微信订阅号二维码
本栏目热门内容
  • Windows 系统安全基线及软...
  • 微软安全合规工具包(SCT...
  • SELINUX介绍连载#3:什么...
  • 详细了解微软安全合规工具...
  • SELINUX介绍连载#2:模式...
  • CIS关键安全控制措施#16应...
  • 从甲方角度介绍“CIS互联...
  • CIS关键安全控制措施#6访...
  • CIS关键安全控制措施#17突...
  • CIS关键安全控制措施#8审...
  • CIS关键安全控制措施#7持...
  • 安装RHEL/CentOS时如何选...
  • 关于OpenSCAP/SCAP安全策...
  • SELINUX介绍连载#1:基础...
  • CIS关键安全控制措施#18渗...
  • CIS关键安全控制措施#15服...
  • CIS关键安全控制措施集18...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#9电...
  • CIS关键安全控制措施#11数...
  • CIS关键安全控制措施#12网...
  • CIS RAM#4实施防护措施、...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#2软...
  • SELINUX介绍连载#4:策略...
  • CIS RAM#1风险评估方法核...
  • 什么是网络行为异常检测(...
  • CIS关键安全控制措施#1总...
  • 网络行为异常检测(NBAD)...
  • 更多...

    业务导向甲方网络安全策略设计#1数据管理
    作者:Sender  来源:WaveCN.com  发布日期:2022-05-25  最后修改日期:2022-05-25

      很多时候,我们讨论网络安全,讨论等级保护,讨论技防,都是从法律法规,安全技术的角度出发。但从业务导向去讨论,确实较少。

      之前翻译发布的一些关于CIS控制措施的内容,尤其是CIS RAM方面,可以看出业务导向的思维,贯穿其中。

      而基于业务导向思维,作为甲方应如何设计网络安全策略呢?

      仅仅是安装杀毒软件,配置防火墙之类措施并不足够。无论何种规模的企业,都应该清楚认识到,网络安全问题会影响到企业声誉、商业秘密等决定性的因素。

      当前环境下,有四种主要的网络安全威胁:

      1、利用客户支持实施入侵

      2、利用远程工作接入或远程工作人员入侵

      3、利用网站应用程序漏洞入侵

      4、勒索软件

      第一种威胁和技术防范基本无关。它针对的是企业内部员工,通常通过钓鱼邮件或谎言邮件骗取企业内部员工回复、点击链接或运行附件。如果企业员工没有足够的预见性,很难避免被欺骗。

      第二、三两种威胁主要是技术性的,而防御方法也是偏向技术性,通过各种技防软硬件,比如入侵检测、WEB应用程序过滤等实现防御。

      第四种威胁现在基本耳熟能详,但即使如此,还是防不胜防。因为勒索软件已经发展成为有组织的犯罪行为,对于受害者而言,精心设计和发起的勒索攻击,并不是容易防范的。

      因此,作为甲方,需要通过为自己量身定做,制定网络安全基础策略,才能应对以上四种常见网络安全风险。合适的网络安全策略,应该涵盖基本数据管理、员工管理、设备管理和网络管理等方面,尤其是如果不幸成为目标,应进行什么意外处理。

      首先我们需要把网络安全策略按涉及到的问题进行细分,比如分成6大类:

    • 数据管理

    • 信息限制

    • 停机管理

    • 隐私政策

    • 安全软件

    • 员工培训

      如果不先列好提纲,分好板块,一上来就想从头开始写,那是注定会跑偏的。最后就会变成过分侧重某些领域而忽略了另一些领域。

      具体到分类内容,侧重点的所在取决于企业组织的规模、数据量、业务特性、安全技防能力、员工情况等等。比如数据密集型的企业重点关注数据管理和信息限制,劳动密集型(并且在线)的企业重点关注信息限制和员工培训。

      在开始任何具体工作前,都应该先了解清楚企业组织自身的情况和实际需要,尤其是在业务导向的前提下,客户的需要。

      设计策略的入手首先是先预设最坏情况。因此,应设计要求比较高但IT环境条件比较复杂或者支撑比较薄弱的情况。在阅读本文后,读者可以适应自己的情况而调整。

    第一部分:数据管理:区分共性和特性

      按前述“最坏情况”考虑,需要考虑数据量非常大、数据使用要求多、IT环境复杂的最坏情况。

      首先需要认清,什么数据需要对外发布,什么数据需要隐藏在内部。这是良好数据管理的最大要素。

      因此,这个问题可以分为4个级别,并对每个阶段进行安全性和培训的设计。

      理想情况下,作为企业IT管理,需要为员工提供工作所需的所有资源,但特殊的、专有的信息,应该建几栋高墙保护起来。

    第1级:公共数据

      即使是可以完全公开的数据,比如其他公司(相关方)的地址和联系人信息,你也需要保留这些信息而不主动公开,除非得到相关方的明确许可。

      与这些客户协作的员工需要随时获得这类信息,所以不能通过密码和令牌之类的手段来保护它。但作为企业IT管理,依然还是可以制定政策,比如要求只能通过客户提供的电子邮件去披露这些客户信息,也就是信息的外流被限制在其本身来源渠道

      同时,要确保客户也知道这项政策。客户是会有意无意地提出打破此政策的想法甚至做法的,此时就要根据政策去提出反对。这是必然会发生的事情。

    第2级:业务运行信息

      通常包括企业的产品线、分销商信息、内部联系人和客户电子邮件。如果企业有部署CRM系统,那么CRM中所有的信息都属于业务运行信息。这些信息也属于需要向员工常备提供的。

      此类信息不应该在网上公开。应将其存储在安全的服务器中,可以是良好保护下的云服务器。注意尽量减少可以访问客户信息的人数:只有需要与客户合作的人才会需要这些信息。

      要培训员工永远不要向第三方披露此类信息。良好执行此条要求,可以消除数据管理工作的大部分问题。

    第3级:专有信息

      企业如何生产制造产品,在什么地方进行生产,有什么独有的技术或者实践经验,都属于这个领域。这是需要隐藏和限制的信息类型。

      如果需要频繁访问这些信息进行审计和测试,应实现良好的密码管理。必要时可以使用第三方应用程序,也可以自行开发密码复杂度规则和定义密码更新周期。

      目标是只有数据经理这样职位的人员才会知道密码的变更规律,并且在需要时向适当的人员提供新的密码。

    第4级:公司秘密

      公司秘密,可能是扩张计划、收购计划、天使投资或合并计划。并购计划尤为重要,这是永远不希望泄露出去的信息。

      对这些数据的保护要求永远不会足够偏执。要做到即使是公司高层,也很难触及此类数据。保护此类数据的方法,比如通过专用的安全服务器进行存储,信息在服务器上还需要被加密,要使用这些数据,只能通过与特定个人绑定的USB设备访问而不是通过内部网络。

      保护的另一个目的是,即使发生了黑客攻击,企业也需要知道攻击来源和数据泄露的去处。

      这样的保护措施实际导致使用信息的过程很麻烦,但事实就是这样。因为这是最重要的数据,应该只对公司中最负责任的人提供。

    业务导向的甲方网络安全基础策略设计#1结论:

      让真正重要的东西遥不可及,最好是离线存储。企业员工最容易访问的数据,同样是黑客最容易获取的数据。

    欢迎关注微信公众号后私信讨论文章内容!
    本栏目相关
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-03-09 网络安全等级保护之SELINUX介绍连载之三(什么是策略)
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-08 网络安全等级保护之SELINUX介绍连载之二(模式切换篇)
  •  2022-04-20 CIS关键安全控制措施#16应用软件安全(下)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-04-02 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之六:访问控制管理
  •  2022-04-21 CIS关键安全控制措施#17突发事件响应管理