专栏首页农夫安全如何给企业做好基本的网络安全防御工作

如何给企业做好基本的网络安全防御工作

企业防御

这里总结的是企业在做安全防御的统筹方法,并不是具体某个漏洞如何修复~

信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常的运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。信息安全的成败主要取决于两个因素:技术和管理。现实生活中大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。信息安全管理作为安全工作中的一个重要环节,主要包括识别组织资产和风险、采取恰当的策略和控制措施来消减风险,监督控制措施有效性,提升人员安全意识等。

企业安全的核心目标是为关键资产提供可用性、完整性和机密性保护(CIA),降低组织面临的风险。

**保密性(confidentiality)**:确保信息在存储、使用、传输中不会泄露给非授权用户或实体。

**完整性(integrity):**确保信息在存储、使用、传输中不会被非授权篡改,防止授权用户越权读取、修改信息,保持信息内外部一致性。

**可用性(availability):**确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,保障可靠而及时的访问信息和资源。

通常使用以下三种手段来实现企业的安全防御。

1、管理控制
2、技术控制
3、物理控制

接下来就是对三种手段分别细讲

管理控制

1、安全计划


安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。

2、信息资产分级


确定信息资产分级方案,根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。

一般商业公司的信息敏感级别由高到低为:

  • **机密**
  • **隐私**
  • **敏感**
  • **公开**

3、人员控制


  • **招聘时员工背景调查**
  • **在职期间防范内部人员外泄敏感信息、误操作引起的损失等**
  • **解聘相关账号注销**

4、安全培训


企业安全培训一般分为高层培训、IT部门培训和普通员工培训三类。

  • **高层培训:主要是确定组织安全需求、得到高层在安全工作中的支持**
  • **IT部门培训:针对安全开发、安全运营等开展的安全培训**
  • **普通员工培训:一般就是安全意识的培训**

5、业务持续性管理(BCM)


BCM是整体的管理框架,提供足够有效的能力以保障组织关键利益相关者的利益,包含BCP和DRP。

5.1 业务连续性计划(BCP)

业务连续性计划是机构信息系统安全项目(Security Program)的一部分,其目的是在中断事件发生时通过以下措施为机构提供解决方法:

  • **采取及时和恰当的应急响应**
  • **保护生命安全**
  • **减少业务影响**
  • **恢复关键业务功能**
  • **在恢复期间与外部厂商和伙伴合作**
  • **在危险期间减少混乱**
  • **确保业务存活**
  • **在灾难后快速恢复**

5.2 灾难恢复计划(DRP)

灾难恢复的目标是降低灾难或者中断所带来的影响,当灾难来临时恰当的处理灾难及其灾难性的后果,通常灾难恢复计划关注于IT层面。灾难恢复是在所有事情处于紧急状态时执行的。

技术控制

1、生产环境


1.1 安全开发

应用程序和计算机系统开发的首要目的往往是满足功能需求,而非安全。为了满足这两方面的需求,在设计和开发时必须同时考虑安全性和功能性。安全应该交织在产品的核心之中,并在各个层面提供保护。相对于在产品与其他应用程序集成时再开发可能影响总体功能和留下安全漏洞的前端或者包装程序,在设计之初就考虑进安全因素的方法要好得多。

软件开发生命周期(software development life cycle,SDLC)是通过可重复和可预测的流程来帮助确保满足功能、成本、质量、交付周期的需求。

安全计划应该尽量在生命周期的各个阶段予以实施,一般分为以下三个阶段:

  • 前期:制定基线,参考编程语言(php、java等)的安全编写规范(如owasp安全编码指南等)、参考app安全设计标准
  • 中期:工具+人工的白盒代码审计
  • 后期:系统正式上线前进行软件功能测试和黑盒渗透测试

1.2 安全运维

安全运维是为保障网络、计算机系统、应用程序和环境以安全和受保护的方式运转。

不管是自建IDC还是部署到公有云平台,我们都应该关注以下几个方面的安全控制:

  • 安全域划分(vlan隔离等)
  • 安全检测(定期的漏洞扫描、渗透测试等)
  • 安全加固(系统、中间件、数据库等安全加固)
  • 补丁管理(windows补丁等集中自动化管理)
  • 入侵检测(部署软、硬件IDS、IPS、硬件IDS等)
  • 访问控制(IAM策略、部署堡垒机等)
  • 服务监控(网络、系统异常时系统自动短信通知管理员等机制)
  • 日志集中管理(部署SOC等设备)
  • 抗DDOS(使用CDN缓解DDOS、预算范围内加大带宽等措施)

如果公有云平台提供部分安全控制措施,可以结合其提供的安全能力与自身需求相结合。

2、办公环境


办公环境的安全一般主要关注边界安全、终端安全、移动设备安全及OA服务域的安全。

2.1 边界安全

边界防护一般可以采取以下几种控制措施:

  • 防火墙(传统防护墙、WAF等)
  • VPN
  • 入侵检测(IDS、IPS、蜜罐等)
  • 上网行为审计

2.2 终端安全

终端防护一般可以采取以下几种控制措施:

  • AD策略
  • 终端管理(杀毒软件、安全软件部署)
  • 网络准入控制(NAC)

2.3 移动设备安全

移动设备安全防护一般可以采取以下两种控制措施:

  • BYOD管理(制定BYOD使用规范)
  • WIFI防护(禁止私设wifi热点、划分vlan、radius认证服务等)

2.4 OA服务域安全

OA服务域安全防护一般可以采取以下几种控制措施:

  • 邮件使用管理规范(定期删除无用邮件、定期修改邮箱密码等)
  • 内部系统使用规范(禁止开启对外映射、内部敏感信息禁止外传等)

物理控制

物理安全涉及到与保护企业资源和敏感信息的实体有关的威胁、缺陷和防范措施。这些资源包括人员、工作设施、数据、设备、支持系统、介质和所需的供给品等。与计算机和信息安全相比,物理安全方面的脆弱性、威胁和对策都有所不同。物理安全措施必须能够应对物理破坏、入侵者、环境问题、盗窃等。

物理安全所面临的威胁一般有以下**三类**:

自然灾害:洪水、地震、火灾、台风等 供应系统威胁:停电、通信终端等 人为威胁:未授权的访问(内部或外部的)、员工造成的错误和事故、故意破坏、盗窃等

物理控制措施主要包括以下**几个方面**:

访问控制(物理上的,非信息系统) 入侵检测(物理上的,非信息系统) 警报 闭路电视监控 供暖、通风、空调 电力供应(UPS等) 火警和消防 警卫 锁具

本文分享自微信公众号 - 网络安全社区悦信安(yuexin_an)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 全是AI的围棋大乱斗,场面是怎样的?

    若朴 发自 LZYY 量子位·QbitAI 报道 “绝艺在右上角出了一记重拳,ZEN当场毙命。一颗悬着的心,重新回到了肚子里面……这是我讲棋史上,最重要的一盘棋...

    量子位
  • 盖茨又去Reddit上答网友问,说计算机该像人一样阅读学知识

    △ 盖茨的Reddit账号在图中 李林 编译整理自Reddit 量子位·QbitAI 出品 今天,比尔·盖茨又……参加了Reddit的AMA(Ask Me An...

    量子位
  • 炒币有风险,AI算法帮助识别ICO诈骗

    【新智元导读】中国创业公司香侬科技(Shannon.AI)与斯坦福大学、加州大学圣塔芭芭拉分校以及密歇根大学的研究人员合作,发布了一份白皮书,详细介绍了用机器学...

    新智元
  • 孙正义:未来鞋子都比人聪明,AI智商至少是人类50倍

    30年后,鞋子都比你聪明 ? 量子位(QbitAI) | 若朴 编译整理 在量子位的微信群里,曾经有家长问:面对未来的AI世界,怎么才能让孩子提早准备? 然而也...

    量子位
  • 《黑镜》黑科技成真 | 解码脑电信号,AI重构脑中的画面

    原作 TIM COLLINS Root 编译自 Dailymail 量子位 出品 | 公众号 QbitAI 上周五,一贯借黑科技刻画人性阴暗面的英剧《黑镜》刚出...

    量子位
  • 【AI版纸牌屋】特朗普团队操纵大数据+AI左右竞选引舆论哗然

    【新智元导读】一家名叫Cambridge Analytica的数据分析公司成了这两天新闻的焦点,他们使用大数据和AI分析Facebook用户资料,操纵舆论帮助特...

    新智元
  • 【更新】机器学习干货大放送,再来5G资料送你

    新智元干货 【新智元导读】在第一期机器学习资料的基础上,我们又更新了课程《机器学习技法》《机器学习基础》《机器学习基石》《线性代数》等。 课程更新:《机器...

    新智元
  • 神经网络之父Hinton回加拿大办AI研究所,和美国大公司抢人才

    △ Geoffrey Hiton 李林 编译整理 量子位 报道 | 公众号 QbitAI 被尊称为“神经网络之父”的Geoffrey Hiton又有了一份新事业...

    量子位
  • 马斯克为何创办Neuralink?背后是硅谷钢铁侠对AI的恐惧

    △ 伊隆·马斯克,特斯拉及OpenAI联合创始人,在SpaceX猎鹰9号火箭部件内部 2010年摄于佛罗里达州 卡纳维拉尔角 王新民 允中 编译整理 量子位 出...

    量子位
  • HDUOJ1060Leftmost Digit

    Leftmost Digit Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/327...

    Gxjun

扫码关注云+社区

领取腾讯云代金券