企业信息安全建设七大原则

要想抓住机遇利用这些先进几乎来建设更安全的信息基础设施，RSA会议中提出了七条指导性原则来在当今不断变化的安全环境中建设有效的信息安全策略，这七条指导原则如下：

1.在IT基础设施中必须嵌入安全 -- 安全不应该只是整合到基础设施中，安全必须嵌入到基础设施里面。RSA和思科团队正在研究如何将数据丢失防护技术嵌入到安全设施(如思科的IronPort电子邮件安全网关)中，另外RSA和VMware同样也保持着技术合作关系以将核心安全控制嵌入虚拟基础设施中。

2. 开发解决方案的生态系统--必须形成解决方案的生态系统，以确保来自不同企业的产品和服务可以共同合作来解决共同的安全问题，RSA已经投入建设了RSA eFraudNetwork社区，这个社区用于实现全球各地成千上万的金融机构之间的协作，以从全球范围内减少金融欺诈。

3.创建无缝的透明的安全 -- 确保安全的透明性，特别所要保护的用户以及系统要保持透明度，这能够弥合技术进步与用户实际能力间的差距。RSA和第一数据公司近日推出了用于保护支付卡数据(来自商家的数据)的服务，该服务能够减少商家将信用卡数据存储在IT系统的需要，目前该项服务已经嵌入第一数据公司的支付处理系统，这样能够保证对商家极其客户的无缝和透明度。

4.确保安全控制的相关性以及内容性 –在EMC重要事故响应中心，安全信息管理是集中管理的，这样就能够将来自信息控制的数据相关联，例如数据丢失防护、身份控制(基于风险的身份验证)，以基础设施控制，例如路径、配置和漏洞管理系统。这种对安全操作的方法是用于加快安全分析师获得区分良性安全事件和威胁事件的情报的速度。

5. 必须从内部和外部同时部署安全 -- RSA指出，必须从内部和外部同时抓安全问题，双管齐下，既要保护周边安全，又要保护信息本身。由于用户是使用不同的网络设备从内部、外部或者云中来访问系统信息，安全政策和控制必须全程“跟紧”信息，因为信息是在整个信息基础设施中流动的。

6.安全必须是动态的和基于风险的-- 企业应该定位于动态关联不同来源的信息以及响应与基础设施和信息相关的实时风险，RSA将于近日推出新的咨询服务来帮助企业部署或者提高其安全部署的功能，以更好的管理风险和IT合规项目。

7.有效的安全是可以自我调整的 -- IT基础设施的动态性质以及相应的恶意攻击的复杂度都已经超过了人类的能力，也是处于这个原因，信息安全策略必须是动态的，基于行为的。为了帮助实现这个目标，RSA同时也宣布将与趋势科技合作来充分利用趋势科技的威胁资源中心生成的间谍软件、病毒、垃圾邮件和其他数据的实时情报。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。