压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

20世紀(jì)80年代，美國空軍創(chuàng)造了”網(wǎng)絡(luò)安全（cybersecurity）”一詞用于描述計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)。1985年，美國空軍發(fā)表了一篇關(guān)于該主題的論文，并首次在公開論壇上使用這一術(shù)語。

進(jìn)入20世紀(jì)90年代，隨著互聯(lián)網(wǎng)的普及，美國政府成立了美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)，負(fù)責(zé)制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。1997年，NIST出版了第一版關(guān)于信息系統(tǒng)安全控制措施的特別出版物(SP)800-53。

近年來網(wǎng)絡(luò)攻擊變得越來越頻繁和復(fù)雜，網(wǎng)絡(luò)安全一詞現(xiàn)在廣泛用于描述包括硬件、軟件、數(shù)據(jù)和人員在內(nèi)，對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)各個(gè)方面的保護(hù)。

隨著越來越多的日常生活轉(zhuǎn)移到網(wǎng)上，個(gè)人和財(cái)務(wù)信息成為網(wǎng)絡(luò)攻擊目標(biāo)的風(fēng)險(xiǎn)也越來越大。因此，網(wǎng)絡(luò)安全正成為企業(yè)、政府和個(gè)人面臨的關(guān)鍵問題。他們必須采取措施保護(hù)自己的系統(tǒng)和網(wǎng)絡(luò)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。第一步措施是執(zhí)行網(wǎng)絡(luò)安全審計(jì)。

網(wǎng)絡(luò)安全審計(jì)可幫助各種規(guī)模的組織識(shí)別和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是對(duì)組織信息安全控制措施的系統(tǒng)性檢查，確定這些措施是否能有效保護(hù)敏感數(shù)據(jù)和系統(tǒng)。

網(wǎng)絡(luò)安全審計(jì)對(duì)于組織實(shí)現(xiàn)6個(gè)業(yè)務(wù)目標(biāo)至關(guān)重要：

1. 識(shí)別和降低風(fēng)險(xiǎn)—網(wǎng)絡(luò)安全審計(jì)可用于協(xié)助組織識(shí)別安全漏洞和風(fēng)險(xiǎn)，包括識(shí)別需要保護(hù)的資產(chǎn)、可能對(duì)這些資產(chǎn)構(gòu)成風(fēng)險(xiǎn)的威脅以及可能被攻擊者利用的漏洞。通過識(shí)別和解決這些風(fēng)險(xiǎn)，組織可以降低受到攻擊的可能性。
2. 保護(hù)敏感信息—組織可利用網(wǎng)絡(luò)安全審計(jì)實(shí)現(xiàn)保護(hù)敏感信息的目標(biāo)，包括確保加密敏感數(shù)據(jù)、僅限授權(quán)人員訪問敏感數(shù)據(jù)，以及制定安全程序保護(hù)敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或銷毀。
3. 遵守法規(guī)—組織定期執(zhí)行網(wǎng)絡(luò)安全審計(jì)，會(huì)更加確信自己沒有違反任何安全法規(guī)。網(wǎng)絡(luò)安全審計(jì)有助于確保組織遵守特定行業(yè)的法規(guī)，如《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）》或《美國健康保險(xiǎn)便攜性和責(zé)任法案（HIPAA）》。通過遵守這些法規(guī)，組織可以降低被監(jiān)管機(jī)構(gòu)處罰的風(fēng)險(xiǎn)。
4. 改善安全態(tài)勢—網(wǎng)絡(luò)安全審計(jì)可幫助組織確定如何改善安全態(tài)勢。審計(jì)有助于發(fā)現(xiàn)安全控制方面的漏洞、過時(shí)的安全政策或員工培訓(xùn)的缺乏。組織通過改進(jìn)安全態(tài)勢，可降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
5. 贏得客戶信任—客戶越來越關(guān)注個(gè)人數(shù)據(jù)的安全。因此，網(wǎng)絡(luò)安全審計(jì)可幫助組織贏得客戶的信任。組織通過定期執(zhí)行網(wǎng)絡(luò)安全審計(jì)，可向客戶證明他們的安全受到了重視。
6. 保持業(yè)務(wù)連續(xù)性—網(wǎng)絡(luò)安全審計(jì)可確保組織的關(guān)鍵系統(tǒng)和數(shù)據(jù)受到保護(hù)，降低因網(wǎng)絡(luò)事件而中斷業(yè)務(wù)運(yùn)營的風(fēng)險(xiǎn)。

為幫助組織保護(hù)數(shù)字資產(chǎn)免受網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全審計(jì)必須考慮到信息資產(chǎn)的分類方式。信息資產(chǎn)的重要性因其分類而異。重要程度高的資產(chǎn)需要更嚴(yán)格的控制措施，并更多地保證這些控制措施的有效性和效率。

理解和執(zhí)行網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)是對(duì)組織的IT基礎(chǔ)設(shè)施執(zhí)行的系統(tǒng)地檢查，旨在識(shí)別并最終用于降低安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全審計(jì)的范圍因組織的規(guī)模和復(fù)雜程度而異。

不過所有網(wǎng)絡(luò)安全審計(jì)通常都涵蓋以下方面：

• 信息安全政策和程序—審計(jì)師必須審查組織的信息安全政策和程序，確保它們是最新的、全面的和有效實(shí)施的。
• 物理安全（實(shí)體安全）—審計(jì)師應(yīng)評(píng)估組織的實(shí)體安全控制措施，如訪問控制、周界安全和視頻監(jiān)控。
• 網(wǎng)絡(luò)安全（network security）—還必須評(píng)估組織的網(wǎng)絡(luò)安全控制措施，可能包括防火墻、入侵檢測系統(tǒng)(IDS)和漏洞掃描。
• 應(yīng)用安全—輸入驗(yàn)證、輸出編碼、會(huì)話管理以及身份和訪問管理(IAM)等應(yīng)用安全控制措施應(yīng)納入審計(jì)之中。
• 用戶安全—審計(jì)師必須評(píng)估組織的用戶安全控制措施（如密碼管理、培訓(xùn)、意識(shí)）。

此外，審計(jì)師還可能審查組織的事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃。

執(zhí)行網(wǎng)絡(luò)安全審計(jì)的六個(gè)步驟

網(wǎng)絡(luò)安全審計(jì)通常包括6個(gè)步驟：

1. 制定審計(jì)計(jì)劃并確定審計(jì)范圍。在執(zhí)行審計(jì)之前，審計(jì)師應(yīng)清楚了解組織的IT環(huán)境、目標(biāo)和風(fēng)險(xiǎn)。審計(jì)師還必須了解網(wǎng)絡(luò)安全框架和最佳實(shí)踐。
2. 收集信息、觀察結(jié)果和數(shù)據(jù)。可通過以下方式完成：
   
   o 風(fēng)險(xiǎn)評(píng)估—評(píng)估組織的IT基礎(chǔ)設(shè)施，確定潛在的安全風(fēng)險(xiǎn)，包括確定需要保護(hù)的資產(chǎn)、可能對(duì)這些資產(chǎn)構(gòu)成風(fēng)險(xiǎn)的威脅以及可能被攻擊者利用的漏洞。
   o 漏洞掃描工具—可用于識(shí)別組織IT基礎(chǔ)設(shè)施中的任何安全漏洞。包括操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞。
   o 滲透測試—可模擬真實(shí)世界中對(duì)組織IT基礎(chǔ)設(shè)施的攻擊，有助于識(shí)別任何可能被攻擊者利用的安全漏洞。
3. 評(píng)估組織網(wǎng)絡(luò)安全控制措施的有效性。需要評(píng)估的控制措施可包括訪問、加密和事件響應(yīng)控制措施。
4. 審查已收集的數(shù)據(jù)，確定任何潛在的安全漏洞或風(fēng)險(xiǎn)。審計(jì)師還應(yīng)評(píng)估組織的安全控制措施在緩解這些漏洞和風(fēng)險(xiǎn)因素方面的有效性。
5. 將審計(jì)結(jié)果記錄在報(bào)告中，并提出改進(jìn)建議。報(bào)告應(yīng)簡明扼要，通俗易懂。報(bào)告還應(yīng)包括可由組織實(shí)施，以改善其安全狀況的改進(jìn)建議。
6. 后續(xù)跟進(jìn)審計(jì)結(jié)果，確保組織落實(shí)改進(jìn)建議。審計(jì)師應(yīng)跟蹤組織安全狀況的進(jìn)展，并根據(jù)需要提出進(jìn)一步的改進(jìn)建議。

網(wǎng)絡(luò)安全審計(jì)的結(jié)果通常記錄在審計(jì)報(bào)告中。審計(jì)報(bào)告確定審計(jì)期間發(fā)現(xiàn)的任何安全風(fēng)險(xiǎn)因素，并可用于針對(duì)如何緩解這些風(fēng)險(xiǎn)源提出建議。

結(jié)語

定期網(wǎng)絡(luò)安全審計(jì)對(duì)于確保組織的安全控制措施是最新的、漏洞得到識(shí)別和解決，以及數(shù)據(jù)得到妥善保護(hù)至關(guān)重要。

網(wǎng)絡(luò)安全審計(jì)通過以下方式執(zhí)行：規(guī)劃和確定審計(jì)范圍；收集信息、觀察結(jié)果和數(shù)據(jù)；評(píng)估組織網(wǎng)絡(luò)安全控制措施的有效性；審查數(shù)據(jù)并確定潛在的安全漏洞或風(fēng)險(xiǎn)；記錄審計(jì)結(jié)果；以及提出改進(jìn)建議。組織通過投資于定期的網(wǎng)絡(luò)安全審計(jì)，可降低網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)，改善安全態(tài)勢，并增強(qiáng)客戶的信心和信任。

來源：安全牛