超级会员免费看
网络安全研究资源与组织安全策略全解析
1. 威胁情报研究资源
在网络安全领域,获取准确且及时的威胁情报至关重要。以下是一些常见的威胁情报研究资源:
- 供应商网站 :不同的供应商会提供丰富的安全相关信息。例如,微软的Cyber Trust博客、思科的Security Blog和RSS订阅源,以及Sophos的SophosLabs Threat Intelligence(可在 此处 获取)。
- 漏洞信息源 :主要分为供应商、政府和私人来源三类。优质的漏洞信息源包括美国国土安全部AIS信息源、FBI InfoGuard门户、SABS内部风暴中心以及思科Talos情报组(可访问 博客 )。
- 会议 :网络安全会议是业内人士紧跟发展趋势、拓展人脉的绝佳途径。例如2016年1月在伦敦举办的SANS威胁狩猎与事件响应峰会及培训,涵盖黑客工具、技术、漏洞利用和事件处理等主题。
- 学术期刊 :众多学术期刊发表网络安全相关论文,如《密码学杂志》(JOC)和IEEE Security and Privacy,但多数需要付费订阅。
- 请求评论(RFC) :由互联网工程任务组(IETF)制定,旨在为互联网制定标准。部分标准为建议性,部分为强制性,会随技术发展而更新。例如RFC1244《站点安全手册》,是处理互联网安全问题的首次尝试。
- 地方行业组织 :在英国,地方政府协会为地方当局提供预防网络犯罪的良好实践指南。还有一些地方组织帮助人们报告网络犯罪,受害者可向网络犯罪支持网络等机构求助。
- 社交媒体 :许多人在社交媒体博客上发布文章,讨论网络犯罪问题,提高公众对网络攻击的认识。
- 威胁信息源 :安全供应商提供的威胁信息源,能让公众及时了解不良行为者的IP地址和恶意域名等信息,避免成为受害者。
- 对手战术、技术和程序(TTP) :关于对手及其攻击方法、工具和技术的信息,MITRE ATT&CK框架是一个很好的信息来源,可通过电子表格深入了解相关细节。
1.1 研究资源表格总结
| 资源类型 | 具体示例 | 说明 |
|---|---|---|
| 供应商网站 | 微软Cyber Trust博客、思科Security Blog等 | 提供供应商相关安全信息 |
| 漏洞信息源 | 美国国土安全部AIS信息源、思科Talos情报组 | 提供漏洞相关信息 |
| 会议 | SANS威胁狩猎与事件响应峰会及培训 | 业内交流学习平台 |
| 学术期刊 | 《密码学杂志》(JOC)、IEEE Security and Privacy | 发表学术研究成果 |
| 请求评论(RFC) | RFC1244《站点安全手册》 | 互联网标准制定文件 |
| 地方行业组织 | 英国地方政府协会 | 提供地方网络安全指南 |
| 社交媒体 | 各类博客 | 公众交流网络犯罪问题平台 |
| 威胁信息源 | 安全供应商提供的信息 | 及时了解威胁信息 |
| 对手战术、技术和程序(TTP) | MITRE ATT&CK框架 | 了解对手攻击信息 |
2. 组织安全政策的重要性
安全政策是保护组织免受网络犯罪分子侵害的有效手段。缺乏政策将使组织易受网络犯罪攻击,以下是一些关键的人员相关安全政策:
2.1 人员相关政策
- 入职政策 :公司允许员工自带设备(BYOD)时,需执行入职和离职流程。入职政策要求检查设备是否有病毒,移除可能损害公司网络的应用程序,否则公司可能感染病毒。
- 离职政策 :员工离职时,需删除BYOD设备上的公司业务数据,否则前员工可能携带公司数据离开。
- 职责分离 :一项任务由多人参与完成,可防止欺诈或错误。例如财务部门,收款和付款授权应由不同人员负责,否则可能发生贪污行为。在IT团队中,更改网络防火墙规则需由变更咨询委员会授权,并由两人负责检查更改,以消除错误。
- 可接受用户政策(AUP) :明确员工或承包商使用公司计算机和BYOD设备的权限和限制,如禁止在工作时使用博客和社交媒体,禁止安装盗版软件。
- 保密协议(NDA) :员工或商业伙伴承诺未经授权不向他人披露商业机密,防止商业秘密或专有信息泄露给竞争对手。
- 背景调查 :对新员工进行背景调查,包括犯罪记录、就业和教育历史、驾照和信用检查,确保简历信息真实。对于与儿童打交道或处理财务的岗位,需进行更严格的背景调查。
- 离职面谈 :了解员工离职原因,用于改善员工保留率。
- 岗位轮换 :一是让员工全面了解公司各岗位工作,每6个月更换一次部门,获得更好的培训体验;二是发现可能存在的盗窃或欺诈行为。
- 强制休假 :强制员工休假一周以上,有助于发现是否存在欺诈活动。涉及财务信任的岗位,如财务人员或授权信用卡支付的人员,此类问题更为常见。
- 最小特权政策 :限制员工对数据的访问权限,仅给予完成工作所需的最低访问权限,类似于军事中的“需要知道”原则。
- 桌面清理政策 :要求员工每天下班时清理桌面文件,防止他人查看。
- 行为规则 :规定员工在工作中的行为准则,禁止欺凌、歧视和性骚扰,员工应相互尊重,共同为公司利益合作。
- 不利行动 :违反法律的行为,如威胁员工、在工作中伤害员工或歧视员工等。
- 政策违规 :员工或承包商违反政策或程序,可能导致纪律处分或立即解雇,通常与行为有关。
- 社交媒体分析 :公司需制定社交媒体发布政策,防止攻击者获取有用信息。
- 用户培训 :对减少网络犯罪分子利用风险至关重要,以下是不同类型的用户培训方法。
2.2 用户培训方法
- 夺旗赛(Capture the Flag) :红队(攻击者)进行基于漏洞利用的练习,蓝队(防御者)处理威胁。成员逐步完成目标,达到总体目标(夺旗)后进入下一阶段。完成足够阶段后,可加入相应团队。
- 网络钓鱼活动/模拟 :公司向员工发送网络钓鱼邮件,观察员工反应,对受骗员工进行补救培训。
- 基于计算机的培训(CBT)/游戏化 :员工观看视频,每部分视频后回答问题,以确保理解培训内容,是一种游戏化的培训方式。
- 基于角色的培训 :公司进行安全意识培训,确保员工具备与其工作角色相适应的安全知识。
2.3 用户培训方法流程图
graph LR
A[用户培训] --> B[夺旗赛]
A --> C[网络钓鱼活动/模拟]
A --> D[基于计算机的培训(CBT)/游戏化]
A --> E[基于角色的培训]
B --> B1[红队漏洞利用练习]
B --> B2[蓝队处理威胁]
B --> B3[逐步完成目标]
B --> B4[夺旗进入下一阶段]
C --> C1[发送钓鱼邮件]
C --> C2[观察员工反应]
C --> C3[对受骗员工培训]
D --> D1[观看视频]
D --> D2[回答问题]
E --> E1[安全意识培训]
E --> E2[适配工作角色]
3. 第三方风险管理
公司在运营中大量使用第三方提供的软件或服务,由于无法直接控制这些第三方,因此需要进行风险评估。以下是与第三方交互时需要考虑的方面:
- 供应链 :公司完全依赖的供应商组成供应链。例如,笔记本电脑制造商依赖电池供应商和电源供应商,任何一方供应短缺都会影响生产和销售。
- 供应商 :购买软件时,必须选择信誉良好的供应商,否则可能安装恶意软件,如远程访问木马或间谍软件,甚至存在后门。过度依赖单一供应商,若其破产,公司将面临风险。
- 商业伙伴 :商业伙伴协议(BPA)规定了双方在商业合作中的出资、权利、责任、日常运营规则、决策方式和利润分配,还包括合作结束的条件。
- 谅解备忘录(MOU) :双方或多方达成的正式协议,比君子协定更具约束力,但不具有法律效力。
- 协议备忘录(MOA) :类似于MOU,但具有法律效力,详细描述协议条款和细节。
- 保密协议(NDA) :与员工或商业伙伴签订的具有法律约束力的合同,防止商业秘密泄露给竞争对手。
- 服务水平协议(SLA) :服务提供商与接受服务的公司之间的合同,规定在一定时间内的修复或响应要求,并通过指标进行衡量。
- 产品生命周期结束(EOL) :供应商停止销售产品,替换零件和技术支持有限。
- 服务结束(EOS) :供应商认为产品已无使用价值,不再投入时间和资源维护,产品将逐渐变得脆弱,给使用公司带来安全风险。
3.1 第三方风险管理表格总结
| 交互类型 | 说明 | 风险 |
|---|---|---|
| 供应链 | 依赖的供应商组成,影响生产销售 | 供应短缺影响业务 |
| 供应商 | 提供软件,需选择信誉良好的 | 可能安装恶意软件,供应商破产带来风险 |
| 商业伙伴 | 通过BPA规定合作事宜 | 合作纠纷 |
| 谅解备忘录(MOU) | 正式但无法律效力的协议 | 缺乏法律强制力 |
| 协议备忘录(MOA) | 具有法律效力的协议 | 需遵守协议条款 |
| 保密协议(NDA) | 防止商业秘密泄露 | 违反协议可能导致法律后果 |
| 服务水平协议(SLA) | 规定服务要求和衡量指标 | 未达指标可能影响业务 |
| 产品生命周期结束(EOL) | 停止销售,支持有限 | 安全和维护问题 |
| 服务结束(EOS) | 不再维护产品 | 产品易受攻击 |
4. 数据管理
数据是公司最重要的资产之一,确保数据按照相关法规(如GDPR或HIPAA)进行分类、处理、存储和处置至关重要。
- 分类 :对数据进行标记,确定其为绝密、机密、保密或敏感数据,分类决定了数据的处理方式。
- 治理 :对数据处理过程进行监督和管理,从创建到销毁的每个阶段都应用安全控制措施,确保合规。
- 保留 :公司应尽量减少数据保留时间,降低责任,但为了合规,可能需要在数据失去使用价值后进行存档。例如,英国的医疗数据需要保留25年。
5. 凭证政策
保护凭证安全,防止未经授权访问系统至关重要,以下是不同类型的凭证政策:
- 人员 :人员账户可以使用共享账户,如客户服务团队成员使用同一账户与客户通信,但无法审计或监控个人用户。用户账户应遵循最小特权原则。
- 第三方 :第三方凭证可以是云提供商或安全即服务(SECaaS)供应商提供的SAML令牌,云提供商管理身份验证。远程管理时,可使用SSH密钥进行安全外壳连接,公钥安装在目标服务器上。
- 设备 :设备通常有默认密码的通用账户,购买设备后应立即更改默认设置,可访问 网站 查看这些密码。
- 服务账户 :用于运行应用程序,如防病毒软件。可以作为本地服务账户运行,具有与用户相同的权限,系统账户具有更高的权限,可完全控制。
- 管理员/根账户 :Linux中的管理和根账户需要受到保护,因为它们允许安装软件、进行配置更改和访问任何文件。这些账户应仅限于少数IT人员使用。安装新系统时,应更改默认账户设置。Linux中的根账户称为超级用户,无限制,除非必要,否则不应使用。管理员应拥有两个账户,一个用于日常使用,一个用于管理职责。
5.1 凭证政策表格总结
| 凭证类型 | 说明 | 注意事项 |
|---|---|---|
| 人员 | 共享账户或用户账户 | 共享账户无法审计个人,用户账户遵循最小特权原则 |
| 第三方 | SAML令牌或SSH密钥 | 云提供商管理身份验证,公钥安装在目标服务器 |
| 设备 | 通用账户默认密码 | 购买后立即更改默认设置 |
| 服务账户 | 运行应用程序 | 本地服务账户权限与用户相同,系统账户权限更高 |
| 管理员/根账户 | Linux管理账户 | 限制使用,安装新系统更改默认设置 |
6. 组织政策
为应对技术、风险或安全方面的变化,维护安全的工作环境,组织需要制定相关政策。
- 变更管理 :审计发现现有控制措施不够安全时,可实施变更管理或制定新政策。新政策改变整个流程,变更管理修改现有流程。
- 变更控制 :有人向负责变更实施的人员提出更改现有控制措施的请求。管理层可能关注变更的财务效益和节省的时间或成本。此类变更需提交变更咨询委员会(CAB),确保对公司有益。
- 资产管理 :对公司的每个资产进行标记,并记录在资产登记簿中。每年进行审计,确保所有资产都得到妥善管理。
7. 法规、标准和立法
法规、标准和立法旨在确保合规,多数具有法律效力。企业可根据这些法规和标准制定政策,以防止犯罪。若公司不遵守,将面临罚款。以下是一些重要的法规和标准:
- 通用数据保护条例(GDPR) :欧盟于2018年5月25日生效的框架,由欧盟信息专员办公室(ICO)执行,保护个人数据隐私,如姓名、出生日期、照片、视频、电子邮件地址和电话号码等。规定销售产品给欧盟公民的网站必须遵守,数据只能用于预期用途,如购买后未经用户同意不得保留信用卡信息。
- 国家、地区或州法律 :美国有国家数据法律,如医疗数据的《健康保险流通与责任法案》(HIPAA)和金融服务的《格雷姆 - 里奇 - 比利雷法案》(GBLA)。各州也有自己的个人数据法律,多数基于《联邦信息安全管理法案》(FISMA),保护政府信息和运营。
- 支付卡行业数据安全标准(PCI DSS) :处理卡支付数据的处理和存储,更多信息可访问 网站 。
7.1 法规、标准和立法表格总结
| 法规标准 | 适用范围 | 说明 |
|---|---|---|
| 通用数据保护条例(GDPR) | 欧盟 | 保护个人数据隐私,规范数据使用和存储 |
| 国家、地区或州法律 | 美国 | 涉及医疗、金融等领域,保护政府信息和运营 |
| 支付卡行业数据安全标准(PCI DSS) | 支付卡行业 | 规范卡支付数据处理和存储 |
通过以上对网络安全研究资源、组织安全策略、数据管理等方面的介绍,我们可以全面了解网络安全领域的相关知识和应对措施,为企业和个人的网络安全提供有力保障。
5. 凭证政策
保护凭证安全,防止未经授权访问系统至关重要,以下是不同类型的凭证政策:
- 人员 :人员账户可以使用共享账户,如客户服务团队成员使用同一账户与客户通信,但无法审计或监控个人用户。用户账户应遵循最小特权原则。
- 第三方 :第三方凭证可以是云提供商或安全即服务(SECaaS)供应商提供的SAML令牌,云提供商管理身份验证。远程管理时,可使用SSH密钥进行安全外壳连接,公钥安装在目标服务器上。
- 设备 :设备通常有默认密码的通用账户,购买设备后应立即更改默认设置,可访问 网站 查看这些密码。
- 服务账户 :用于运行应用程序,如防病毒软件。可以作为本地服务账户运行,具有与用户相同的权限,系统账户具有更高的权限,可完全控制。
- 管理员/根账户 :Linux中的管理和根账户需要受到保护,因为它们允许安装软件、进行配置更改和访问任何文件。这些账户应仅限于少数IT人员使用。安装新系统时,应更改默认账户设置。Linux中的根账户称为超级用户,无限制,除非必要,否则不应使用。管理员应拥有两个账户,一个用于日常使用,一个用于管理职责。
5.1 凭证政策表格总结
| 凭证类型 | 说明 | 注意事项 |
|---|---|---|
| 人员 | 共享账户或用户账户 | 共享账户无法审计个人,用户账户遵循最小特权原则 |
| 第三方 | SAML令牌或SSH密钥 | 云提供商管理身份验证,公钥安装在目标服务器 |
| 设备 | 通用账户默认密码 | 购买后立即更改默认设置 |
| 服务账户 | 运行应用程序 | 本地服务账户权限与用户相同,系统账户权限更高 |
| 管理员/根账户 | Linux管理账户 | 限制使用,安装新系统更改默认设置 |
5.2 凭证政策实施流程
graph LR
A[新员工入职] --> B{选择账户类型}
B -- 共享账户 --> C[使用共享账户通信]
B -- 用户账户 --> D[遵循最小特权原则设置权限]
E[第三方合作] --> F{获取凭证类型}
F -- SAML令牌 --> G[云提供商管理身份验证]
F -- SSH密钥 --> H[安装公钥到目标服务器]
I[设备采购] --> J[更改默认密码]
K[应用程序部署] --> L{选择服务账户类型}
L -- 本地服务账户 --> M[与用户同权限运行]
L -- 系统账户 --> N[高权限完全控制]
O[系统安装] --> P[更改管理员/根账户默认设置]
P --> Q[区分日常和管理账户]
6. 组织政策
为应对技术、风险或安全方面的变化,维护安全的工作环境,组织需要制定相关政策。
6.1 变更管理
当审计发现现有控制措施不够安全时,可实施变更管理或制定新政策。新政策改变整个流程,变更管理修改现有流程。变更管理的具体步骤如下:
1. 审计发现问题 :定期对组织的安全控制措施进行审计,发现存在的安全隐患或不足之处。
2. 评估变更需求 :确定是需要实施变更管理来修改现有流程,还是制定新政策来改变整个流程。
3. 制定变更计划 :明确变更的目标、范围、时间节点和责任人。
4. 实施变更 :按照变更计划进行操作,确保变更的顺利进行。
5. 监控和评估 :对变更的效果进行监控和评估,及时发现并解决可能出现的问题。
6.2 变更控制
变更控制是指有人向负责变更实施的人员提出更改现有控制措施的请求。管理层可能关注变更的财务效益和节省的时间或成本。此类变更需提交变更咨询委员会(CAB),确保对公司有益。变更控制的流程如下:
1. 提出变更请求 :相关人员向变更管理团队提出变更请求,说明变更的原因、内容和预期效果。
2. 评估变更影响 :变更管理团队对变更请求进行评估,分析变更可能带来的影响,包括对业务流程、系统安全、财务成本等方面的影响。
3. 提交CAB审批 :将变更请求和评估结果提交给变更咨询委员会(CAB)进行审批。CAB会综合考虑各种因素,决定是否批准变更。
4. 实施变更 :如果变更请求获得批准,变更管理团队按照计划实施变更。
5. 验证和确认 :变更实施完成后,对变更的效果进行验证和确认,确保变更达到了预期的目标。
6.3 资产管理
资产管理是对公司的每个资产进行标记,并记录在资产登记簿中。每年进行审计,确保所有资产都得到妥善管理。资产管理的主要内容包括:
- 资产识别和分类 :对公司的所有资产进行识别和分类,包括硬件设备、软件系统、数据信息等。
- 资产标记和记录 :为每个资产分配唯一的标识,并记录资产的相关信息,如资产名称、型号、购置时间、使用部门等。
- 资产审计和盘点 :定期对资产进行审计和盘点,确保资产的实际情况与记录一致。
- 资产维护和更新 :对资产进行定期的维护和更新,确保资产的正常运行和安全性。
7. 法规、标准和立法
法规、标准和立法旨在确保合规,多数具有法律效力。企业可根据这些法规和标准制定政策,以防止犯罪。若公司不遵守,将面临罚款。以下是一些重要的法规和标准:
7.1 通用数据保护条例(GDPR)
欧盟于2018年5月25日生效的框架,由欧盟信息专员办公室(ICO)执行,保护个人数据隐私,如姓名、出生日期、照片、视频、电子邮件地址和电话号码等。规定销售产品给欧盟公民的网站必须遵守,数据只能用于预期用途,如购买后未经用户同意不得保留信用卡信息。企业遵守GDPR的要点如下:
- 数据分类和保护 :对个人数据进行分类,根据不同的敏感程度采取相应的保护措施。
- 获得用户同意 :在收集和使用个人数据前,必须获得用户的明确同意,并告知用户数据的使用目的和方式。
- 数据安全保障 :采取必要的技术和组织措施,确保个人数据的安全性和保密性。
- 数据主体权利 :保障数据主体的权利,如访问权、更正权、删除权等。
7.2 国家、地区或州法律
美国有国家数据法律,如医疗数据的《健康保险流通与责任法案》(HIPAA)和金融服务的《格雷姆 - 里奇 - 比利雷法案》(GBLA)。各州也有自己的个人数据法律,多数基于《联邦信息安全管理法案》(FISMA),保护政府信息和运营。不同法律的适用范围和要求如下表所示:
| 法律名称 | 适用范围 | 主要要求 |
| ---- | ---- | ---- |
| HIPAA | 医疗行业 | 保护医疗数据的隐私和安全,规范医疗信息的使用和披露 |
| GBLA | 金融服务行业 | 要求金融机构保护客户的个人信息,建立安全保障措施 |
| FISMA | 政府机构 | 确保政府信息系统的安全性和保密性,进行安全评估和审计 |
7.3 支付卡行业数据安全标准(PCI DSS)
处理卡支付数据的处理和存储,更多信息可访问 网站 。企业遵守PCI DSS的步骤如下:
1. 自我评估 :企业对自身的支付卡数据处理环境进行自我评估,确定是否符合PCI DSS的要求。
2. 差距分析 :找出与PCI DSS要求的差距,制定改进计划。
3. 实施改进措施 :按照改进计划进行操作,加强支付卡数据的安全保护。
4. 外部审计 :聘请专业的审计机构对企业的支付卡数据处理环境进行审计,确保符合PCI DSS的要求。
7.4 法规遵循情况表格总结
| 法规标准 | 遵循要点 | 违规后果 |
|---|---|---|
| 通用数据保护条例(GDPR) | 数据分类保护、获同意、保障安全、维护主体权利 | 高额罚款 |
| 国家、地区或州法律(HIPAA、GBLA、FISMA) | 各行业按规定保护数据 | 法律诉讼、罚款 |
| 支付卡行业数据安全标准(PCI DSS) | 自我评估、改进、审计 | 失去支付卡处理资格 |
通过以上对网络安全研究资源、组织安全策略、数据管理、凭证政策、组织政策以及法规标准等方面的详细介绍,我们可以全面了解网络安全领域的相关知识和应对措施。企业和个人应根据自身的实际情况,制定合理的安全策略,严格遵守相关法规标准,以保障网络安全,避免遭受网络攻击和数据泄露等风险。在不断变化的网络环境中,持续关注和更新安全措施,是确保网络安全的关键。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
