企业安全文化从根本上说是基于良好的网络卫生(Cyber Hygiene)来建立和发展的,每个企业都必须根据自身实际情况来建立相应的网络卫生标准。企业可以实施许多基本的网络卫生控制措施,以此来降低网络攻击的可能性和影响。因此,网络卫生应该成为所有拥有数字处理环境的企业必备的常规程序,其实每个企业都需要定义网络卫生要求,不论企业的规模是大或是小。
在上一篇文章中,我们列举了一系列实用指南来助力企业建立良好的网络卫生环境。本篇文章将继续为大家介绍企业网络卫生的最佳实践。
业务连续性
企业应该有业务连续性计划 (Business Continuity Plan-BCP) 和灾难恢复计划 (Disaster Recovery Plan-DRP)。BCP 是包含企业在发生灾难时保持运行所需的重要信息的文档。BCP 应定义业务的核心功能,指出必须维护哪些系统和程序,并明确维护步骤。此外,DRP 旨在规划及时重建 IT 基础设施,在发生灾难时实现服务的操作/功能恢复。DRP 是 BCP 的一个子集。业务影响分析 (Business Impact Analysis-BIA) 是定义企业 BCP 的基础,BCP 的最终版本来自于定义业务连续性战略,以及选择和实施解决方案之间的迭代。
漏洞评估与渗透测试
漏洞评估和渗透测试用于根据企业的安全状况评估系统,但两者目标不同:
1.漏洞评估
- 专注于特定的已知技术漏洞
- 很大程度上是自动化的,使用扫描工具
- 重点关注数据收集,因此系统操作中断最少
- 经常执行并持续监控
- 通常由内部人员执行
- 成本较低且是持续的
2.渗透测试
- 重点关注漏洞,包括特定已知技术、多个已知技术、未知技术和非技术漏洞(如社会工程诈骗)
- 主要为人工手动,自动化工具为辅
- 由于可能会进行 DDoS 等攻击,因此系统运行中断可能会较严重
- 由于昂贵、耗时且可能具有破坏性的测试,因此执行频率不高
- 内部与外部结合测试
- 成本较高
事件处理和相应计划
企业应当具备计划和实施事件处理能力,以应对突发的安全事件。包括响应安全事件的技能、角色、程序、流程和工具。企业需要具备完善的事件响应计划,使企业能够尽可能快速有效地检测问题,尽快响应事件,并尽可能有效地确定原因。企业在制定事件处理和响应计划需要考虑以下步骤,当然这些步骤可能因企业而异,但一般过程如下:
- 制定事件响应预备计划
- 启动事件处理计划
- 详细记录事件
- 评估和分析事件
- 调查事件的影响
- 减轻和消除事件的负面影响
- 将问题上报给对应的团队成员(如适用)
- 实施恢复措施
- 查看并报告事件的详细信息
- 总结事件经验教训并出具报告
数据加密
如果发生数据泄露,加密可以减少或消除数据泄露的风险和影响。企业需要严格控制位于任何地方的敏感数据,无论是在传输中还是存储在企业场所内外的服务器上。可以在不同的点实施加密:
- 动态数据 (Data in Motion-DIM):可以通过 VPN 使用 IPSec;SSL 和 TLS 可以在 web 上使用。
- 静态数据 (Data as rest-DAR):磁盘加密或由存储系统管理的加密。
- 使用中的数据 (Data in use-DIU):信息权限管理 (IRM) 和数字权限管理 (DRM)。DRM 用于 CD、DVD、软件等;IRM 多用于文档
日志管理
企业应尽快对设备、操作系统和网络进行补丁和更新。由于某些企业修复漏洞速度较慢,恶意攻击往往会以这些漏洞为目标从而发起攻击。因此,企业需要要求其供应商定期更新操作系统、应用程序、设备驱动程序和固件以解决已知漏洞。及时更新软件和硬件至关重要。
零信任
零信任概念基于:“从不信任,始终验证:将每个用户、设备、应用程序和数据流都视为不可信。” 零信任侧重于在每个任务的基础上保护身份验证和授权机制。没有企业可以完全消除网络安全风险。因此需要与现有的网络安全政策、规定及身份和访问管理等相结合,并充分实施和维护持续监控程序,并通过部署以下技术来降低总体风险并防止常见威胁:
- 多因素身份验证(MFA):实施访问管理和身份验证以减轻网络攻击。如果企业使用 VPN 进行远程工作,请使用多因素身份验证来保护它,以避免未经授权访问公司网络。
- 最低权限访问:限制用户访问执行其工作所需的应用程序和数据。审查企业安全策略以符合“最小特权原则”。确保每个员工账户只能访问员工需要的资产和功能,仅此而已。这将确保如果账户遭到破坏,攻击者将无法利用某些未经授权的特权造成损害。
- 特权访问管理:保护、控制和管理对关键资产和应用程序的特权访问的能力。
- 微分段(Micro-segmentation):根据不同访问凭证将网络访问进行更细致的分组。
- 持续监控:持续监控、分析和审计日志。
总结
总之,良好的网络环境卫生是企业安全文化的重要基础,每个企业都有必要建立自己的网络卫生标准。想要改变企业的安全文化,除了让员工拥有安全意识,也需要他们参与学习和培训,从而培养和拥有基于全面、集成、优化和不受限制的技术解决方案类别来构建完善的信息安全计划的能力。