亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

20世紀(jì)80年代，美國空軍創(chuàng)造了”網(wǎng)絡(luò)安全（cybersecurity）”一詞用于描述計算機網(wǎng)絡(luò)的保護。1985年，美國空軍發(fā)表了一篇關(guān)于該主題的論文，并首次在公開論壇上使用這一術(shù)語。

進入20世紀(jì)90年代，隨著互聯(lián)網(wǎng)的普及，美國政府成立了美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)，負責(zé)制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。1997年，NIST出版了第一版關(guān)于信息系統(tǒng)安全控制措施的特別出版物(SP)800-53。

近年來網(wǎng)絡(luò)攻擊變得越來越頻繁和復(fù)雜，網(wǎng)絡(luò)安全一詞現(xiàn)在廣泛用于描述包括硬件、軟件、數(shù)據(jù)和人員在內(nèi)，對計算機系統(tǒng)和網(wǎng)絡(luò)各個方面的保護。

隨著越來越多的日常生活轉(zhuǎn)移到網(wǎng)上，個人和財務(wù)信息成為網(wǎng)絡(luò)攻擊目標(biāo)的風(fēng)險也越來越大。因此，網(wǎng)絡(luò)安全正成為企業(yè)、政府和個人面臨的關(guān)鍵問題。他們必須采取措施保護自己的系統(tǒng)和網(wǎng)絡(luò)，降低網(wǎng)絡(luò)攻擊的風(fēng)險。第一步措施是執(zhí)行網(wǎng)絡(luò)安全審計。

網(wǎng)絡(luò)安全審計可幫助各種規(guī)模的組織識別和降低網(wǎng)絡(luò)安全風(fēng)險，是對組織信息安全控制措施的系統(tǒng)性檢查，確定這些措施是否能有效保護敏感數(shù)據(jù)和系統(tǒng)。

網(wǎng)絡(luò)安全審計對于組織實現(xiàn)6個業(yè)務(wù)目標(biāo)至關(guān)重要：

1. 識別和降低風(fēng)險—網(wǎng)絡(luò)安全審計可用于協(xié)助組織識別安全漏洞和風(fēng)險，包括識別需要保護的資產(chǎn)、可能對這些資產(chǎn)構(gòu)成風(fēng)險的威脅以及可能被攻擊者利用的漏洞。通過識別和解決這些風(fēng)險，組織可以降低受到攻擊的可能性。
2. 保護敏感信息—組織可利用網(wǎng)絡(luò)安全審計實現(xiàn)保護敏感信息的目標(biāo)，包括確保加密敏感數(shù)據(jù)、僅限授權(quán)人員訪問敏感數(shù)據(jù)，以及制定安全程序保護敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或銷毀。
3. 遵守法規(guī)—組織定期執(zhí)行網(wǎng)絡(luò)安全審計，會更加確信自己沒有違反任何安全法規(guī)。網(wǎng)絡(luò)安全審計有助于確保組織遵守特定行業(yè)的法規(guī)，如《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）》或《美國健康保險便攜性和責(zé)任法案（HIPAA）》。通過遵守這些法規(guī)，組織可以降低被監(jiān)管機構(gòu)處罰的風(fēng)險。
4. 改善安全態(tài)勢—網(wǎng)絡(luò)安全審計可幫助組織確定如何改善安全態(tài)勢。審計有助于發(fā)現(xiàn)安全控制方面的漏洞、過時的安全政策或員工培訓(xùn)的缺乏。組織通過改進安全態(tài)勢，可降低網(wǎng)絡(luò)攻擊的風(fēng)險。
5. 贏得客戶信任—客戶越來越關(guān)注個人數(shù)據(jù)的安全。因此，網(wǎng)絡(luò)安全審計可幫助組織贏得客戶的信任。組織通過定期執(zhí)行網(wǎng)絡(luò)安全審計，可向客戶證明他們的安全受到了重視。
6. 保持業(yè)務(wù)連續(xù)性—網(wǎng)絡(luò)安全審計可確保組織的關(guān)鍵系統(tǒng)和數(shù)據(jù)受到保護，降低因網(wǎng)絡(luò)事件而中斷業(yè)務(wù)運營的風(fēng)險。

為幫助組織保護數(shù)字資產(chǎn)免受網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全審計必須考慮到信息資產(chǎn)的分類方式。信息資產(chǎn)的重要性因其分類而異。重要程度高的資產(chǎn)需要更嚴(yán)格的控制措施，并更多地保證這些控制措施的有效性和效率。

理解和執(zhí)行網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)安全審計是對組織的IT基礎(chǔ)設(shè)施執(zhí)行的系統(tǒng)地檢查，旨在識別并最終用于降低安全風(fēng)險。網(wǎng)絡(luò)安全審計的范圍因組織的規(guī)模和復(fù)雜程度而異。

不過所有網(wǎng)絡(luò)安全審計通常都涵蓋以下方面：

• 信息安全政策和程序—審計師必須審查組織的信息安全政策和程序，確保它們是最新的、全面的和有效實施的。
• 物理安全（實體安全）—審計師應(yīng)評估組織的實體安全控制措施，如訪問控制、周界安全和視頻監(jiān)控。
• 網(wǎng)絡(luò)安全（network security）—還必須評估組織的網(wǎng)絡(luò)安全控制措施，可能包括防火墻、入侵檢測系統(tǒng)(IDS)和漏洞掃描。
• 應(yīng)用安全—輸入驗證、輸出編碼、會話管理以及身份和訪問管理(IAM)等應(yīng)用安全控制措施應(yīng)納入審計之中。
• 用戶安全—審計師必須評估組織的用戶安全控制措施（如密碼管理、培訓(xùn)、意識）。

此外，審計師還可能審查組織的事件響應(yīng)計劃、災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃。

執(zhí)行網(wǎng)絡(luò)安全審計的六個步驟

網(wǎng)絡(luò)安全審計通常包括6個步驟：

1. 制定審計計劃并確定審計范圍。在執(zhí)行審計之前，審計師應(yīng)清楚了解組織的IT環(huán)境、目標(biāo)和風(fēng)險。審計師還必須了解網(wǎng)絡(luò)安全框架和最佳實踐。
2. 收集信息、觀察結(jié)果和數(shù)據(jù)。可通過以下方式完成：
   
   o 風(fēng)險評估—評估組織的IT基礎(chǔ)設(shè)施，確定潛在的安全風(fēng)險，包括確定需要保護的資產(chǎn)、可能對這些資產(chǎn)構(gòu)成風(fēng)險的威脅以及可能被攻擊者利用的漏洞。
   o 漏洞掃描工具—可用于識別組織IT基礎(chǔ)設(shè)施中的任何安全漏洞。包括操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞。
   o 滲透測試—可模擬真實世界中對組織IT基礎(chǔ)設(shè)施的攻擊，有助于識別任何可能被攻擊者利用的安全漏洞。
3. 評估組織網(wǎng)絡(luò)安全控制措施的有效性。需要評估的控制措施可包括訪問、加密和事件響應(yīng)控制措施。
4. 審查已收集的數(shù)據(jù)，確定任何潛在的安全漏洞或風(fēng)險。審計師還應(yīng)評估組織的安全控制措施在緩解這些漏洞和風(fēng)險因素方面的有效性。
5. 將審計結(jié)果記錄在報告中，并提出改進建議。報告應(yīng)簡明扼要，通俗易懂。報告還應(yīng)包括可由組織實施，以改善其安全狀況的改進建議。
6. 后續(xù)跟進審計結(jié)果，確保組織落實改進建議。審計師應(yīng)跟蹤組織安全狀況的進展，并根據(jù)需要提出進一步的改進建議。

網(wǎng)絡(luò)安全審計的結(jié)果通常記錄在審計報告中。審計報告確定審計期間發(fā)現(xiàn)的任何安全風(fēng)險因素，并可用于針對如何緩解這些風(fēng)險源提出建議。

結(jié)語

定期網(wǎng)絡(luò)安全審計對于確保組織的安全控制措施是最新的、漏洞得到識別和解決，以及數(shù)據(jù)得到妥善保護至關(guān)重要。

網(wǎng)絡(luò)安全審計通過以下方式執(zhí)行：規(guī)劃和確定審計范圍；收集信息、觀察結(jié)果和數(shù)據(jù)；評估組織網(wǎng)絡(luò)安全控制措施的有效性；審查數(shù)據(jù)并確定潛在的安全漏洞或風(fēng)險；記錄審計結(jié)果；以及提出改進建議。組織通過投資于定期的網(wǎng)絡(luò)安全審計，可降低網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險，改善安全態(tài)勢，并增強客戶的信心和信任。

來源：安全牛