最近的信息安全事件沖擊了許多大型零售商如TAEGET,Home Depot和eBay,使得機構的IT專家認識到安全的重要。盡管許多機構正在采用穩健的安全保護措施,但還是有許多機構只具備最基本的安全防護。
美國國家標準與技術研究院提出了一個安全框架,用來幫助機構進行IT安全活動。于2014年2月發布的國家信息框架及其相關的路線圖,提供了一個結構化的模型,用來規劃和實現一系列計劃,積極的確認和避免潛在的IT安全威脅。該框架對信息安全的幫助顯而易見,而其也對業務持續性有重要的指導價值。該框架可 以幫助增強你當前的策劃活動,因為其可以保證和解決與你的機構相關的信息安全問題。
從機構的業務角度來看,威脅機構持續運營的任何安全問題都與業務持續性有關。這個新的信息安全框架的出現也是業務持續/災難恢復專家和信息安全專家應該一起合作的另一個原因,以便確保機構免受各種內部和外部威脅。
下面的建議會幫助大家有效利用這個框架,改進自己的信息安全計劃。
如果機構已經有信息安全項目在實施,該框架會提供一個有用的測試來保證覆蓋所有基本安全事項。如果機構在考慮一個信息安全計劃活動以便完善當前的信息安全活動,該框架提供了一個結構化模型,指導機構進行信息安全活動。
“確認”和“信息保護”功能幫助機構為潛在的信息安全做好防護準備,其主要通過風險管理活動,對業務環境的理解,安全需求,存在的安全問題和存取控制措施的分析和教育等多個方面的組合來達到。
通過對當前業務運行中涉及的安全因素的理解,利用本框架來確認一些理解偏差和需要的修正,保證機構和機構所有人員對可能的攻擊有充足的準備。
積極的“檢查”措施保證機構的網絡存取點例如防火墻配備安全設備(如入侵檢測系統(IDS)和入侵防止系統(IPS),具有充分的防護。機構的目的是快速 確認和表征任何異常且不在可接受包序列內的數據包或者流。一旦確認了異常,“響應”步驟里會抓取異常并盡可能快的隔離異常,以便讓異常避免侵入系統并造成 損害。
最后,“恢復”步驟包括計劃和過程來恢復系統和數據,保證業務功能恢復正常。很有可能機構已經解決了上面信息安全架構提到的所有功能或者幾乎所有功能。然 而隨著信息安全威脅越來越普遍且更加復雜,機構當前的預防性措施也許需要更加經常的更新。路線圖文檔提供了一些有趣的建議。
信息安全路線圖計劃
1.增強認證:用這個過程來增強安全。例如,一個容易的轉變是切換到二因子認證,如密碼加上令牌或者生物認證技術(如指紋錄入)。另外可以經常修改密碼,比如每30天;設置更加復雜的密碼,比如至少16個字符。
2.共享指標數據:獲取具體安全事件相關的數據比如事件響應前和響應時的數據,然后把此數據與其他機構共享,幫助其他機構防止,檢測,減少類似的安全事件的發生。指標數據可以從入侵檢測系統和入侵防止系統設備中獲取。
3.合格評定:既然標準和規范是用來處理信息安全威脅,合格評定保證了產品,服務且或者系統滿足處理威脅包括檢查,解決,減少威脅等步驟所需要的安全需求。
4.受過信息安全教育的人才:隨著越來越多的信息安全事件的出現,信息安全標準和實踐持續發展。安全專家需要定期更新他們的技能以便完全有能力解決新的且嚴重的信息安全威脅。
5.信息安全數據分析:收集的信息安全破壞相關的數據和其他主要安全事件的數據必須仔細的分析以便確認這些事件的關鍵特征。大數據和分析工具的快速發展給 結構化和非結構化的信息安全數據的處理提供了可能。為了使分析有價值,必須開發足夠強大的數學算法,性能度量指標和利用各種大數據技術的數據分析方法。
6.聯邦信息安全計劃的一致性:盡管國家信息安全框架和路線圖主要是為政府機構開發的,但是其也可以適用于私有行業。這些計劃的統一和其他聯邦標準(如聯邦信息安全管理法案)保證了所有政府機構以一致,可重復的方式來管理信息安全風險和威脅。
7.全球化的意義:因為該框架和路線圖參考全球范圍內的成熟標準和實踐,它們可以用來增加跨國界的信息安全實踐,進而提供統一和一致的信息安全結構。
8.供應鏈風險管理:隨著對供應鏈方面的信息安全管理的逐漸關注,該框架提供了一種供應鏈所有成員都可以使用的結構,特別是對于與政府機構有業務往來的機 構成員。該框架可以輔助機構的業務持續性和災難恢復活動,因為其提供了一種容易理解和使用的可以適配于業務持續和災難恢復活動的計劃模型。也必須閱讀美國 國家標準與技術研究院開發的一些標準特別是SP 800-53,該標準闡述了信息安全實踐。
京公網安備 11010502049343號