从哪儿开始实施IT安全

适当的安全连最基本的书面政策出主要是一些信息安全裁员到商业风险，克里斯说，从Computacenter公司诺尔斯。令人惊讶的是很少有公司之一。大多数接受调查的英国最近在安全方面花费约占其IT预算的公司之一，远远低于建议的花费占百分之三的IT安全预算的占百分之十的IT公司在金融服务方面的预算。只有百分之二十七的公司花费超过百分之一的IT安全预算。重要的是要记住，安全消费将在商业利益和投资回报率（ROI）方面的理由有一个完备的成本/风险效益分析，特别是你的需求也必须确保任何安全消费可以完全解释你的董事会成员。那么，目前的技术是公司的安全英镑的开支呢？研究表明，实施程度最高的网络安全要素的服务器和工作站安全，网络边界防火墙和远程访问和身份验证服务的行业分析师。对许多企业的目标是要确保他们的环境的明显弱点，并制定新的安全架构。

从哪儿开始实施IT安全

任何企业想使安全状况的改善必须考虑其信息资产的广泛意见，并了解他们的价值以及对这些资产及其脆弱性的威胁。首先，公司应当然后确定是否有没有任何现有公司安全政策文件。这是一个正式发布的文档定义的作用，职责，合理使用和企业的安全做法。很少公司有一个正式的书面安全政策，但是，如果没有一个参考，如何确定您是否已应用了所有正确的保安措施？甚至连一个地方基本安全政策，组织可以在一定程度上减轻了一些关键风险业务。例如，据Gartner：占百分之'90安全漏洞利用配置不当或打补丁的服务器上的优势，这类行为很容易预防的，只要遵循安全程序。与现有的安全策略的公司通常具有更大的理解和赞赏的原因他们需要管理的保密性，完整性和可用性的信息资产，比没有这种政策的。不过，如果你正在考虑实施一项安全政策框架，Computacenter的建议，这些政策不是孤立的创建。

对安全的不同方法许多数据安全问题都是常识性问题-正如你不会在道路上驾驶汽车没有刹车，同样你不应该在互联网上保护的网络服务器。的风险实在太大了。充足的资讯科技信息安全是对能够不断减少的风险：

保护这意味着充分的承认，并优先考虑和保护承认他们可能会受到由于其重要性，广泛的用途和位置，侵犯您的组织的信息资产-这主要涉及有关业务问题的人，政策和进程。

检测你必须能够承认侵犯不管谁或什么是对他们负责-这涉及到人，政策，技术，设置和程序。

响应你应该保护你的资产不被滥用自动或者快速决策，或人工干预，甚至，制止滥用。这个词'不断'这里是关键。 IT安全是不是购买硬件和软件，设置起来，然后再想想它忘记。新的风险和脆弱性发生的每一天，尤其是聪明的黑客获得新的技术和应用。充分的安全需要得到您的安全团队，卓越的工艺和质量控制计划的彻底更新，不断评估和警惕。

在'七规则'的做法阿比较简单但更加务实的方式看它的安全是'七规则'的方式对网站安全，这Computacenter公司已跌破因此它也可以适用于网络的更新：

1。有/创建一个安全计划已经有一个坚实的安全计划和适当的政策-最好是在您打开您的新系统，真实世界的用户和黑客！另外，确保您就您的所有系统定期进行脆弱性评估和渗透测试。

2。了解您的风险级别定期评估允许您设置您的风险正在，并将之与你的'足够的安全保障水平的态势。重要的是要记住，安全是一个推动者，但它也需要时间和金钱来实施，因此系统不应该大幅度增加复杂的最终用户。例如，您可能需要一个简单的密码系统，允许用户访问的低更多的机密，敏感或有价值的信息价值的信息服务，但更复杂的认证和审批手续。领先的IT门户网站，CW360.com，建议至少使用1 8个字符的密码，这并不涉及到用户的生命，而不是由字典单词或日期了。它表明，'密码必须为业主容易记住，但抵制直观的打击'。那是个问题，在现实生活中，为什么他们通常不安！

3。不依赖于防火墙你需要它们，但是还有更多的不仅仅是增加一个外部连接到您的局域网完整的安全系统。防火墙通常是单点故障，因此失去了工作或外部连接访问系统的影响。什么是风险或成本，您的组织？不要忘了考虑医管局（高可用性）解决方案。甲急需配置的防火墙往往更危险比没有防火墙在所有的组织，因此要确保当您建立使用规则，你必须严格的测试程序，以发现任何潜在的漏洞和日常检查防火墙日志与您的其他相关网络安全日志信息。据Vnunet.com，约占总数的百分之九防火墙的网络安全遭受破坏。 Computacenter公司的建议是必须认识到，在心脏，防火墙是一个愚蠢的协议，规则和包检测引擎-统一防御层，可损害-所以即使是设置正确，你总是需要更多的保护层！

4。有一个访问策略有一个访问策略，并确保它得到遵守。正如在大多数环境中普遍存在，您将需要不同层次的用户访问。您希望客户网上购买商品，但你不想提供一个开放的电脑系统及数据的黑客。你也想验证远程和远程工作人员更严格，以及他们的系统授权和特权。通过有线或无线连接，设备访问需要进行审查，以确保它是安全的。强大的认证和加密的虚拟专用网络（VPN）链接是一个很好的起点。

5。测试，测试，再测试获得别人对您的安全，定期测试。道德黑客和安全服务提供商，现正采用，如IBM打入客户网络，找到自己的薄弱环节的公司。可能有人会担心认为你是别人提供机会闯入你的系统，它必须独立测试后，这些测试的结果您的系统和行为。

6。继续监察定期监控您的安全，最理想的是采用软件报警和管理工具，并确保结果进行了分析。这听起来可能很明显，但公司往往不检查和总结，一旦安全程序的地方了，并定期监测可以识别任何需要作为您的网络并变更和/或您的网站的功能和能力发展。

7。灾难计划有计划时，一切都错了地方。这应该是从脆弱性评估的自然发展，但经常被人遗忘。所有的机构应该有应急计划，内容包括谁应该在一个突破口，什么备份系统的要求和/或灾难恢复条款时接触的地区。 Vnunet.com表明，7人10家企业没有制定灾难恢复策略和严重的系统崩溃将使处于困境的公司。虽然这些方法可能会出现简单，他们沟通的基本需要你开始建立某种形式的框架内工作，支持格言'一些安全总比没有安全'。

结论安全显然是企业成为大问题，但是，并非所有公司还没有采取足够的保安措施。背后，没有信息安全很大的谜，有一些的路线图，在那里帮助您，无论多么基本的或复杂的您的企业，优先次序，创造安全的每一层你采用的投资回报。关键的信息是很重要的开始考虑的风险，建立全公司安全政策，并证明在所有新的IT方案的部署和安全技术管理。用户教育也必须是一个成功的IT安全解决方案的实施，并应任何安全解决方案上。但是，我们必须承认，安全是本身不是目的：它使企业能够在保护其营运环境的主要威胁自己，并进行流程和交易的，否则太冒险进行。重要的是，这是一个持续的评估和评价的过程。

企业变革，IT基础设施的变化，不幸的是，攻击者变得更加聪明。部署正确的安全技术，决不是一件容易的事。正如乔治安德森Computacenter的评论：'安全是一个关键组成部分，必须在基础设施削减堆栈无论什么层。这是至关重要的机构采取全面的办法-一个单一的弱点可能意味着今后的墙壁倒塌下来。Computacenter的安全实践的专门供应商提供独立的信息安全解决方案，咨询和服务，向公众和商业部门，经常在作用一个值得信赖的安全顾问。由于我们的客户开放了自己的网络，接受新的互动技术，并针对大量增加的风险作出过严格的安全businesscritical，Computacenter公司开发了在IT广泛和深入的技能和专长的安全服务部门。更多信息，请联系：Computacenter公司（英国）有限公司，哈特菲尔德大道，哈特菲尔德AL10 9TW。电子邮件：enquiries@computacenter.com;网址：www.computacenter.com

由弗兰克B提交的一篇文章

免责声明：我们的网站是不负责本文章的内容。 Webarticles是一个免费的信息资源。
重要事项： 这篇文章“从哪儿开始实施信息安全”是由自动软件翻译。我们感到很遗憾拼写的任何可能发生的错误。谢谢您的理解。