如何构建网络安全战略
- 分类:新闻
安全应该成为整个企业的头等大事,并得到高级管理层的授权。我们现在生活的信息世界极为脆弱,网络安全威胁无孔不入。那么,企业该如何构建网络安全战略?
一、安全始于知晓—识别网络威胁来源
网络威胁主要可以分为三类:
1.破坏保密性
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如信用卡欺诈、身份盗窃、或盗取比特币钱包。有时窃取某人密码的最好方法是诱使他们泄露密码,这使得网络钓鱼取得了惊人的成功。
2.对完整性的攻击
完整性攻击是为了破坏、损坏、摧毁信息或系统。完整性攻击可以是小范围的篡改和破坏,也可以是灾难性的大规模破坏。
3.对可用性的攻击
阻止目标访问数据是如今勒索软件最常用的伎俩。勒索软件一般会对目标设备的数据加密,并索要赎金进行解密,或者通过拒绝服务(dos)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
二、安全培训事半功倍
1.提高员工安全意识
人的不可控因素一直是任何网络安全计划中最薄弱的部分。我们需要做的是,培训开发人员进行安全的编码,培训运营人员优先考虑安全,培训最终用户如何发现网络钓鱼邮件和社交攻击。
2.培养安全习惯
正如外科医生绝不会在未先洗手的情况下进入手术室一样,即使公司拥有强有力的控制措施,企业却没有形成良好的习惯,也会被攻击者利用其薄弱的环节,获取敏感数据。企业有必要执行基本的安全操作,例如保持身份验证、不将敏感数据存储在公开访问的位置等。
3.拓宽安全视野
然而,一个好的网络安全战略更需要的是以发展的眼光看风险。随着移动化、云计算等创新技术的普及,带来了新的风险,企业不应以原有认知去识别风险,如自带设备办公(byod)带来一系列新的泄密风险,如员工拍照泄露新产品、工厂产能等敏感信息。对于这些系统的安全防御工作变得越来越重要。
网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》(gdpr)这样严格的监管框架还要求企业导入新的安全能力,以确保组织能够满足gdpr和其他法规对于隐私和安全的合规要求。
三、智能健全的安全运营团队不可或缺
执行强大的网络安全策略要求您拥有合适的人员。从高级管理人员到前线安全工程师,专业网络安全人员的需求从未如此高,角色也变得更加专业化。
一个健全的安全团队包括:
1.ciso / cso
ciso负责指导和管理战略,运营和预算,以保护组织的信息资产。
2.安全分析师
也称为网络安全分析师,数据安全分析师,信息系统安全分析师或it安全分析师,他们通常具有以下责任:
计划,实施和升级安全措施和控制;保护数字文件和信息系统免受未经授权的访问,修改或破坏;维护数据并监视安全访问;进行内部和外部安全审计;管理网络,检测和预防威胁;分析安全漏洞以确定其根本原因;定义,实施和维护企业安全策略;与外部供应商协调安全计划。
3.安全架构师
一位优秀的信息安全架构师需要横跨业务和技术领域。主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。
4.安全工程师
安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。it安全工程师是一个相对较新的职位,其重点在于it基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。