超级会员免费看
利用行业安全框架开展DevSecOps工作
1. 理解行业安全框架
多年来,IT变得越来越复杂,IT安全也是如此,二者存在关联。企业IT环境不再是位于公司地下室、作为企业数据中心的单一系统。如今,IT环境共享不同组件,并通过互联网与外界相连,系统默认可通过互联网访问,但只有授权用户才能访问这些系统。因此,需要强大的防御措施来保护系统免受安全漏洞的影响。
不同行业所需的安全级别不同。金融机构要确保银行账户不被入侵,资金不被非法转移;医疗保健机构需保护患者的个人和健康数据;制造商要保护其知识产权和专利。总体而言,在安全、数据保护、身份保护以及强化系统以抵御外部攻击方面,存在一些普遍原则。而安全框架则为企业实施正确的安全策略提供了指导。
安全框架是一套关于实施和管理安全政策的策略和文档化指南,其重点在于识别风险、降低风险以及在检测到漏洞时减少系统和程序的攻击面。通用的IT安全框架包括:
- ISO IEC 27001/ISO 27002/27017 :ISO 27001设定了系统安全控制的国际标准,强调检测对系统可用性和完整性有严重影响的威胁的控制措施;ISO 27002为管理这些控制措施本身设定了额外标准,如用户访问管理和维护资产清单;ISO 27017专门针对云环境,处理平台即服务(PaaS)和软件即服务(SaaS)环境中的共享责任,确保部署安全、移除云系统并监控云服务。
- NIST :NIST网络安全框架虽未指定具体控制措施,但提供了五个增强安全的功能,即识别、保护、检测、响应和恢复。这些功能使组织能够设置控制措施来管理数据泄露风险,控制措施包括访问控制、数据保护措施以及员工的安全意
订阅专栏 解锁全文
扫一扫
919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
