概述

當(dāng)前，信息技術(shù)飛速發(fā)展，已成為最活躍的生產(chǎn)力要素，促使生產(chǎn)模式發(fā)生重大的變革，引發(fā)互聯(lián)網(wǎng)經(jīng)濟蓬勃發(fā)展。信息化作為企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)與支撐，得到了企業(yè)高層的高度重視，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、邊緣計算等越來越多的新技術(shù)、新架構(gòu)被開發(fā)和廣泛應(yīng)用。

信息化在國家發(fā)展中的重要性和地位不斷上升，信息安全逐漸得到國家重視，并于 2017 年 6 月發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》，旨在保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展。

據(jù)全球知名網(wǎng)絡(luò)安全公司 Gemalto 發(fā)布的《數(shù)據(jù)泄露水平指數(shù)》指出，僅 2018 年上半年，全球每天有超過 2500 萬條個人數(shù)據(jù)遭到入侵或泄露，涉及金融、醫(yī)療、制造等多個行業(yè)。直至現(xiàn)在，越來越多的網(wǎng)絡(luò)安全事件爆發(fā)，黑客攻擊手法也越來越復(fù)雜和多樣化。面對如此嚴(yán)峻的形勢，我們亟需構(gòu)建一套屬于自己的信息安全架構(gòu)，御敵于千里之外。

什么是信息安全？

對于什么是信息安全的概念，不同的人可能解釋也不同。ISO/IEC 、美國國家安全系統(tǒng)委員會和國際信息系統(tǒng)審計協(xié)會三家對信息安全的定義大同小異，其目標(biāo)一致，都指出保障信息安全的最重要目的是保護信息的機密性、完整性和可用性。

定義概述為“為了保障機密性、完整性和可用性而保護信息和信息系統(tǒng)，以防止授權(quán)的訪問、使用、泄露、中斷、修改或者破壞”。

■ 機密性：

簡而言之，信息僅能夠被授權(quán)的個人、組織、系統(tǒng)或流程訪問，不應(yīng)該被任何其他非授權(quán)行為獲取。例如銀行賬戶的交易流水和余額的信息，除賬戶持有人或經(jīng)賬戶持有人授權(quán)的主體可以看到以外，其他人或組織不得查詢或獲取。

■ 完整性：

簡而言之，就是確保信息的一致性、準(zhǔn)確性和可信賴性，不允許信息被篡改。例如用戶通過銀行網(wǎng)頁提交個人信息為開通賬戶。數(shù)據(jù)是通過網(wǎng)頁形式提交的，銀行要通過某種措施，進行數(shù)據(jù)的校驗，確保用戶提交的信息和最終存儲的信息的準(zhǔn)確性。

■ 可用性：

簡而言之，就是業(yè)務(wù)連續(xù)性的體現(xiàn)，確保用戶可以隨時獲得已授權(quán)的信息。例如銀行要隨時確保用戶可以通過 ATM 、網(wǎng)銀、柜臺、移動終端等多種方式進行金融服務(wù)。

在考慮信息安全的時候，一定要把保障信息安全的三大屬性作為重要的目標(biāo)，從而建立完善和有效的保護措施，確保業(yè)務(wù)的可持續(xù)性和數(shù)據(jù)的安全性。

什么是信息安全縱深防御模型？

眾所周知，信息安全的攻擊和防護是嚴(yán)重不對稱的，一般來說攻擊要比防御容易的太多。一個組織或企業(yè)的信息安全水平遵循木桶原理，也可稱為短板效應(yīng)。即一只木桶能盛多少水，并不取決于最長的那塊木板，而是取決于最短的那塊木板。任何一個組織或者企業(yè)，可能面臨的一個共同問題，即構(gòu)成信息安全體系的各個環(huán)節(jié)往往是優(yōu)劣不齊的，而劣勢部分（安全體系最薄弱環(huán)節(jié)）往往決定整體信息安全水平的高低。

隨著信息安全技術(shù)的不斷發(fā)展進步，單一的防御措施已經(jīng)不能適應(yīng)新的安全形勢，必須以體系化思想重新定義縱深防御，形成一個縱深的、動態(tài)的安全保障框架，亦即縱深防御體系。縱深防御體系是一種信息安全防護系統(tǒng)設(shè)計方法論，其基本思想是綜合治理，以信息安全為中心，以多層面安全手段為基礎(chǔ)，以流程化管控為抓手，以貫穿信息系統(tǒng)的生命周期為管理范疇。由于其體系較為復(fù)雜、龐大，本文僅分享基于技術(shù)層面的縱深防御模型，有興趣了解縱深防御體系的朋友可繼續(xù)關(guān)注 TWT 的官方動態(tài)。

信息安全縱深防御模型是基于一種假設(shè)，任何單一的安全措施都是不充分的，任何單一的安全措施都是可以繞過的。可以把縱深防御理解成為“剝洋蔥”，是指在信息系統(tǒng)周邊及自身實施多層次的安全防御手段，在任何一種防御措施被攻破或失效后，可以利用另外的安全防御手段來阻止進一步的危害。對攻擊者而言，防御措施一層比一層嚴(yán)謹(jǐn)，一層比一層難以攻克，從而保證核心層系統(tǒng)的相對安全。

信息安全縱深防御模型的重要性？

給大家簡述一個現(xiàn)實的例子，說明一下信息安全縱深防御模型與核心數(shù)據(jù)的關(guān)系。

相信大家都非常喜歡看“尋寶”類的電影，寶藏一般存放在巨獸把守、機關(guān)重重且不容易被得到的深山老林的洞穴里。洞穴周邊布滿天羅地網(wǎng)，各種陷阱。好不容易闖過，又遇到各種怪獸攔路。僥幸通過，寶藏盡在眼前之際，又被大 Boss “招待”，此時能活下來的機會已經(jīng)渺茫。“豬腳”最終得到寶藏，結(jié)果還是個看不懂的地圖。

本文的例子中的天羅地網(wǎng)、各種陷阱、巨獸及大 Boss 都是防止機密文件被竊取的防御措施。看不懂的地圖可以理解為加密文件，是最后的防線，防止機密數(shù)據(jù)萬一被竊取后導(dǎo)致的寶藏被盜（信息泄露）。

不同的企業(yè)實況，對信息安全縱深防御模型的層級劃分也不盡相同。

1、物理安全：物理安全又稱作實體安全，是保護計算機設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）等免遭地震、水災(zāi)，人為和其他環(huán)境事故中受破壞的措施和過程。

2、終端安全：根據(jù)知名調(diào)研機構(gòu)的數(shù)據(jù)指出， 60% 的信息泄露發(fā)生在終端側(cè)。終端安全主要是通過各種終端安全軟件的協(xié)同配合，保證終端出入口的安全及數(shù)據(jù)存儲的安全。

3、網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全指網(wǎng)絡(luò)上信息的安全，也就是網(wǎng)絡(luò)中傳輸和保存的數(shù)據(jù)，不受偶然或惡意的破壞、更改和泄露，網(wǎng)絡(luò)系統(tǒng)能夠正常運行，網(wǎng)絡(luò)服務(wù)不中斷。

4、系統(tǒng)安全：系統(tǒng)安全主要指的是計算機系統(tǒng)的安全，而計算機系統(tǒng)的安全主要來自于軟件系統(tǒng)，包括操作系統(tǒng)的安全和數(shù)據(jù)庫的安全。

5、數(shù)據(jù)安全：數(shù)據(jù)安全指的是用技術(shù)手段識別網(wǎng)絡(luò)上的文件、數(shù)據(jù)庫、帳戶信息等各類數(shù)據(jù)集的相對重要性、敏感性、合規(guī)性等，并采取適當(dāng)?shù)陌踩刂拼胧ζ鋵嵤┍Ｗo的過程。

6、應(yīng)用安全：應(yīng)用安全是指應(yīng)用程序在使用過程中和結(jié)果的安全，它是定位于應(yīng)用層的安全防護。

通過建立有效的縱深防御模型，各個層次相互聯(lián)動配合，實現(xiàn)：

• 層級分明，多種防御措施結(jié)合使用，增加攻擊難度，降低信息泄露可能性；

• 設(shè)立多級風(fēng)險檢查點，阻止大多數(shù)惡意病毒及威脅的入侵；

• 防御策略分明，利于管理員針對不同類型威脅進行策略部署及有效防御；

• 充分發(fā)揮不同安全廠商的產(chǎn)品特性和價值，術(shù)業(yè)專攻。

如果沒有縱深防御體系，就難以構(gòu)建真正的系統(tǒng)安全體系，更無法保障企業(yè)業(yè)務(wù)的連續(xù)性運轉(zhuǎn)。

企業(yè)信息安全威脅

正所謂知己知彼，百戰(zhàn)百勝。要想保護企業(yè)信息的安全，就要明確信息安全常見的威脅，對癥下藥，防患于未然。

威脅分析模型 -STRIDE 模型

STRIDE 威脅分析模型是微軟提出的一套安全設(shè)計方法論，六個字母代表六種安全威脅，分別是：

身份假冒（ Spoofing ）：

身份假冒，即偽裝成某對象或某人。例如，通過偽裝成別人的身份進行操作。

篡改（ Tampering ）：

篡改，即未經(jīng)授權(quán)的情況下，修改數(shù)據(jù)或者代碼。例如，非授權(quán)人員通過網(wǎng)絡(luò)抓包或者某種途徑修改某個請求包，使得篡改的請求包提交成功。

抵賴（ Repudiation ）：

抵賴，即拒絕執(zhí)行他人無法證實也無法反對的行為而產(chǎn)生抵賴。例如， A 攻擊了某個產(chǎn)品，產(chǎn)品方并不知道是 A 做的，沒有證據(jù)證明是 A 做的， A 就可以進行抵賴。

信息泄露（ Information Disclosure ） :

信息泄露，即將信息暴露給未授權(quán)用戶。例如，通過某種途徑獲取未經(jīng)加密的敏感信息。

拒絕服務(wù)（ Denial of Service ）：

拒絕服務(wù)，即拒絕或降低有效用戶的服務(wù)級別。例如，通過拒絕服務(wù)攻擊，使得其他正常用戶無法使用產(chǎn)品的相關(guān)服務(wù)功能。

特權(quán)提升（ Elevation of Privilege ）：

特權(quán)提升，即通過非授權(quán)方式獲得更高權(quán)限。例如，試圖用管理員的權(quán)限進行業(yè)務(wù)操作。

微軟的全系產(chǎn)品都是基于它進行安全考慮與設(shè)計。STRIDE 模型幾乎是可以涵蓋現(xiàn)在世界上絕大部分的安全問題。

常見信息安全威脅來源

互聯(lián)網(wǎng)最大的好處就是拉近我們彼此之間的距離，信息可以以秒級為單位傳遍全球各個角落。當(dāng)然，有好的一面必然就有不好的一面。

隨著信息技術(shù)的迅猛發(fā)展，全球性、互聯(lián)性、信息資源和數(shù)據(jù)共享性等特點日益凸顯。使其本身極易受到攻擊，攻擊的不可預(yù)測性、危害的連鎖擴散性大大增強了信息安全問題造成的危害，信息安全已呈現(xiàn)出全球性、突發(fā)性、擴散性等特點。信息安全面對復(fù)雜、嚴(yán)峻的管理形勢，已經(jīng)被企業(yè)和國家所重視。

但這些威脅根據(jù)其性質(zhì)，基本上可以歸結(jié)為以下幾個方面：

• 信息泄露：被保護的信息被無意或有意的泄露；

• 破壞信息的完整性：被保護的數(shù)據(jù)被非法篡改或破壞；

• 拒絕服務(wù)：非法阻止合法信息使用者對信息服務(wù)的訪問；

• 非授權(quán)訪問：受保護資源被非授權(quán)個人或組織進行使用；

• 竊聽：利用用各種可能的非法的手段竊取系統(tǒng)中受保護的信息資源和敏感信息；

• 假冒：通過欺騙通信系統(tǒng)或用戶，達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客攻擊往往采用此方式，偽裝欺騙用戶，達(dá)到目的；

• 漏洞攻擊：攻擊者利用系統(tǒng)的安全缺陷或漏洞獲得非法的權(quán)限；

• 內(nèi)部攻擊：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的；

• 抵賴：通常為內(nèi)部攻擊的分支，攻擊者否認(rèn)自己曾經(jīng)發(fā)布過的某條消息；

• 計算機病毒：一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序；

• 法律法規(guī)不完善：由于信息安全法規(guī)法律方面的不完善，給信息竊取、信息破壞者以可趁之機。

信息安全防御措施

通過上文了解了什么是信息安全以及信息安全的威脅源，本章主要是介紹如何通過縱深防御模型，分層次的精準(zhǔn)部署安全策略，做到有的放矢，對信息進行保護，提升企業(yè)信息安全威脅防御能力。

安全的原則

通過信息安全業(yè)界專家和學(xué)者的多年研究，總結(jié)出 10 個最關(guān)鍵且有效的安全原則，分別是：

• 縱深防御；

• 運用戴明環(huán)模型；

• 最小權(quán)限；

• 白名單機制；

• 失敗安全；

• 避免通過隱藏功能實現(xiàn)安全；

• 入侵檢測；

• 不信任第三方系統(tǒng)；

• 默認(rèn)安全配置；

• 業(yè)務(wù)隔離

這 10 個基本原則，基本保證了業(yè)務(wù)的基本信息安全要求：

■ 縱深防御

本章主要介紹的就是縱深防御，它也是業(yè)界認(rèn)可度最高，普及率最廣的防御體系。

通過專項技術(shù)的分層部署，在多個層面進行控制和防御，如本篇所說的從物理層到應(yīng)用層。

永遠(yuǎn)不要把所有的精力只用在某個點的防御上，某個點防御的再強，也可能會出現(xiàn)零 Day 漏洞，無法保證數(shù)據(jù)的安全。縱深防御理念就是層層設(shè)防，多樣化，多層次、縱深的防御措施。攻破一層防護后，也無法徹底破壞整個信息基礎(chǔ)設(shè)施或應(yīng)用系統(tǒng)，就像剝洋蔥一樣，一層比一層辣眼睛。

■ 運用戴明環(huán)模型（ PDCA）

安全運營工作是一條需要持續(xù)貫徹的原則，安全工作永遠(yuǎn)不是一勞永逸的，它不是一次性的靜態(tài)過程，而是不斷演進、循環(huán)發(fā)展的動態(tài)過程，需要堅持不懈的持續(xù)經(jīng)營。PDCA(Plan-Do-Check-Action) 是在管理科學(xué)中常用的迭代控制和持續(xù)改進的方法論可以有效的輔助安全運營工作的開展與改進。

■ 最小化權(quán)限

最小化權(quán)限顧名思義，就是賦予合法用戶、組織或程序最小化的、能完成其功能的權(quán)限。比如：

1、關(guān)閉不必要的對外開放的端口；

2、取消應(yīng)用的管理員權(quán)限；

3、刪除或者禁用系統(tǒng)內(nèi)無關(guān)的賬戶；

4、卸載服務(wù)器上無關(guān)的軟件或應(yīng)用。

■ 使用白名單

通過白名單機制，可以明確定義什么是被允許的，其他的均被拒絕。黑名單與白名單相對，單純的使用黑名單機制，最顯而易見的缺陷就是，在很多情況下，我們無法窮盡所有可能的威脅，從而造成“誤放”。一旦“誤放”，我們的系統(tǒng)就有極大可能被黑客攻破。白名單最多會造成“誤殺”，正所謂“寧可錯殺三千，也不放過一個”。此問題可以通過手動添加的方式解決，確保每條白名單均經(jīng)過審核。

■ 失敗安全

是指在程序開發(fā)過程中要安全的處理錯誤。在程序設(shè)計的時候，要確保安全控制模塊在發(fā)生異常時遵循禁止操作的處理邏輯。當(dāng)異常發(fā)生時，避免因為異常處理代碼處理不當(dāng)，導(dǎo)致的意想不到的問題，比如權(quán)限提升、信息泄露等。這也是不懂安全的開發(fā)人員經(jīng)常忽視的。

■ 避免通過隱藏功能實現(xiàn)安全

是一種自欺欺人的方法，是試圖通過對外部隱藏一些信息來實現(xiàn)安全。例如錢包等貴重商品放在汽車的駕駛座等透明位置，只用一張報紙掩蓋，就認(rèn)為它安全了。再例如我們把 Redis 的監(jiān)聽端口從 TCP6379 改成 TCP6380 ，但依然放在公網(wǎng)提供服務(wù)等等方式。

要知道，互聯(lián)網(wǎng)上遍布無數(shù)高速和強大的掃描工具，簡單的隱藏根本無法保證信息系統(tǒng)的安全。

■ 入侵檢測

是指在入侵發(fā)生后，若沒有有效的入侵檢測系統(tǒng)的支持，我們的系統(tǒng)可能會長時間被黑客利用而無法察覺，從而導(dǎo)致業(yè)務(wù)長期受到威脅。至于是網(wǎng)絡(luò)層面入侵檢測還是主機層面的入侵檢測都是信息安全所必須的。

■ 不信任第三方系統(tǒng)

現(xiàn)在的系統(tǒng)越來越復(fù)雜，很多服務(wù)和接口都是模塊化、組件化的，需要引入第三方的模塊或者和第三方的業(yè)務(wù)系統(tǒng)對接使用其提供的數(shù)據(jù)，我們無法掌控第三方系統(tǒng)的安全性。如果其存在漏洞被攻擊，需要保證我們的系統(tǒng)不會因此而受到影響。

■ 默認(rèn)安全配置

不要認(rèn)為系統(tǒng)默認(rèn)的安全設(shè)置一定是安全的。比如一些路由器出廠默認(rèn)的帳號是 admin 密碼也是 admin ；很多系統(tǒng)默認(rèn)不啟用密碼復(fù)雜性要求；第一次登陸系統(tǒng)也不會要求用戶修改密碼。當(dāng)網(wǎng)絡(luò)上的掃描器進行掃描時，很容易破解以上系統(tǒng)的賬戶和密碼信息。

■ 業(yè)務(wù)隔離

安全不是過家家，永遠(yuǎn)不要把所有雞蛋都放在一個籃子里，就像炒股一樣，越是集中，風(fēng)險越大。業(yè)務(wù)隔離后，不至于一個系統(tǒng)被攻破就讓黑客拿到了一把“萬能鑰匙”，可以操作所有的業(yè)務(wù)功能，導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。

常用防御措施技術(shù)分享

通過在各層級部署防御措施，實現(xiàn)系統(tǒng)多層次、多維度的信息安全防御，構(gòu)筑相對安全的信息安全縱深防御模型，提升系統(tǒng)整體的威脅防御能力和風(fēng)險抵御能力。

以下是各個層級常用的一些信息安全防御技術(shù)分享，更多的安全防御技術(shù)，可以關(guān)注 TWT （talkwithtrend.com）后續(xù)發(fā)表的相關(guān)文章。

物理層：

1、租賃或自建符合國家數(shù)據(jù)中心機房建設(shè) B 級標(biāo)準(zhǔn)或以上的機房，確保風(fēng)、火、水、電等基礎(chǔ)設(shè)施高可用；

2、門禁系統(tǒng)，授權(quán)訪問；

3、視頻監(jiān)控，無死角；

4、專屬機柜，物理上鎖；

終端層：

1、所有終端安裝防病毒客戶端，防止病毒入侵；

2、所有終端部署 DLP 客戶端，防止數(shù)據(jù)泄漏；

3、所有終端部署桌管軟件，防止未授權(quán)外設(shè)接入；

4、部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，防止未授權(quán)客戶端接入內(nèi)網(wǎng)；

網(wǎng)絡(luò)層：

1、互聯(lián)網(wǎng)層面部署 ADS\WAF\IPS\IDS ；

2、部署下一代防火墻，阻止南北流向的非法訪問及病毒流量；

3、部署上網(wǎng)行為系統(tǒng)，授權(quán)用戶上網(wǎng)，防止非法網(wǎng)站訪問；

4、部署反垃圾郵件網(wǎng)關(guān)，阻止帶有惡意 URL 及病毒的郵件；

系統(tǒng)層：

1、統(tǒng)一身份認(rèn)證，授權(quán)訪問；

2、部署堡壘機，實現(xiàn)精準(zhǔn)授權(quán)運維；

3、開啟系統(tǒng)防火墻，授權(quán)流量訪問；

4、部署補丁管理系統(tǒng)，針對安全和關(guān)鍵補丁進行下發(fā)；

數(shù)據(jù)層：

1、部署數(shù)據(jù)庫審計工具；

2、部署加密系統(tǒng)，對核心數(shù)據(jù)進行加密；

3、部署備份系統(tǒng)，對核心數(shù)據(jù)進行異地備份；

應(yīng)用層：

1、部署 SSL 數(shù)字證書，實現(xiàn)通信加密；

2、部署應(yīng)用防火墻，阻止 SQL 注入等惡意行為；

3、部署監(jiān)控系統(tǒng)，對應(yīng)用行為進行監(jiān)控分析；

信息安全組織與管理

一個完整的縱深防御體系離不開技術(shù)與管理，正所謂“三分技術(shù)，七分管理”。要保障信息安全和系統(tǒng)安全，除了有必要的技術(shù)手段支持以外，還要考慮組織和管理的因素，也就是人、流程與制度的因素。

本文重點聚焦在技術(shù)上的縱深防御，對管理介紹較少。下文簡單介紹一下在信息安全管理方面的一些淺薄見解。

組建合理的安全組織架構(gòu)

信息安全工作向來是一把手工程，在大中型企業(yè)往往會設(shè)立由一把手領(lǐng)導(dǎo)的信息安全小組，對集團的重大信息安全工作進行指導(dǎo)和推動。比如在國家層面，就是由國家主席習(xí)近平擔(dān)任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的組長，強調(diào)網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強國。

同時在實體職位中，會設(shè)立首席安全官（ CSO ），對集團信息安全工作進行具體的規(guī)劃與執(zhí)行，確保信息安全戰(zhàn)略時刻為企業(yè)商業(yè)戰(zhàn)略而服務(wù)。

流程化管控

企業(yè)的信息安全體系按照規(guī)劃建設(shè)完成，這只是安全保障的第一步，或者說是前提 。之后大部分的工作都是在信息安全運營中。結(jié)合本文提及的 PDCA ，通過迭代更新的方法論，對信息安全策略和運營進行持續(xù)化改進，增強企業(yè)信息安全的整體防御能力。

正所謂“制度管人，流程管事”。基于流程化管理，信息安全運營團隊可以根據(jù)不同的安全事件、安全請求、安全變更進行快速響應(yīng)和精確處理。量化信息安全事件和信息安全處理情況，為精細(xì)化運營提供佐證。

強化意識培訓(xùn)

其實，在十大信息安全威脅中，最難以攻克的信息安全難題就是內(nèi)部人員泄密。在 IBM 公司 2018 年的信息安全調(diào)查中顯示， 60% 的信息安全事件發(fā)生在終端側(cè)。同時，終端側(cè)也是信息安全泄露事件的重災(zāi)區(qū)。商業(yè)間諜、高級持續(xù)性威脅及各類木馬等都可以導(dǎo)致信息泄露。

培養(yǎng)內(nèi)部員工的信息安全意識至關(guān)重要，企業(yè)應(yīng)該通過各種培訓(xùn)和活動使員工明白信息安全的重要性，持續(xù)教育和告誡員工把信息安全作為自身安全一樣去對待。比如不隨便瀏覽與工作無關(guān)的網(wǎng)站，禁止對非工作郵件內(nèi)的附件進行下載；禁止點擊郵件內(nèi)無關(guān)的 URL ；禁止運行與工作軟件的軟件等；信息安全無小事，對于企業(yè)而言，無論基層員工還是領(lǐng)導(dǎo)層都應(yīng)時刻謹(jǐn)記。

結(jié)束語

信息安全防御措施必須滲透到系統(tǒng)的每個環(huán)節(jié)，通過信息安全管理以確保信息安全戰(zhàn)略與組織業(yè)務(wù)目標(biāo)的一致。

信息安全縱深防御模型，就像一顆洋蔥，層層包裹著核心。每層都有不同的信息安全防御措施，讓黑客的攻擊層層受阻。企業(yè)在規(guī)劃自身的信息安全架構(gòu)時，建議采用信息安全縱深防御模型，確保整體信息安全架構(gòu)不出現(xiàn)單點安全，任何單一的安全點都是不安全的。