业务导向甲方网络安全策略设计#1数据管理

作者:Sender  来源:WaveCN.com  发布日期:2022-05-25  最后修改日期:2022-05-25

  很多时候,我们讨论网络安全,讨论等级保护,讨论技防,都是从法律法规,安全技术的角度出发。但从业务导向去讨论,确实较少。

  之前翻译发布的一些关于CIS控制措施的内容,尤其是CIS RAM方面,可以看出业务导向的思维,贯穿其中。

  而基于业务导向思维,作为甲方应如何设计网络安全策略呢?

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  仅仅是安装杀毒软件,配置防火墙之类措施并不足够。无论何种规模的企业,都应该清楚认识到,网络安全问题会影响到企业声誉、商业秘密等决定性的因素。

  当前环境下,有四种主要的网络安全威胁:

  1、利用客户支持实施入侵

  2、利用远程工作接入或远程工作人员入侵

  3、利用网站应用程序漏洞入侵

  4、勒索软件

  第一种威胁和技术防范基本无关。它针对的是企业内部员工,通常通过钓鱼邮件或谎言邮件骗取企业内部员工回复、点击链接或运行附件。如果企业员工没有足够的预见性,很难避免被欺骗。

  第二、三两种威胁主要是技术性的,而防御方法也是偏向技术性,通过各种技防软硬件,比如入侵检测、WEB应用程序过滤等实现防御。

  第四种威胁现在基本耳熟能详,但即使如此,还是防不胜防。因为勒索软件已经发展成为有组织的犯罪行为,对于受害者而言,精心设计和发起的勒索攻击,并不是容易防范的。

  因此,作为甲方,需要通过为自己量身定做,制定网络安全基础策略,才能应对以上四种常见网络安全风险。合适的网络安全策略,应该涵盖基本数据管理、员工管理、设备管理和网络管理等方面,尤其是如果不幸成为目标,应进行什么意外处理。

  首先我们需要把网络安全策略按涉及到的问题进行细分,比如分成6大类:

  • 数据管理

  • 信息限制

  • 停机管理

  • 隐私政策

  • 安全软件

  • 员工培训

  如果不先列好提纲,分好板块,一上来就想从头开始写,那是注定会跑偏的。最后就会变成过分侧重某些领域而忽略了另一些领域。

  具体到分类内容,侧重点的所在取决于企业组织的规模、数据量、业务特性、安全技防能力、员工情况等等。比如数据密集型的企业重点关注数据管理和信息限制,劳动密集型(并且在线)的企业重点关注信息限制和员工培训。

  在开始任何具体工作前,都应该先了解清楚企业组织自身的情况和实际需要,尤其是在业务导向的前提下,客户的需要。

  设计策略的入手首先是先预设最坏情况。因此,应设计要求比较高但IT环境条件比较复杂或者支撑比较薄弱的情况。在阅读本文后,读者可以适应自己的情况而调整。

第一部分:数据管理:区分共性和特性

  按前述“最坏情况”考虑,需要考虑数据量非常大、数据使用要求多、IT环境复杂的最坏情况。

  首先需要认清,什么数据需要对外发布,什么数据需要隐藏在内部。这是良好数据管理的最大要素。

  因此,这个问题可以分为4个级别,并对每个阶段进行安全性和培训的设计。

  理想情况下,作为企业IT管理,需要为员工提供工作所需的所有资源,但特殊的、专有的信息,应该建几栋高墙保护起来。

第1级:公共数据

  即使是可以完全公开的数据,比如其他公司(相关方)的地址和联系人信息,你也需要保留这些信息而不主动公开,除非得到相关方的明确许可。

  与这些客户协作的员工需要随时获得这类信息,所以不能通过密码和令牌之类的手段来保护它。但作为企业IT管理,依然还是可以制定政策,比如要求只能通过客户提供的电子邮件去披露这些客户信息,也就是信息的外流被限制在其本身来源渠道

  同时,要确保客户也知道这项政策。客户是会有意无意地提出打破此政策的想法甚至做法的,此时就要根据政策去提出反对。这是必然会发生的事情。

第2级:业务运行信息

  通常包括企业的产品线、分销商信息、内部联系人和客户电子邮件。如果企业有部署CRM系统,那么CRM中所有的信息都属于业务运行信息。这些信息也属于需要向员工常备提供的。

  此类信息不应该在网上公开。应将其存储在安全的服务器中,可以是良好保护下的云服务器。注意尽量减少可以访问客户信息的人数:只有需要与客户合作的人才会需要这些信息。

  要培训员工永远不要向第三方披露此类信息。良好执行此条要求,可以消除数据管理工作的大部分问题。

第3级:专有信息

  企业如何生产制造产品,在什么地方进行生产,有什么独有的技术或者实践经验,都属于这个领域。这是需要隐藏和限制的信息类型。

  如果需要频繁访问这些信息进行审计和测试,应实现良好的密码管理。必要时可以使用第三方应用程序,也可以自行开发密码复杂度规则和定义密码更新周期。

  目标是只有数据经理这样职位的人员才会知道密码的变更规律,并且在需要时向适当的人员提供新的密码。

第4级:公司秘密

  公司秘密,可能是扩张计划、收购计划、天使投资或合并计划。并购计划尤为重要,这是永远不希望泄露出去的信息。

  对这些数据的保护要求永远不会足够偏执。要做到即使是公司高层,也很难触及此类数据。保护此类数据的方法,比如通过专用的安全服务器进行存储,信息在服务器上还需要被加密,要使用这些数据,只能通过与特定个人绑定的USB设备访问而不是通过内部网络。

  保护的另一个目的是,即使发生了黑客攻击,企业也需要知道攻击来源和数据泄露的去处。

  这样的保护措施实际导致使用信息的过程很麻烦,但事实就是这样。因为这是最重要的数据,应该只对公司中最负责任的人提供。

业务导向的甲方网络安全基础策略设计#1结论:

  让真正重要的东西遥不可及,最好是离线存储。企业员工最容易访问的数据,同样是黑客最容易获取的数据。

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: