最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 构建网络和IT安全基础的7个步骤

    如果没如果没有强大的网络安全策略,企业将无法实现IT安全

    美国国家安全局(NSA)已确定构成良好IT安全系统的三个基本功能。根据NSA的介绍,这些功能至关重要,可防止93%的网络事件。而NetCraftsmen确定了另外四个步骤,这些步骤与NSA的三个步骤相结合,可为构建全面的安全系统奠定坚实的基础。

    一、NSA的安全步骤

    步骤1.多因素身份验证

    企业应该部署多因素身份验证,例如双因素身份验证(2FA),而不只是使用密码。2FA依靠用户知道的东西(密码)和他们拥有的东西(物理设备,例如安全令牌生成器或电话)。其他机制还依靠生物识别等因素。

    短信验证已成为2FA的流行机制。在登录期间,通过短信或电话将安全代码发送到手机。用户输入安全代码以完成登录验证。如果攻击者接管手机账户或号码,这种类型的验证可能受到攻击,因此不适合高度安全的帐户。

    步骤2.基于角色的访问控制

    部署基于角色的访问控制,仅当某个人的职能或角色必须访问资源时,才提供访问权限。例如,人力资源员工将不需要访问会计功能。通过限制访问权限,受攻击的员工帐户将无法访问该角色所需范围之外的功能和数据。

    随着IT安全变得越来越重要,几乎所有产品都具有基于角色的访问安全控制。这应该是产品选择的关键标准。美国国家标准协会还有这方面的标准,在《ANSI InterNational Committee for Information Technology Standards 359-2004》和《INCITS 359-2012》中有详细说明。

    步骤3. 允许列表应用

    网络曾经是开放的,唯一执行的过滤是拒绝某些连接。而允许列表颠覆了这种模式。仅允许应用程序功能所需的那些连接和数据流;而阻止所有其他连接。这里的目的是减少安全泄漏事故在整个企业中横向传播的机会。

    安全团队应配置过滤系统,以记录或日志记录建立连接的失败尝试。应将这些警报视为陷阱绊线,可能将团队引诱到受感染的帐户或系统。安全信息和事件管理可以帮助管理来自过滤系统的大量事件。

    二、NetCraftsmen的安全步骤

    步骤4.修复漏洞和解决办法

    安全团队必须努力修复已知漏洞,并部署解决办法。正如NSA所提到的,零日攻击很少发生,大多数网络安全漏洞是由于未打补丁的系统而引起。企业必须对应用程序、服务器操作系统和网络基础结构进行定期更新。安全团队将需要流程和人员来跟踪更新,并需要配置管理系统来推动更新。

    步骤5.网络分段

    网络分段的目的是防止自动化恶意软件在业务功能之间横向扩散。企业可将网络根据功能进行分段,各段之间的访问受限。例如,设施基础设施网络没有理由访问HR或会计等业务功能。对于业务分段之间的任何访问,安全团队应使用应用程序允许列表(请参见上面的第3步)。

    步骤6.系统备份

    最常见的入侵是勒索软件,而成功的广泛攻击可能会严重打击企业。系统备份可以降低这种攻击的大部分风险,但前提是确保备份本身不会受到攻击。安全团队必须精心设计其备份系统以确保安全,因为攻击者在触发企业数据加密前,会监视IT系统长达数周。

    与勒索软件攻击一样,自然灾难同样具有破坏性,并且备份应存储在不同位置,而不会遭受同一自然灾害影响。企业可以研究其他企业如何处理自然灾害以及如何从自然灾害中恢复过来,以了解有效的方法和无效的方法。

    步骤7.员工安全教育

    最后的安全步骤是教育员工。使用反网络钓鱼活动对员工进行培训,让员工了解有关入侵和欺诈的电子邮件。一种常见的攻击方法是诱使员工点击电子邮件中已感染恶意软件的笑话、图片或视频。欺诈性电子邮件会诱骗员工(通常是财务职位)进行欺诈性的转账。某些员工角色可能需要其他针对特定工作的培训。

    培训已被证明是可行的。这种培训应该强调过去的经验教训,并包括新的攻击机制。培训的另一个好处是,员工在其个人生活中可更好地做好准备避免遭受此类攻击。

    三、确保一切正常运行

    好的IT系统依赖于人员、流程以及技术和工具的适当平衡。以上七个步骤主要关注人员和流程。为了获得平衡的安全基础,企业可以使用“网络防御矩阵”来评估安全工具。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 构建网络和IT安全基础的7个步骤

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 937会员总数(位)
    • 39841资源总数(个)
    • 57本周发布(个)
    • 3 今日发布(个)
    • 330稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情