预算、时间以及人员限制要求公司有选择性地进行信息安全人力物力的投入。你如何确定哪些地方需要重点进行安全改进呢?具有成熟安全项目的企业可能有一套正式的风险管理过程,来协助完成这项工作。而另一方面,中型企业,他们的决定则更需要有策略性。
创新互联公司是一家从事企业网站建设、成都做网站、网站设计、行业门户网站建设、网页设计制作的专业网站制作公司,拥有经验丰富的网站建设工程师和网页设计人员,具备各种规模与类型网站建设的实力,在网站建设领域树立了自己独特的设计风格。自公司成立以来曾独立设计制作的站点上千家。
下面是评估安全状态的五个步骤,它们已经协助许多中型企业进行了评估工作:
1、确定关键数据流:对于企业来说,了解哪些数据是敏感数据并不容易。然而,解决这一挑战有助于你更好地理解企业的业务过程和优先事项。同时你也可以会见关键人物并听取他们的意见;他们日后也会支持你的安全改进工作。在与他们交谈时,要向他们了解数据从哪来,到哪去,哪个基础设施组件将会处理这些数据。此外,也要了解需要公司进行数据保护的所有规则遵从要求或者合同要求。
2、了解用户的交互:在上一个步骤中你确定的人群是怎样使用数据的?同时还要注意个人的访问权限,我们需要完成以下工作:哪些人只读取数据,哪些人需要有改变数据的权限?这将影响到执行访问控制的授权工作。此外,弄清人们在公司内部,以及与合作伙伴和客户之间是如何分享数据的——脆弱的数据共享实践已经导致了许多数据泄漏事件。在这个阶段,还要评估存在哪些变化控制,以防止人们对基础设施以及其上的数据进行未授权的修改。
3、检查网络周边:当你对数据流和用户的交互有了清楚的了解之后,还需要研究网络的出口路径和入口路径。哪些地方抵抗攻击的能力最差?用来监测和阻止未授权访问的机制有哪些?如果一个外围组件(譬如说防火墙)未能阻止攻击,你的整个系统环境会不会门户大开呢?检查你的互联网连接和那些连向合作伙伴和客户的直接链接。在这个阶段的评估过程中,有线和无线网络都要检查。
4、评估服务器和工作站:在了解了你的网络周边的强弱点之后,请查看一下网络周边的内部系统。你需要查找可以被攻击者用来破解主机、盗窃数据的缺失补丁或者配置错误。从外部组件可以访问的服务器开始。然后再检查你的内部服务器。不要忘记评估你的台式电脑和笔记本电脑的安全状态,因为以客户端软件(比如浏览器和其插件)为目标的攻击很容易成功。
5、查看应用程序:最后,考虑一下第三方以及内部用户可访问的自定义应用程序中可能存在的漏洞。可以让攻击者破解应用程序的安全机制,从而进行未授权访问的漏洞有哪些?要特别注意基于网络的应用程序,近年来它们一直是攻击者喜欢的目标。解决应用程序级别问题并不简单,这也是我们不从这一步开始的原因。然而,重要的是要认识到与易受攻击的应用程序相关的风险,以便对自己的安全状态有一个完整的评估。
你不必在完成上面列出的所有的步骤之后才开始解决你发现的弱点。只要你确定了关键的风险,请尽可能好的解决它们,然后再继续评估。人们很容易在第一个阶段卡壳,因为他们试图用完美的方式解决所有的问题。可以考虑那些对当前而言足够好的状态,然后继续你的评估,以确定其他需要立即关注的关键地方。
业界有一句老话:安全是一个过程。你完成了所有的评估步骤并确定了适当的风险之后,请再次重复这个过程。重复的次数越多,你会感到你所遇到的风险越容易管理。
【编辑推荐】
文章标题:五步评估你的安全状态
网站链接:http://www.shufengxianlan.com/qtweb/news40/536640.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联