前言

简单说明一下我个人的情况。到目前为止我已经在信息安全岗位从事两年工作了。想通过发表这种博客的方式来记录自己对信息安全个人浅薄的认识。

一、什么是信息安全

信息安全就是保护计算机系统（软件、硬件等）以及对应的信息资产，不被偶然因素或恶意行为被窃取、破坏和更改。与之相对应的就是信息安全强调的机密性、可用性、完整性。

信息安全，也不单单指的是着一些。还包括和相关计算机系统物理环境、使用接触到相关系统的或信息资产的人等等都可以看作是信息安全的一部分。而并非指的是计算机这块。

信息安全其实是包括方方面面。从物理环境，计算机系统，信息资产到人员。都可以纳入信息安全的范畴。

二、为什么要做信息安全呢

第一、法律法规的要求《网络安全法》、《数据安全法》、《个人信息保护法》等等
第二、网络与我们生活息息相关，你的钱袋子都基本靠网络来进行流通。
第三、信息也是具有价值的，从企业来说，重要的信息泄露可能会影响到企业的生存。
从个人来说、个人隐私泄露，会给自己的生活带来困扰。
第四、网络环境从以前只能影响到计算机系统，到现在网络环境甚至能够影响物理现实环境（智能家居的普及，车联网的发展、工业数字化转型等等）

所以说无论是个人还是企业都应该拥有信息安全的意识，这也就是为什么要做信息安全。

三、如何保障信息安全呢

这里呢我会从个人和企业的角度来如何说明如何保障信息安全

个人保障信息安全

一、主动养成一个保护个人信息的习惯：
1、不轻易向陌生人透露自己的信息
2、不轻易扫描不知来源的二维码
3、不安装来路不明的软件
4、不点击来源不明的链接
...
二、增强信息安全意识
在网上遇到涉及钱财的事情、自己不确定情况，一定要找可信赖人员来寻求帮助
多看反诈骗宣传
等等

企业安全

	1、创立完整的安全制度。俗话说的好：无规矩不成方圆，无制度要求，安全也只是空口白话。
	2、划分安全域。要充分考虑安全域的划分，不能够一刀切，安全人要考虑成本的，对于核心机密安全投入高一点，对于机密等级低的地方可以投入低一些。在不同安全域之间的边界防护也是重中之重。安全域的划分，不仅仅局限于网络中，而且还要考虑物理环境。
	3、建立资产清单，只有对自己家的信息资产心知肚明，才能更好的保护，更好的划分。
	4、增加员工安全意识，人往往是信息安全最薄弱的环节
	5、基础安全防护系统如防火墙、ACL、DLP、NIDS、HIDS等
	6、建设日志系统。全方位的日志系统，能够让人快速在海量数据中发现异常和风险。
	7、建立审计流程。完善的系统，也需要人对系统结果审计，完整的审计流程，可以完善、发现信息安全不足和风险。
	8、企业信息安全要有全局视野，充分调动全局可获取的资源，构建威胁模型，创建规则，让一些能够固定化规则的安全考虑自动化手段去解决，不能完全依赖人，
	9、人对自动化系统也不能完全信任，要定期的对自动化系统规则进行检验，以确保自动化符合公司实际情况，并且能够有效的运行。
	

四、信息安全产品

以下是自己对安全产品理解：
	1、考虑安全产品与实际业务的匹配程度，最贵的不一定是最好的，最适合才最好的。
	2、安全产品不应专注于某一个安全厂商的产品，考虑安全产品的多样性。只选某一家安全产品也是会存在一定风险的。
	3、安全产品在业务连续性要求高、不能影响相关业务开展。比如：安装服务器或者在网络出口位置、生产机器的安全产品，要考虑安全自杀这类的需求。

五、安全和业务的关系

	安全与业务的关系，安全为业务保驾护航，业务发展为安全建设赋能。安全和业务之间的关系相辅相成，相互促进，而不是对立的。
	做安全首先要了解业务，安全是保障业务开展的护城河，而不是业务的捆仙绳，安全要为业务量身定制，不能一味追求安全，而不考虑到业务死活。也不能为了业务而一在妥协。安全要随着业务发展与时俱进，在保证安全的同时，也要考虑到业务的匹配度，不能固步自封，用老的方法去管新的业务。安全虽求稳，但也要打破传统思维，力求创新。

以上为仅仅是个人对信息安全的看法，有说不正确的地方还各位同行请多多指教。