企业平安文化从根本上说是基于良好的网络卫生(Cyber Hygiene)来建设和倒退的,每个企业都必须依据本身理论状况来建设相应的网络卫生标准。企业能够施行许多根本的网络卫生控制措施,以此来升高网络攻击的可能性和影响。因而,网络卫生应该成为所有领有数字解决环境的企业必备的惯例程序,其实每个企业都须要定义网络卫生要求,不管企业的规模是大或是小。
然而,中小型企业往往在疾速倒退的过程中疏忽或未过多关注数据安全,并且未在其流程中建设良好的网络卫生条件,包含企业怎么施行根本网络卫生控制措施来升高网络攻击的可能性和影响,以及网络安全意识的教育和培训,从而给企业平安埋下了微小隐患。
那么企业在网络卫生方面做到什么水平才算适合呢?在本篇及下一篇文章中,咱们将企业该当思考的网络卫生最佳实际一一列举,助力企业建设良好的网络卫生环境。
信息安全政策
首先,企业应该有正式的信息安全政策。而信息安全策略的驱动因素能够依据企业本身的需要和所处行业来确定。比方能够是出于合规起因、履行合同任务或者是应答守约行为而定。但不管企业信息安全政策制订的驱动因素是什么,该 政策最终都必须失去执行管理层的批准。如果企业组织架构宏大且较为简单,则还须要失去董事会的批准。
企业风险管理
同时,企业还该当施行全面的企业风险管理 (ERM)。企业风险管理过程是企业在实现其商业指标的过程中极其重要的组成部分,通过在企业的各个级别调配风险管理性能,从而进步对网络安全问题的意识,并解决所有级别的风险管理问题。
数据分类
现在数据泄露事件每每产生,且大型数据泄露事件往往对企业的名誉造成微小负面影响,同时也让用户利益受到极大侵害(见 Uber 数据泄露事件)。因而,企业必须采取安全措施,来避免未经受权的数据泄露和潜在的损坏。数据分类政策是整体隐衷策略的根底。这里咱们所说的数据分类政策的重要局部,包含数据分类级别的定义、数据所有者的角色和责任、安全控制以及每个级别的解决阐明。定义数据类别将有助于将适当的技术和企业管制调配和映射到存储(公有)数据的数据库和零碎。
数据泄露
避免数据泄露的要害,是通过数据失落防护 (DLP) 零碎阻止受限内容被滥用。数据失落防护系统能够帮忙企业最大限度地缩小攻击者在事件中利用的后门、侧通道或其余安全漏洞的秘密数据透露。DLP 爱护传输中的数据,应搁置在网络外围。企业能够依据本人的数据分类策略来对 DLP 进行配置。
补丁治理
企业应尽快对设施、操作系统和网络进行补丁和更新。因为某些企业修复破绽速度较慢,歹意攻打往往会以这些破绽为指标从而发动攻打。因而,企业须要要求其供应商定期更新操作系统、应用程序、设施驱动程序和固件以解决已知破绽。及时更新软件和硬件至关重要。
零碎强化
企业还该当利用零碎强化流程(System hardening process),通过缩小攻击面使操作系统、应用程序和设施更加平安。在设计零碎安全性时,强化作为一种预防措施是最无效的,当产生突发事件时,能够帮忙打消影响以及革除受感化的零碎。强化还能够删除并避免更多未经受权的用户拜访受感化的零碎。强化的示例还有:停用不必要的组件、禁用未应用的用户帐户、限度主机拜访、限度每个用户或每个主机的 shell 命令以实现最低权限。
培训与教育
如果没有全面的教育,基于用户的攻打(例如社会工程 Social Engineer)将成为企业的次要网络安全危险起源。除了让用户理解应用技术固有的危险外,还必须让他们 理解在企业零碎内平安运行所需的政策和程序。安全意识培训还应思考员工领有的拜访权限类型和角色。具体培训机制的范畴能够从登录时通过屏幕消息传递的小提示,通过员工办公桌或公共区域的纸质宣传册,到针对企业经营特定因素(例如设施、软件等)的培训。
备份
因为网络安全基础设施单薄和员工意识单薄,企业可能会继续成为网络攻击的受害者。因而对于企业来说,针对所有数据和零碎牢靠备份策略和程序至关重要,这些策略和程序波及企业资产受到大规模毁坏的重大事件。依据备份的“黄金法令”,企业应该领有其零碎的三个正本,其中两个应该保留在异地。许多企业为该异地正本抉择云存储,但他们还必须离线存储一个以爱护备份免受勒索软件攻打。现实状况下,一个异地备份将与企业的次要经营充沛隔离,以放弃不受毁坏或其余重大突发事件的影响。
在下一篇文章中,咱们将持续为大家解说网络卫生的最佳实际指南。