信息安全攻防規則？

隨著各大企業和機構信息安全問題的日益突出，信息安全防護成為新的關注點，這也是ISO/IEC 27001：2013標準體系的要求。信息安全防護管理核心是技術、管理、制度的防范。

一、技術防范

技術防范是信息安全防護管理的主要手段，其主要采用的方法有惡意軟件防范、數據備份、密碼技術、日志監控、通信安全控制、技術脆弱性管理等。以技術脆弱性管理為例，應遵循“最低權限”原則，即只安裝業務發展和服務必須的軟件，并要考慮所安裝的軟件間的兼容和沖突，盡量安裝少的、兼容的軟件。

?

二、管理防范

信息安全防范是一個整體的、體系化的工程，是技術與管理的有機結合體，其中管理尤其起了重要的作用。為了減少人為因素帶來的損失，應重點圍繞“人”這一因素，從提高安全意識、規范信息行為、訪問信息控制、信息行為審計、違規行為處罰等多個角度制定詳細的管理規程，使“人”明確自己的責任，規范自己的行為，從而起到安全防范的作用。

三、制度防范

制度防范是信息安全防范的重要手段之一，應從整體信息安全出發，針對信息安全面臨的威脅和薄弱點制訂系統化、體系化的安全防范制度，以規范信息管理，降低信息安全風險。信息安全制度應包括服務器管理制度、存儲設備管理制度、網絡管理制度、數據庫管理制度、數據備份制度、密碼管理制度、介質安全管理制度、檔案文件管理制度、信息資產生命周期管理制度等。信息安全制度要盡量全面、科學、細致、規范。