32、保障安全业务流程的安全技术

保障安全业务流程的安全技术

1. 安全事件现状

当前安全事件呈现出一定的态势，尽管财务损失有所下降，但重大事件的总体数量与去年大致相同。其中，金融欺诈报告的损失大幅降低，今年为 9171400 美元，而去年接近 1.16 亿美元。和往年一样，专有信息被盗造成的财务损失最大，达到 5.701959 亿美元，平均每次报告损失约 270 万美元。与往年不同的是，调查受访者中代价第二高的计算机犯罪是拒绝服务攻击，成本为 65643300 美元，比去年的 18370500 美元损失增长了 250%。

这些情况激励着各组织和信息管理者采取有效且复杂的措施来保护他们的系统和公司。

2. 计算机系统和网络安全

从物理层面到信息层面，安全保障至关重要。虽然安全有成本且可以计算，但损失却是难以预测的。我们可以假设让一个系统在无安全措施的情况下运行一年，一年后对比系统前后的价值，这个差值就是安全计划预算的参考范围。

安全是一种有意识的风险承担，在计算机系统的每个生命周期阶段，所采用的安全级别成本应低于成功攻击造成的损失。也就是说，安全措施要足够强大，使攻击系统变得不划算，因为攻击的投入会高于预期收益。不同层面需要应用不同的安全解决方案，且这些部分要全面覆盖整个系统。

以下是 ICT 安全的主要实践领域总结：
| 安全类型 | 组织安全 | 个人安全 | 网络（通道）安全 | 计算机（端点）安全 |
| — | — | — | — | — |
| 人力与软件 | 定义安全策略（如访问权限），需要训练有素且可靠的员工 | 使用可靠的网络工具，经常检查通信通道和配置良好的网络元素 | 使用经过测试的应用程序软件工具