本
文
摘
要
谢谢邀请!
“2013企业的最高的10个信息安全问题”这个面就比较广了,其实等保就能够很好的回答这个问题,不管是搞主机安全、网络安全、数据安全还是应用安全等,等保是最有资格回来这个问题的,虽然等保也是借鉴了国外的一些标准。
首先,我先谈谈为什么wooyun罗列出来的这10个“信息安全”问题趋于应用安全,经常访问的人都知道其实乌云比较侧重于应用安全,从360安全宝、知道创宇的scanv(其主要领域为web安全)引用乌云的数据就可以看出。我想同样的问题,若让看雪来罗列可能会有完全不同的结果,因为乌云和看雪的侧重点不同。
有点废话了,回到主题。
————————————————分割线
那么2013年 企业10大信息安全问题到底有哪些?我这里无法一一作答,但是谈谈我的思路:
1. 所涵盖的信息安全问题,应该是涵盖:主机安全、网络安全、数据安全及应用安全等;
圈子里的很多人做了很多年的信息安全,从主机安全到网络安全公司,再由网络安全做到互联网安全(网站安全),他的想法不断的在发生变化,他关注的小范围也有所改变,但是我想信息安全的本质是不便的——完整性、可用性及保密性等;只有从这个角度出发,才能够考虑全面。
2. 安全问题的排序,应按照信息安全产品的“成熟度”及“安全事件热点"等关键字进行排序;比如,先将2013年最重大的10个安全事件罗列出来,那么信息安全问题的排序便有了参考。
PS:等级保护,
其实谈到等级(分级)保护,很多业内专家和工程师,可能都会嗤之以鼻,觉得不就是抄国外的东西嘛,而且公安(保密局)在国内推了这么多年,也还那样。
但是要说对信息安全的标准的全面性,我们扪心自问谁不是在自欺欺人,自己搞什么领域(主机、网络、应用等),就非得把那个领域说的神乎其神,但其实等级(分级)保护才是国内最完整的信息安全解决方案。
