事前安全防范层面
当前绝大多数企业缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。企业业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障企业业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
事中安全防护层面
安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的企业基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但企业尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
事后安全审计层面
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
敬请关注《数据安全防“脱库”解决方案》第三讲——如何建防信息泄露的城墙。
