安全性管理
什么是安全性管理?
安全性管理是对企业 IT 资产进行目录编制,以及制定用于保护这些资产免受内外部及网络威胁之文档和策略的高级别流程。尽管不同组织的资产分类有所差异,但其通常都包括了人员、物理设施、技术和数据。除分类之外,这份详尽的分析可协助识别潜在安全性风险,提供管理、响应和化解威胁所需的信息,尤其在面对与网络安全相关的威胁时。
ISO/IEC 27001 于 2003 年在荷兰制定并于 2013 年进行更新,是国际标准化组织 (ISO) 和国际电工委员会 (IEC) 共同发布的一系列要求和建议,旨在协助提供安全性管理系统所需的信息并进行认证。目前其通常用作制定 IT 和数据安全性策略时的标准。
安全性管理为何如此重要?
安全性管理十分重要,原因在于其能够为企业和组织提供成熟、可靠的基础,供其保护旗下基础设施,免受丢失、盗窃和中断的影响,主要可满足网络安全目的。对于各公司而言,尤其是要在分布式网络和多个位置处理大量数据、应用和其他工作负载的公司,全面的风险分析和评估可协助他们阻止网络攻击,将攻击期间及之后的停机时间降至最低,缩短恢复时间。
安全性管理如何发挥作用?
安全性管理流程可拆分为三个常规阶段:评估、感知和启动。
评估
在这个阶段,安全性主管建立其 IT 的策略框架。第一步是详尽列出所有 IT 资产(每一部设备、每一个软硬件等)的明细,将其与组织的业务和合规需求进行比对;审查现有 IT 是否存在漏洞或短板;分配证书协议。完成后,IT 主管就能够以这些调查结果为参考,明智地制定策略及程序。
认知
安全性管理结构就位后,结果就可以分享给 IT 团队及组织中的所有员工,让他们都能够充分了解情况。从基本网络安全最佳实践到对第三方提供商角色与职责的详细说明,都属于这类培训内容。
激活
最终阶段由多个重要操作构成,即实施策略以确保合规性、全面的监控和响应,以及日常维护。此外,尽管这个阶段在某些方面代表了一系列最终操作,其仍应视需要纳入后续修改,即满足新业务需求、引入新技术或响应新威胁。
没有安全性管理会招致哪些风险?
未能考量或保护从端到端的 IT 结构会招致代价高昂的后果,甚至是灾难性后果。网络攻击者和其他网络威胁会想方设法渗透网络,以虚拟方式肆意损害、窃取及毁坏数据和资源。更糟的是,由此造成的泄露会给组织之外的人员带来影响。例如,激进黑客会中断油气生产商的运营,掀起的一系列事件会招致营收损失、供应链中断、油价上涨等严重后果;极端情况下,因此受损的安全功能会导致员工受伤,甚至是更糟糕的后果。更有甚者,安全性措施杂乱无章,此种名声一经树立,公司的公众形象、在行业里的地位以及未来发展潜能都会受损。
从内部来说,安全性管理可以打造出更高效、更主动的 IT 环境管理。没有安全性管理,公司会将自己置于安全性监管存在缺陷的风险之中,可能引发诸多后果:对威胁的识别和响应缓慢、协议和职责不明、无法根据不断演变的网络安全问题调整自我,以及最糟糕的 - 妨碍创新潜能的发挥。
HPE 与安全性管理
HPE 产品和服务的安全性和性能有口皆碑,可提供功能强大的硬件和端到端解决方案。这些服务设计之时着眼于满足企业级部署需求,不仅能够强化现有安全性策略,还能够将安全性从耗时的障碍转化为创新加速器。
HPE 安全与数字保护服务等方案可以提供边缘、云和数据保护;这类方案将自适应模式、行业专业知识与风险及安全性管理解决方案(包括零信任安全性以及采用 NIST 等行业标准的开发安全运营等现代方法)搭配使用,以跟上新网络威胁和技术方案的发展步伐。对于基础设施特定的安全性,HPE 安全性解决方案能够针对分布式网络提供硅到云的防护。
HPE 其他安全性产品/服务包括聚焦身份验证的 Cosigno 项目。这款服务植根于零信任协议,为安全性和基础设施工程团队提供了网络规模的统一平台来代理和发布服务身份。与其他方法不同的是,该解决方案提供基于开放标准 (SPIFFE) 且平台不可知的可扩展加密身份。因此,该解决方案让公司能够增强安全操作、提高开发人员工作效率、减少应用登录次数、加快云或容器采用,同时巩固整体安全态势。