企业在信息化安全建设中的三大误区
发布时间:2020-06-11 11:43:24浏览次数:
在信息化快速发展的今天,每天我们都能在国内各类媒体上看到各行各业的企业信息泄密事件,给企业造成了重大损失,有的企业就此倒闭,虽然“信息化安全”已经被很多企业提到重要的议题上,并且很多企业都开始重视信息安全,关注信息安全建设。从当前政府的角度来说,也出台了一系列的信息安全建设措施和信息安全保障方案。但是,许多的企业虽然认识到信息安全的重要性,而在实际实施过程中却又无从下手。为什么会这样?原因就在于企业对于信息安全方面知识的欠缺。目前企业的信息化安全建设的过程中主要存在以下误区。
误区一:企业只重视硬件投入,却长期忽视软件产品。
国内很多企业在信息化安全的建设过程中,在软件产品与硬件产品的选择上,往往存在着“欺软怕硬”的现象。很多企业在信息化建设过程中,往往是考虑加大硬件设备的投入,花高价钱买一堆硬件设置装置在机房里。硬件产品的可视化让他们觉得物有所值。但实际上,有很多的硬件投入都过于昂贵,而且没有起到应有的作用。导致了企业许多资源的浪费。
然而信息化安全建设中,除了防火墙、网关这类硬件设备外,企业还需要考虑到内部的安全威胁,包括病毒、内部泄密、员工行为规范等。这类安全需求是硬件设备无法全部满足的。对于数据防泄密能够做到“事前主动预防、事中强力控制、事后完整审计”是许多企业在信息化安全建设中所不可或缺的。
误区二:企业认为信息安全就是部署杀毒软件
在整个信息化的发展过程中,病毒、木马是大家最为熟悉的,也是认知度最好的危害信息安全的方式。加上杀毒软件厂家的大力引导。使许多的企业认为,信息安全,就是要防病毒、要装杀毒软件。于是便有“装了杀毒软件、布上防火墙,信息从此安全”的错误认知。
事实上,企业事业单位的信息化安全防泄密,不管是病毒、黑客等威胁还是其它的因素,最重要的原因,都是人为因素造成的。而人为因素本身,以企业内部人员及竞争对手的商业间谍为最大的信息安全威胁。单位内部员工没有安全保密意识,无意的泄密;个别人员受利益的驱使,有意识的盗窃机密数据。这才是信息安全的关键问题所在。因此,要加强信息安全保护,除非应该有防病毒意识以外,更应该要有防泄密的意识。从文档的源头进行控制,防止泄密事件的发生。
误区三:企业缺少安全保密意识,防泄密靠自觉
企业在信息化建设中已经略有所成,而信息化安全建设方面却是刚刚起步。因此,对于信息化安全方面,缺少相应的规章制度,对于员工也没有相应的培训,基本上靠个人自觉,以及员工的忠诚度。除此之外,没有其它的约束。
综上所述,国内企事业单位在信息化安全建设过程中,除了要引入加密软件等防泄密产品以外,同时应该加强对员工的信息安全防泄密意识的培训,形成相应的规章制度。另外,企业有必要对自身的核心优势寻求多一份法律保护,加强信息安全内部审计制度,保障企业的核心利益。通过引入信息安全相关规章、加强员工防泄密意识培训、部署加密软件,三管齐下,才能使企业的机密信息安全有保障。使企业的信息化安全建设更加全面到位。
误区一:企业只重视硬件投入,却长期忽视软件产品。
国内很多企业在信息化安全的建设过程中,在软件产品与硬件产品的选择上,往往存在着“欺软怕硬”的现象。很多企业在信息化建设过程中,往往是考虑加大硬件设备的投入,花高价钱买一堆硬件设置装置在机房里。硬件产品的可视化让他们觉得物有所值。但实际上,有很多的硬件投入都过于昂贵,而且没有起到应有的作用。导致了企业许多资源的浪费。
然而信息化安全建设中,除了防火墙、网关这类硬件设备外,企业还需要考虑到内部的安全威胁,包括病毒、内部泄密、员工行为规范等。这类安全需求是硬件设备无法全部满足的。对于数据防泄密能够做到“事前主动预防、事中强力控制、事后完整审计”是许多企业在信息化安全建设中所不可或缺的。
误区二:企业认为信息安全就是部署杀毒软件
在整个信息化的发展过程中,病毒、木马是大家最为熟悉的,也是认知度最好的危害信息安全的方式。加上杀毒软件厂家的大力引导。使许多的企业认为,信息安全,就是要防病毒、要装杀毒软件。于是便有“装了杀毒软件、布上防火墙,信息从此安全”的错误认知。
事实上,企业事业单位的信息化安全防泄密,不管是病毒、黑客等威胁还是其它的因素,最重要的原因,都是人为因素造成的。而人为因素本身,以企业内部人员及竞争对手的商业间谍为最大的信息安全威胁。单位内部员工没有安全保密意识,无意的泄密;个别人员受利益的驱使,有意识的盗窃机密数据。这才是信息安全的关键问题所在。因此,要加强信息安全保护,除非应该有防病毒意识以外,更应该要有防泄密的意识。从文档的源头进行控制,防止泄密事件的发生。
误区三:企业缺少安全保密意识,防泄密靠自觉
企业在信息化建设中已经略有所成,而信息化安全建设方面却是刚刚起步。因此,对于信息化安全方面,缺少相应的规章制度,对于员工也没有相应的培训,基本上靠个人自觉,以及员工的忠诚度。除此之外,没有其它的约束。
综上所述,国内企事业单位在信息化安全建设过程中,除了要引入加密软件等防泄密产品以外,同时应该加强对员工的信息安全防泄密意识的培训,形成相应的规章制度。另外,企业有必要对自身的核心优势寻求多一份法律保护,加强信息安全内部审计制度,保障企业的核心利益。通过引入信息安全相关规章、加强员工防泄密意识培训、部署加密软件,三管齐下,才能使企业的机密信息安全有保障。使企业的信息化安全建设更加全面到位。