现在很多做企业信息安全的人,特别喜欢说道国家网络空间安全的相关新闻,又或者喜欢将企业信息系统的漏洞或遭受攻击的风险挂在嘴上,以此来抬升他们的重要性,来证明他们很牛。其实这类人,实际是只能玩些概念,尽是些花架式,他们肚里根本没有干货,根本不懂企业信息安全的管理,根本不知道如何结合企业自身的业务,为企业规划相应的信息安全管理方案,所以只能拿国家网络空间安全的重要性和放大黑客攻击的威胁来自抬身价。
首先,信息安全和网络安全是两个东西,根本不是一回事,我之前也写过文章说明了这二者之间的区别,也写到了现在很多大学也把信息安全和网络安全混淆在一起了,虽然开设了信息安全和网络安全专业,但是他们的培养计划和专业课程几乎都是一样,都是局限在信息技术和通信技术领域。
对于企业而言,信息安全是要涵盖企业的所有业务过程的,重点聚焦的是企业的核心业务,而网络安全主要局限在企业信息技术和通信技术领域。因此,虽然现在中国的大学开设了信息安全和网络安全的专业,但其实教的都是网络安全范畴的东西。
其次,国家之间的对抗,可以养兵千日,用兵一时,而对于企业管理而言,需要结合企业业务和相应的风险,进行资源的投入,并不是像现在很多在企业做信息安全的,不顾实际情形,动不动就搞0day,搞渗透,搞攻防,其实这些对于很多企业来说根本没有必要,可能对于这些企业而言,其核心业务信息安全风险会更大,相对而言这些企业信息和通信技术领域的安全风险可能相对没有那么高。
对于大部分企业而言,0day,渗透,以及攻防这些,其实没有必要投入太多,只需要培训原有的IT运维人员,实施一些日常基础的安全操作,完全可以符合企业的风险控制要求,因为无论如何是没有办法将风险降为0的,要是真的哪家企业被人盯上了,在这些方面投入再多,也是挡不住别人的攻击,对于绝大多数企业而言,没有人会去盯上你,去攻击你,所以只要做好基础的安全管理就可以防范风险。
其实现实中,很多遭受勒索病毒的攻击的企业,大部分都是熟人作案的,这些企业喜欢找乙方搞攻防,搞渗透,搞安全服务,却不知道乙方安全服务人员人蛇混杂,这不是给机会让人家踩点吗?
