首頁 > 信息安全 > 正文

構建網絡和IT安全基礎的7個步驟

2021-02-22 09:29:18  來源:TechTarget中國

摘要:美國國家安全局(NSA)已確定構成良好IT安全系統的三個基本功能。根據NSA的介紹,這些功能至關重要,可防止93%的網絡事件。
關鍵詞: 安全 基礎
  如果沒如果沒有強大的網絡安全策略,企業將無法實現IT安全。
 
  美國國家安全局(NSA)已確定構成良好IT安全系統的三個基本功能。根據NSA的介紹,這些功能至關重要,可防止93%的網絡事件。而NetCraftsmen確定了另外四個步驟,這些步驟與NSA的三個步驟相結合,可為構建全面的安全系統奠定堅實的基礎。
 
  一、NSA的安全步驟
 
  步驟1.多因素身份驗證
 
  企業應該部署多因素身份驗證,例如雙因素身份驗證(2FA),而不只是使用密碼。2FA依靠用戶知道的東西(密碼)和他們擁有的東西(物理設備,例如安全令牌生成器或電話)。其他機制還依靠生物識別等因素。
 
  短信驗證已成為2FA的流行機制。在登錄期間,通過短信或電話將安全代碼發送到手機。用戶輸入安全代碼以完成登錄驗證。如果攻擊者接管手機賬戶或號碼,這種類型的驗證可能受到攻擊,因此不適合高度安全的帳戶。
 
  步驟2.基于角色的訪問控制
 
  部署基于角色的訪問控制,僅當某個人的職能或角色必須訪問資源時,才提供訪問權限。例如,人力資源員工將不需要訪問會計功能。通過限制訪問權限,受攻擊的員工帳戶將無法訪問該角色所需范圍之外的功能和數據。
 
  隨著IT安全變得越來越重要,幾乎所有產品都具有基于角色的訪問安全控制。這應該是產品選擇的關鍵標準。美國國家標準協會還有這方面的標準,在《ANSI InterNational Committee for Information Technology Standards 359-2004》和《INCITS 359-2012》中有詳細說明。
 
  步驟3. 允許列表應用
 
  網絡曾經是開放的,唯一執行的過濾是拒絕某些連接。而允許列表顛覆了這種模式。僅允許應用程序功能所需的那些連接和數據流;而阻止所有其他連接。這里的目的是減少安全泄漏事故在整個企業中橫向傳播的機會。
 
  安全團隊應配置過濾系統,以記錄或日志記錄建立連接的失敗嘗試。應將這些警報視為陷阱絆線,可能將團隊引誘到受感染的帳戶或系統。安全信息和事件管理可以幫助管理來自過濾系統的大量事件。
 
  二、NetCraftsmen的安全步驟
 
  步驟4.修復漏洞和解決辦法
 
  安全團隊必須努力修復已知漏洞,并部署解決辦法。正如NSA所提到的,零日攻擊很少發生,大多數網絡安全漏洞是由于未打補丁的系統而引起。企業必須對應用程序、服務器操作系統和網絡基礎結構進行定期更新。安全團隊將需要流程和人員來跟蹤更新,并需要配置管理系統來推動更新。
 
  步驟5.網絡分段
 
  網絡分段的目的是防止自動化惡意軟件在業務功能之間橫向擴散。企業可將網絡根據功能進行分段,各段之間的訪問受限。例如,設施基礎設施網絡沒有理由訪問HR或會計等業務功能。對于業務分段之間的任何訪問,安全團隊應使用應用程序允許列表(請參見上面的第3步)。
 
  步驟6.系統備份
 
  最常見的入侵是勒索軟件,而成功的廣泛攻擊可能會嚴重打擊企業。系統備份可以降低這種攻擊的大部分風險,但前提是確保備份本身不會受到攻擊。安全團隊必須精心設計其備份系統以確保安全,因為攻擊者在觸發企業數據加密前,會監視IT系統長達數周。
 
  與勒索軟件攻擊一樣,自然災難同樣具有破壞性,并且備份應存儲在不同位置,而不會遭受同一自然災害影響。企業可以研究其他企業如何處理自然災害以及如何從自然災害中恢復過來,以了解有效的方法和無效的方法。
 
  步驟7.員工安全教育
 
  最后的安全步驟是教育員工。使用反網絡釣魚活動對員工進行培訓,讓員工了解有關入侵和欺詐的電子郵件。一種常見的攻擊方法是誘使員工點擊電子郵件中已感染惡意軟件的笑話、圖片或視頻。欺詐性電子郵件會誘騙員工(通常是財務職位)進行欺詐性的轉賬。某些員工角色可能需要其他針對特定工作的培訓。
 
  培訓已被證明是可行的。這種培訓應該強調過去的經驗教訓,并包括新的攻擊機制。培訓的另一個好處是,員工在其個人生活中可更好地做好準備避免遭受此類攻擊。
 
  三、確保一切正常運行
 
  好的IT系統依賴于人員、流程以及技術和工具的適當平衡。以上七個步驟主要關注人員和流程。為了獲得平衡的安全基礎,企業可以使用“網絡防御矩陣”來評估安全工具。

第三十二屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
日本免费一区