考虑自己的业务是否得到发展,是否能拿到更多的报酬,而不会从整体上对公司的业务、安全、长期发展等等进行思考。
如果领导自己对公司的安全都不关心不重视,那就更加不用期望下面的人会自动尽心尽力保护好公司资产。另外有的领导觉得信息安全只花钱不赚钱,的确安全这东西并不能直接创造利润,但是它能保护公司已有资产不受损害,同时安全也属于企业品牌的一部分,能够为企业吸引更多的潜在订单。因此领导要重视信息安全,保证信息安全建设预算,并全力支持安全项目的推动。
第二点,挖掘自身的需求。企业要建设信息安全系统,首先必须了解自身的安全需求。很多企业并不注意评估自身的安全现状,挖掘自身的需求,而是过度依赖安全厂商的评价。比如有的厂商大肆鼓吹加密就是一切,企业只要加密就可以从根本上解决问题,于是许多企业就只部署加密,结果依然发生泄密事件,还无法追查事件事件发生的原因。企业在信息安全建设要有主动意识,知己知彼,择优而取。不求最贵,不求最火,但求最合适。
第三点,安全培训。员工的安全意识、企业的安全文化不是一天两天就能建立起来的,需要企业进行长期的培训。有的企业作信息安全培训,仅仅是开几次会,领导发发言,强调强调安全的重要性,这样是远远不够的。心理学家研究指出,一个习惯需要坚持21天才能形成。当然企业不能连续21天对员工开会培训,那样员工无法接受。企业在安全培训这件事情上必然要有足够的耐心,每隔一段时间培训一次,而且内容形式还要变换花样,这样才能让员工逐渐地接受,安全意识与习惯逐渐形成,企业安全氛围遂水到渠成。
常见的防范措施包括:
1、采用加密技术,实现密文传输。
比较常见的防范局域网监听的方法就是加密。数据经过加密之后,通过监听仍然可以得到传送的信息,但是,其显示的是乱码。结果是,其即使得到数据,也是一堆乱码,没有多大的用处。
2、利用路由器等网络设备对网络进行物理分段。
如果销售部门的某位销售员工发送给销售经理的一份文件,会在公司整个网络内进行传送。我们若能够设计一种方案,可以让销售员工的文件直接给销售经理,或者至少只在销售部门内部的员工可以收的到的话,那么,就可以很大程度的降低由于网络监听所导致的网络安全的风险。
3、利用虚拟局域网实现网络分段。
我们不仅可以利用路由器这种网络硬件来实现网络分段。但是,这毕竟需要企业购买路由器设备。其实,我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术,就可以利用它来实现网络分段,减少网络侦听的可能性。
虚拟局域网的分段作用跟路由器类似,可以把企业的局域网分割成一个个的小段,让数据包在小段内传输,将以太网通信变为点到点的通信,从而可以防止大部分网络监听的入侵。
|
