终端安全风险管理-行业化需求汇报

2023-11-23 理论教育版权反馈

【摘要】：从已知的成功案例中，可以发现适合该行业的信息化，通常都把工作重点放在信息安全方面，尤其是移动办公的安全性和移动存储介质的管理，在强调人员的个人身份认证和识别基础上，要求相关信息的操作时另外需要权限的认证和工具的操作口令判断。

本节主要介绍几个比较典型的行业信息化建设过程中对于终端安全风险的处理情况，包括政府部门、公检法行业、大型商业企业、能源行业等。

政府部门的信息化建设往往目标和规划变化比较频繁，但是每个阶段都是以国家总体规划为基础原则。各级行政区域的政府部门，对于信息化的建设十分重视，并且强调所在区域的互联互通，因此相对的信息来源和信息交互非常频繁。在这种情况下，对终端的管理往往要以使用者为单位进行重点区分，区分使用者的身份、数据查询的权限、数据操作的权限、信息传递的审计和监控。政府部门有健全的行政管理体系，对于设备和人员的管理很细致，分级和分类都很清晰，设备的针对性很强，较少出现一机多用的情况，甚至可以实现按需分配使用不同设备，从根本上提高了设备使用的安全性，减少了交叉使用和工作疏忽带来的风险。但是政府部门的人员往往身兼多职，且权限较高，所涉及信息跨领域的情况也非常普遍，因此对于人员身份的识别和行为的审计在终端的管理过程中显得尤为重要，但是对于操作的限制较少，功能的管控不多。

公检法行业的信息化建设规范很明确，行业的分布式倾向很强，工作内容也比较敏感，对于信息安全要求极高，往往需要物理隔离不同的网络。公检法的工作时间比较有弹性，因此工作时段比较难以明显限定，而且移动办公情况较多，数据的传递情况非常频繁，而且不同的人员即使是在相同的部门下都会存在较大的差别，数据会要求严格区分读/写权限并且是以使用者为单位。公检法行业在追求工作效率方面，强调安全为基本原则，但是工作流程不可以任意调整，相关的工作制度和规范都有国家的统一标准，因此即使在分布式的管理模式下也是如此，而各个区域的管理也都能够保持相对的一致。从已知的成功案例中，可以发现适合该行业的信息化，通常都把工作重点放在信息安全方面，尤其是移动办公的安全性和移动存储介质的管理，在强调人员的个人身份认证和识别基础上，要求相关信息的操作时另外需要权限的认证和工具的操作口令判断。该行业属于典型的以强制流程和规范保护信息安全，即使工作效率受到影响，也要保障工作秘密的安全性。

大型商业企业的信息化建设由于起步不同和风格不同，往往千差万别，以电子商务类公司为例，工作业务不可避免地与互联网进行直接接触，无须像上两个行业一样进行网络的物理隔离，受到国家制度和规范的影响较小，因为国家较少直接对企业进行制度和规范性的要求，没有明确的指标限制。不过也正因如此，导致终端面临的安全问题十分严峻，网络攻击和病毒木马的侵袭，信息的外泄和丢失屡见不鲜。商业企业以追求利益为前提，片面强调安全会失去信息化建设的意义。因此在保障工作的基础上，进行终端的安全管控，这在很大程度上是对管理工作的灵活性提出了更高的要求。管理策略的阶段性变化是企业信息化建设中不可忽略的重点，企业自身的建设通常是强调效率至上和利益优先，终端的管理应该尽可能配合，不应该成为阻碍，更不能制约企业的发展。

能源行业属于大型商业企业的特例，尤其是国有大中型企业，特点很鲜明，风格介于政府和一般商业企业之间，既有国家安全制度和规范的约束，也有企业追求效率和利益的压力，在这两者间直接的平衡是该行业面临的重要问题。国家安全制度和规范是能源行业的终端安全管理基础，是国有大中型企业立足的根本和长远发展的必要保障，效率和利益的压力是国有大中型企业生存和成长的重要支柱。该行业的终端安全管理属于应用终端安全管理最典型的情况，管控措施非常细，阶段性调整非常大，对于整体规划和安全管理的灵活性要求很高。

终端安全管理作为一个泛化的课题，不好脱离实际去研究其理论上的意义，因为终端的灵活性和针对性只有在对应的行业内才具有实际意义。(www.chuimin.cn)

终端安全管理的目的是保障终端的安全发展，只有实现终端的安全发展，才能最大限度地体现终端的价值。所以，需要研究的是选择最有效的方式实施终端安全管理，寻找最有效的途径来实现终端安全管理目的。经过终端安全的多年发展，各个行业形成自有的特色，既是发展的进步，也是能力的提升。这期间，终端安全管理的行业特点更加明显，终端行业化管理已形成发展趋势，成为实现终端安全管理目的有效途径的必然选择。

终端行业化管理的意义，在于明确终端在实际使用中的具体应用边界和范围，根据终端的用途形成分类的行业制度和规范，结合行业特点和需求制定终端安全管理的规划，避免由于泛化的安全管理概念阻碍行业的自身发展。终端行业化管理的途径也是它的目标，就是构建终端行业化管理体系，通过行业制度和规范来保障终端的安全发展。

终端行业化管理不是简单的人力投入或者设备投入，而是要实现人员的思想和工作模式转变，使之达到有效的管理。而有效的管理是建立在大量数据和信息的分析基础之上。管理方法再先进，没有足够的技术和工具支撑，都是无意义的空谈，这就对终端安全管理工具提出了较高的要求。但是仅仅依赖工具去实现终端行业化管理，又会走回以往失败建设的老路上去。“学而不思则罔，思而不学则殆”，想要实现行之有效的管理，离不开信息化手段的支撑，要通过搭建相应的平台，设定科学严谨的管理流程，形成一个完整的管理循环，使得管理工作在不断地循环中变得更加完善。

具体来讲，终端行业化管理需要通过终端防护平台和终端安全管理平台两部分来实现，终端防护平台负责终端的具体信息采集和安全防护措施应用，终端安全管理平台负责数据的分析和管理的调整。从风险的视角来看，已知可控风险在防护平台上进行发现和预防，经过监控进行整理和汇总，在管理平台进行分类分级的处理和分析，通过整体趋势的判断和控制，以及重点风险的实时掌控，重要人员和重要设备的专项关注，形成安全策略的调整，进行终端安全管理的细节调整。从管理工作的视角来看，防护平台和管理平台区分管理工作的重心，防护平台侧重在终端的细节管控，包括终端的基础安全、运行安全和信息安全，对于网络的安全和设备安全实时监控和分析，对于特殊情况和个别情况的甄别和直接处理，管理平台侧重在区域的安全态势，对于安全的整体要求和发展发现进行规划、调整和评价，不同的工作平台需要的工作技能不同，对应的工作视角和工作要求也不同，各自思考问题的层面和思路也是不同的。

终端安全风险管理-行业化需求汇报

相关推荐