現(xiàn)如今,信息安全事件沖擊了許多大型零售商如TAEGET,Home Depot和eBay,使得機(jī)構(gòu)的IT專家認(rèn)識到安全的重要。盡管許多機(jī)構(gòu)正在采用穩(wěn)健的安全保護(hù)措施,但還是有許多機(jī)構(gòu)只具備最基本的安全防護(hù)。
美國國家標(biāo)準(zhǔn)與技術(shù)研究院提出了一個安全框架,用來幫助機(jī)構(gòu)進(jìn)行IT安全活動。于2014年2月發(fā)布的國家信息框架及其相關(guān)的路線圖,提供了一個結(jié)構(gòu)化的模型,用來規(guī)劃和實(shí)現(xiàn)一系列計(jì)劃,積極的確認(rèn)和避免潛在的IT安全威脅。該框架對信息安全的幫助顯而易見,而其也對業(yè)務(wù)持續(xù)性有重要的指導(dǎo)價值。該框架可 以幫助增強(qiáng)你當(dāng)前的策劃活動,因?yàn)槠淇梢员WC和解決與你的機(jī)構(gòu)相關(guān)的信息安全問題。
從機(jī)構(gòu)的業(yè)務(wù)角度來看,威脅機(jī)構(gòu)持續(xù)運(yùn)營的任何安全問題都與業(yè)務(wù)持續(xù)性有關(guān)。這個新的信息安全框架的出現(xiàn)也是業(yè)務(wù)持續(xù)/災(zāi)難恢復(fù)專家和信息安全專家應(yīng)該一起合作的另一個原因,以便確保機(jī)構(gòu)免受各種內(nèi)部和外部威脅。
下面的建議會幫助大家有效利用這個框架,改進(jìn)自己的信息安全計(jì)劃。
如果機(jī)構(gòu)已經(jīng)有信息安全項(xiàng)目在實(shí)施,該框架會提供一個有用的測試來保證覆蓋所有基本安全事項(xiàng)。如果機(jī)構(gòu)在考慮一個信息安全計(jì)劃活動以便完善當(dāng)前的信息安全活動,該框架提供了一個結(jié)構(gòu)化模型,指導(dǎo)機(jī)構(gòu)進(jìn)行信息安全活動。
通過對當(dāng)前業(yè)務(wù)運(yùn)行中涉及的安全因素的理解,利用本框架來確認(rèn)一些理解偏差和需要的修正,保證機(jī)構(gòu)和機(jī)構(gòu)所有人員對可能的攻擊有充足的準(zhǔn)備。
積極的“檢查”措施保證機(jī)構(gòu)的網(wǎng)絡(luò)存取點(diǎn)例如防火墻配備安全設(shè)備(如入侵檢測系統(tǒng)(IDS)和入侵防止系統(tǒng)(IPS),具有充分的防護(hù)。機(jī)構(gòu)的目的是快速 確認(rèn)和表征任何異常且不在可接受包序列內(nèi)的數(shù)據(jù)包或者流。一旦確認(rèn)了異常,“響應(yīng)”步驟里會抓取異常并盡可能快的隔離異常,以便讓異常避免侵入系統(tǒng)并造成 損害。
最后,“恢復(fù)”步驟包括計(jì)劃和過程來恢復(fù)系統(tǒng)和數(shù)據(jù),保證業(yè)務(wù)功能恢復(fù)正常。很有可能機(jī)構(gòu)已經(jīng)解決了上面信息安全架構(gòu)提到的所有功能或者幾乎所有功能。然 而隨著信息安全威脅越來越普遍且更加復(fù)雜,機(jī)構(gòu)當(dāng)前的預(yù)防性措施也許需要更加經(jīng)常的更新。路線圖文檔提供了一些有趣的建議。
信息安全路線圖計(jì)劃
1.增強(qiáng)認(rèn)證:用這個過程來增強(qiáng)安全。例如,一個容易的轉(zhuǎn)變是切換到二因子認(rèn)證,如密碼加上令牌或者生物認(rèn)證技術(shù)(如指紋錄入)。另外可以經(jīng)常修改密碼,比如每30天;設(shè)置更加復(fù)雜的密碼,比如至少16個字符。
2.共享指標(biāo)數(shù)據(jù):獲取具體安全事件相關(guān)的數(shù)據(jù)比如事件響應(yīng)前和響應(yīng)時的數(shù)據(jù),然后把此數(shù)據(jù)與其他機(jī)構(gòu)共享,幫助其他機(jī)構(gòu)防止,檢測,減少類似的安全事件的發(fā)生。指標(biāo)數(shù)據(jù)可以從入侵檢測系統(tǒng)和入侵防止系統(tǒng)設(shè)備中獲取。
3.合格評定:既然標(biāo)準(zhǔn)和規(guī)范是用來處理信息安全威脅,合格評定保證了產(chǎn)品,服務(wù)且或者系統(tǒng)滿足處理威脅包括檢查,解決,減少威脅等步驟所需要的安全需求。
4.受過信息安全教育的人才:隨著越來越多的信息安全事件的出現(xiàn),信息安全標(biāo)準(zhǔn)和實(shí)踐持續(xù)發(fā)展。安全專家需要定期更新他們的技能以便完全有能力解決新的且嚴(yán)重的信息安全威脅。
5.信息安全數(shù)據(jù)分析:收集的信息安全破壞相關(guān)的數(shù)據(jù)和其他主要安全事件的數(shù)據(jù)必須仔細(xì)的分析以便確認(rèn)這些事件的關(guān)鍵特征。大數(shù)據(jù)和分析工具的快速發(fā)展給 結(jié)構(gòu)化和非結(jié)構(gòu)化的信息安全數(shù)據(jù)的處理提供了可能。為了使分析有價值,必須開發(fā)足夠強(qiáng)大的數(shù)學(xué)算法,性能度量指標(biāo)和利用各種大數(shù)據(jù)技術(shù)的數(shù)據(jù)分析方法。
6.聯(lián)邦信息安全計(jì)劃的一致性:盡管國家信息安全框架和路線圖主要是為政府機(jī)構(gòu)開發(fā)的,但是其也可以適用于私有行業(yè)。這些計(jì)劃的統(tǒng)一和其他聯(lián)邦標(biāo)準(zhǔn)(如聯(lián)邦信息安全管理法案)保證了所有政府機(jī)構(gòu)以一致,可重復(fù)的方式來管理信息安全風(fēng)險和威脅。
7.全球化的意義:因?yàn)樵摽蚣芎吐肪€圖參考全球范圍內(nèi)的成熟標(biāo)準(zhǔn)和實(shí)踐,它們可以用來增加跨國界的信息安全實(shí)踐,進(jìn)而提供統(tǒng)一和一致的信息安全結(jié)構(gòu)。
8.供應(yīng)鏈風(fēng)險管理:隨著對供應(yīng)鏈方面的信息安全管理的逐漸關(guān)注,該框架提供了一種供應(yīng)鏈所有成員都可以使用的結(jié)構(gòu),特別是對于與政府機(jī)構(gòu)有業(yè)務(wù)往來的機(jī) 構(gòu)成員。該框架可以輔助機(jī)構(gòu)的業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)活動,因?yàn)槠涮峁┝艘环N容易理解和使用的可以適配于業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)活動的計(jì)劃模型。也必須閱讀美國 國家標(biāo)準(zhǔn)與技術(shù)研究院開發(fā)的一些標(biāo)準(zhǔn)特別是SP 800-53,該標(biāo)準(zhǔn)闡述了信息安全實(shí)踐。
D1Net評論:
毫無疑問,“確認(rèn)”和“信息保護(hù)”功能幫助機(jī)構(gòu)為潛在的信息安全做好防護(hù)準(zhǔn)備,其主要通過風(fēng)險管理活動,對業(yè)務(wù)環(huán)境的理解,安全需求,存在的安全問題和存取控制措施的分析和教育等多個方面的組合來達(dá)到。
京公網(wǎng)安備 11010502049343號