8、信息安全风险管理全解析

信息安全风险管理全解析

1. 信息系统复杂性与数据位置考量

在信息系统中，一个简单的URL可能会关联到多个服务器和应用程序。例如，一个业务用户提供的简单URL可能会扩展到36台服务器，涉及12个应用程序互连，跨越3个安全区域。这是普通业务用户可能不了解，但IT团队却熟知的信息。

当涉及信息时，虽然数据存储在数据库层，但由于数据是由整个应用程序处理和操作的，因此必须考虑整个应用程序。

在审查敏感业务数据的信息位置时，必须考虑灾难恢复架构。信息系统的所有部分都应应用相同级别的安全性，以根据业务需求妥善保护业务信息。例如，包含灾难恢复站点后，服务器和应用程序的数量可能会翻倍，达到64台服务器和24个应用程序互连。同时，如果备份互联网连接未得到妥善保护，可能会成为进入备份应用程序的途径。

在确定企业信息系统中业务数据的位置时，还需要考虑备份存储。备份存储环境必须与业务信息要求达到相同的保护级别，并且要确保备份介质始终受到保护，防止未经授权的访问。不必要的备份副本应根据组织的政策销毁，因为这些副本可能会随着时间的推移而管理不善，导致未经授权的访问。

以下是不同的存储选项：
| 存储选项 | 特点 |
| ---- | ---- |
| 虚拟机快照 | 对虚拟机磁盘文件进行时间点复制，可将虚拟机恢复到特定时间点 |
| 磁盘备份 | 存储不是线性的，可直接访问单个文件，恢复时间更快，容量和速度比磁带高 |
| 磁带备份 | 用于长期存档存储的线性存储机制，由于基于磁盘的备份成本降低，逐渐不受青睐 |
| 云备份 | 利用如亚马逊网络服务等服务提供备份服务，信息安全专业人员在审查云备份提供商合同