网络安全审核解析

网络安全审核节录审计是维护安全IT系统的最重要方面之一

发邮件给朋友

通讯:签名保存接收特殊提供书、免费章节、文章参考指南更新FREE注册后优惠券

立即在线搜索搜索书籍访问最大完全可搜索电子引用库程序员和IT专业人员

想知道秘密吗安全性不关黑客 恶意软件 或脆弱日安全性指维护系统进程提供关键数据访问而不使公司或客户面临过度风险审核是维护系统最重要的方面之一,因为它为测试网络化系统安全姿态假设并比较姿态与标准和规则提供了机会审计师问问题“你怎么知道安全性?” 和“你能证明安全技术有效吗?”

本章的目的是介绍关键审计原理并描述审计过程

安全基础:五大支柱

审核公司安全需要你对安全是什么有良好的理解要理解安全,关键是要认识到安全是一个过程,而不是产品安全非端端端端线竞赛,因为无论花多少钱或时间,你永远无法完全安全无法预测所有向量攻击高安全度是可以实现的幸运的是,思科拥有独特的位置帮助公司实现安全目标,提供工具将安全特征嵌入网络多方面这就意味着安全可以被利用成系统 更好地映射政策程序 更重要的是企业驱动者 令公司想保护资产

要理解安全并审计它系统,你需要能够辨识所有事物在概念上如何关联安全是一个泛泛主题,也是信息技术中真正触及企业方方面面的少数国家之一。2020欧洲杯预赛从数据中心到休息室 企业的每一项功能都有自己的清单 需要保护不受一定程度的风险管理风险是制定保护人民、技术和数据策略的最重要因素之一集中安全努力并使其易于管理,有助于分解安全方方面面并分安全五大支柱图1-1显示五大柱

图1-1

安全五大柱

评估

保护公司资产的第一步是评估环境大多数人(手机搜索者除外)不会试图走过繁忙交叉点并蒙上双眼,理解商业环境与方向有助于识别企业认为最重要的领域并随后最敏感地处理服务中断或失窃问题要求审计师评估风险的大部分工作需要充分了解组织运作方式。评估记录并识别潜在威胁、关键资产、政策和程序以及管理层对风险的容忍度

评估过程包括问点题仿佛你正在建房子一样,你先从测量土地开始(可用技术)以确定建房的合适性并需要知道该区易淹水(威胁)多久淹水(威胁频率)有合适的许可(法规)吗?作业网站规则(政策和程序)是什么快速有效构建技术(技术组件)这些问题和更多帮助企业规划实现自身目标的战略类似问题查询公司安全 使你能够检视各种假想 识别防御或程序缺陷几何概率你今晚黑客 并有"CNN瞬间"明天很难说不彻底评估商业技术

评估不是一劳永逸地忘记的事情业务需求改变和新服务技术引进后,应定期重估计划这样做使你有机会测试政策和程序,以确保这些政策和程序仍然相关和适当。

预防

多工程师思考预防时注重技术真正的预防不仅仅是防火墙或安全用具:它包含行政、操作和技术控件预防不仅仅是通过技术实现的,还包括政策、程序和宣传

政策必须记录并强制执行,并有严格的规则及违章后果文档化程序使用良好的安全实践可帮助防止误配置,这是攻击者用来破坏系统的最常用方法之一。帮助用户理解什么是和不可允许,除一致公平执法外,还大有助于降低公司整体风险

组织往往执意防止坏事发生 当现实中它们根本无法停止一切魔盒salx销售 你永远无法预测所有向量攻击深入防守概念在此展开深度防御假设不完全控制, 帮助分层防御, 以补偿技术或控制中已知或未知缺陷技术安全控件,如防火墙或入侵预防系统在维护网络安全方面起着重要作用,但它们不是银弹,无法插上并期望解决所有安全题期望单个安全控件失效,但计划事件使用多级预防

检测

汽车报警系统是一种检测形式月底平衡支票簿是另一种检测形式检测方式识别安全漏洞或入侵没有足够的检测机制,你冒着不知道网络是否失密的风险博士网络安全圣经作者EricCole最优表示:“预防很重要,但检测势在必行。”^一号无法检测到折中, 冒着对预防技术产生错误信任的风险

检测重要性的一个例子可见诸俄亥俄大学1996年披露黑客访问系统,导致137,000多社保数字损失出错者全权存取控制超过一年显而易见,检测机制要么不存在,要么没有适当监控。2020欧洲杯夺冠热门当然,我所听到的最糟糕例子突出调查控制不力是美国农业部,2007年美国农业部宣布它暴露超过15万农民社会安全数,因为数据库1981年开始直播因为没有人能确定它何时实际连接互联网, 26年来它一直活动,估计数据很容易存取超过10年小事一桩

侦破控件帮助识别安全事件和为网络活动提供可见度提前检测事件很重要 这样你就能设计出适当的响应 以尽快恢复服务

反应

当预防和检测有效时,反应时间大为缩短没有人想发现他们有漏洞 但如果你有折中法,你现在就需要做点什么反应安全方面最关注时间目标是从检测到响应时间最小化,以便事件曝光最小化快速响应依赖预防和检测提供识别安全漏洞所需的资料和上下文万一你没有提前策划下一步行动 光知道折中方案也无济于事计划协调响应称事件处理某些公司专设事件处理团队,可在通知时间移动以减少接触时间并非每个人都有这类团队的预算即便你公司没有一个专用团队 某些先入为主和规划 可能意味着每个人 都倒在自己身上 试图想出下一步该怎么做 并恢复关键服务

通过技术自动响应是一个重要工具 减少安全事件反应时间和自动化响应技术一样,你仍然需要高技能人员处理事件,以确保事件实战而非线上打嗝快速高效处理事件是检验公司安全程序有效性的最重要测试之一警报响起后 反应方式能改变世界

恢复

公司拥有电子商务系统时,客户必须使用或处理数十万美元逐分钟销售时,故障相对容易量化。恢复即是打探哪里出错,这样你就可以重新连通系统而不打开先引起问题的相同漏洞或条件修补被利用的脆弱性并恢复备份数据或安全控件有较大缺陷允许事件发生系统失密的原因何在技术控件如何失效有误配置吗恢复阶段不端带系统上网死后方面还决定对过程、程序和技术作哪些修改,减少未来这类脆弱的可能性身为审计师,你必须确保受审核的组织有恢复计划解决这些问题

构建安全程序

策略程序代表安全程序基础这些文件详细描述保护业务资产和资源的主体、对象、时间和方式然而,同这些文件一样重要,许多组织仍然没有为信息安全制定正式政策和程序向普通IT专业人士询问公司安全政策和程序时,他往往很难回答问题或制作当前拷贝SOX、GLBA、HIPAA和PCI等监管合规性要求已开始改变,但政策和程序仍低居优先级如果他们不帮助公司销售更多部件,那为什么公司要这样做?现实是 政策和程序是 如何规划并期望降低 坏事发生的风险使用汽车或飞机时,应遵循一套程序,以确保你一贯按适当顺序执行正确操作。安全程序必须手头记录,以便降低任务尾端有那些“异常”部件或更糟的风险(就飞机而言),这是一个危及生命的大问题。

审计师工作的一个基本部分是审查组织的政策、程序和标准,以确保这些政策、程序和标准完整、可执行并得到遵守。

策略性

政策对所有企业都至关重要,无论规模或行业如何。公司与用户之间的社会契约 用公司资源定义可接受行为政策还指导公司如何对待安全,即定义为什么有安全措施,保护什么,政策对谁适用组织应接受指导,了解需要根据政策定义目标执行的技术和控制视之为构建安全程序结构的蓝图仿佛你不会去木材厂建房 以木头和钉子为基础, 你不应该执行安全产品和技术最起码,良好的安全政策包括以下内容: