压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

惡意黑客越來越聰明，他們的攻擊越來越陰險狡詐。料敵機(jī)先，規(guī)避漏洞，是打贏網(wǎng)絡(luò)安全攻防戰(zhàn)的唯一途徑。如果想保護(hù)公司免受網(wǎng)絡(luò)威脅侵害，就必須具備黑客思維，從攻擊者的角度審視自身防御。

運(yùn)營安全亦稱OPSEC，是考慮潛在攻擊者視角的一門學(xué)科。這種安全方法積極主動，幫助IT團(tuán)隊和安全經(jīng)理識別并修復(fù)風(fēng)險和漏洞，不給犯罪分子留可乘之機(jī)。

OPSEC最初是為軍事機(jī)構(gòu)設(shè)計的，但現(xiàn)在很多企業(yè)也在實施OPSEC計劃，保護(hù)自身敏感數(shù)據(jù)免遭潛在威脅損害。各家公司不再坐等事件發(fā)生再去補(bǔ)救，而是設(shè)立OPSEC團(tuán)隊，更有效地管理安全風(fēng)險。

那么，運(yùn)營安全涉及哪些事項？公司該如何著手呢？以下八種最佳實踐可以幫助公司創(chuàng)建自己的OPSEC計劃。

運(yùn)營安全是什么？

OPSEC的目標(biāo)是在搶在惡意黑客之前找到并修復(fù)安全漏洞，避免這些漏洞被惡意黑客用于犯罪目的。各類企業(yè)都持有敏感信息，比如客戶標(biāo)識、支付卡信息，以及專有商業(yè)策略和商業(yè)秘密等。OPSEC可以防止此類數(shù)據(jù)落入惡人之手。

OPSEC涉及IT團(tuán)隊、安全團(tuán)隊、安全經(jīng)理和數(shù)據(jù)分析師之間的多方協(xié)調(diào)。盡管77%的企業(yè)通常只有3到5名分析師負(fù)責(zé)管理其安全運(yùn)營中心，但很多企業(yè)都有專職的IT員工和安全執(zhí)行經(jīng)理。OPSEC旨在建立防御潛在威脅的前沿陣地，需要公司所有人通力合作才能發(fā)揮這一前沿陣地的最大效用。

運(yùn)營安全的組成要素

構(gòu)筑運(yùn)營安全計劃基礎(chǔ)的五個要素分別是：

1、識別敏感數(shù)據(jù)和信息

2、識別潛在攻擊途徑

3、分析安全弱點

4、確定每個漏洞的風(fēng)險級別

5、實施緩解計劃

識別敏感數(shù)據(jù)和信息

數(shù)據(jù)都存儲在哪兒？服務(wù)器上都保存著哪些敏感信息？客戶信息、知識產(chǎn)權(quán)、員工數(shù)據(jù)、財務(wù)報表和市場研究數(shù)據(jù)都是需要保密的敏感信息。

識別潛在攻擊途徑

攻擊者對哪類數(shù)據(jù)感興趣？有沒有第三方可以訪問公司的系統(tǒng)？哪種類型的攻擊最有可能成功侵入系統(tǒng)？想要防止數(shù)據(jù)泄露，你先得知道自己的弱點都在哪兒。

分析安全弱點

各個風(fēng)險級別都需要采取哪些保護(hù)措施？哪些安全功能是有效的？哪些安全功能需要調(diào)整？企業(yè)需要客觀評估現(xiàn)有安全基礎(chǔ)設(shè)施，確定哪些方面風(fēng)險最大。

確定每個漏洞的風(fēng)險級別

哪些漏洞風(fēng)險最高？發(fā)生攻擊的概率有多大？攻擊可能造成多大影響？必須根據(jù)嚴(yán)重性和影響排序風(fēng)險。

實施風(fēng)險緩解計劃

需要制定哪些安全流程？如何實施安全規(guī)程？何時推出新的安全流程？事關(guān)OPSEC，風(fēng)險緩解就是全盤布局的最后一環(huán)。

OPSEC最佳實踐

如果企業(yè)準(zhǔn)備深入OPSEC，可以考慮以下幾個最佳實踐：

實施精確流程

涉及變更管理時，流程精確尤為重要。想要保證系統(tǒng)平穩(wěn)運(yùn)行，調(diào)整和更新是不可或缺的，但這些變更也有可能成為黑客的攻擊渠道。為保障企業(yè)安全，變更管理必須實施精確流程，比如強(qiáng)制記錄、變更控制、持續(xù)監(jiān)控和定期審計。

選擇合適的提供商

第三方提供商可以為企業(yè)提供一系列服務(wù)來改善客戶和內(nèi)部體驗。然而，服務(wù)提供商本身也是一種重大風(fēng)險來源。比如說，如果虛擬主機(jī)提供商與公司在網(wǎng)絡(luò)安全觀上意見相左，或者遭遇了數(shù)據(jù)泄露，那就可以考慮換一家虛擬主機(jī)提供商了。其他所有第三方服務(wù)和網(wǎng)絡(luò)提供商也適用這一條。事實上，只要公司受網(wǎng)絡(luò)安全法規(guī)的約束，第三方提供商未能滿足法規(guī)的安全要求也是公司的責(zé)任。

限制網(wǎng)絡(luò)和設(shè)備訪問

公司的網(wǎng)絡(luò)和端點不應(yīng)該是隨便哪個人都有權(quán)訪問的。要確保只有經(jīng)批準(zhǔn)的設(shè)備才連接到業(yè)務(wù)網(wǎng)絡(luò)，并設(shè)置警報防止未授權(quán)設(shè)備連接公司系統(tǒng)，因為未授權(quán)連接可能會對公司敏感業(yè)務(wù)數(shù)據(jù)造成威脅。

遵循最小權(quán)限原則

包含多因素身份驗證和密碼管理的零信任策略有助于阻止未授權(quán)用戶。員工按需知情可以防止內(nèi)部人威脅，減小被盜憑證導(dǎo)致重大數(shù)據(jù)泄露的概率。

實施雙重管控

這有點兒類似“制衡”，但是出于企業(yè)安全目的。雙重管控可以提供足夠的安全保障，又不會將所有責(zé)任都推給某一個用戶或部門。業(yè)務(wù)網(wǎng)絡(luò)的使用者和安全負(fù)責(zé)人不是同一個最好。

引入自動化

企業(yè)面臨的最大威脅就是人為失誤。自動化一些繁瑣的重復(fù)性任務(wù)有助于減少出錯的可能性，防止發(fā)生數(shù)據(jù)泄露或者其他安全事件。

制定切合實際的策略

如果制定的策略是公司無法達(dá)到的，那內(nèi)部審計方面就永遠(yuǎn)差一口氣。制定切合實際的策略，具有挑戰(zhàn)性但至少可以實現(xiàn)，這樣你的OPSEC計劃才會取得成功。

重視事件響應(yīng)和災(zāi)難恢復(fù)

即便是最成功的OPSEC實施方案有時候也會出現(xiàn)安全問題。但只要有細(xì)致的事件響應(yīng)和災(zāi)難恢復(fù)計劃，就可以有效防止未授權(quán)訪問和數(shù)據(jù)滲漏。你計劃如何應(yīng)對威脅？怎么減輕損失？這些問題的答案可以幫助你著手OPSEC計劃。

按照以上建議開啟OPSEC之旅，公司便可在此基礎(chǔ)上持續(xù)改進(jìn)。積極主動的安全方法就是最好的防護(hù)。深入探討運(yùn)營安全實踐，保護(hù)公司免遭網(wǎng)絡(luò)威脅侵害。

來源：數(shù)世咨詢