亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

惡意黑客越來(lái)越聰明，他們的攻擊越來(lái)越陰險(xiǎn)狡詐。料敵機(jī)先，規(guī)避漏洞，是打贏網(wǎng)絡(luò)安全攻防戰(zhàn)的唯一途徑。如果想保護(hù)公司免受網(wǎng)絡(luò)威脅侵害，就必須具備黑客思維，從攻擊者的角度審視自身防御。

運(yùn)營(yíng)安全亦稱OPSEC，是考慮潛在攻擊者視角的一門學(xué)科。這種安全方法積極主動(dòng)，幫助IT團(tuán)隊(duì)和安全經(jīng)理識(shí)別并修復(fù)風(fēng)險(xiǎn)和漏洞，不給犯罪分子留可乘之機(jī)。

OPSEC最初是為軍事機(jī)構(gòu)設(shè)計(jì)的，但現(xiàn)在很多企業(yè)也在實(shí)施OPSEC計(jì)劃，保護(hù)自身敏感數(shù)據(jù)免遭潛在威脅損害。各家公司不再坐等事件發(fā)生再去補(bǔ)救，而是設(shè)立OPSEC團(tuán)隊(duì)，更有效地管理安全風(fēng)險(xiǎn)。

那么，運(yùn)營(yíng)安全涉及哪些事項(xiàng)？公司該如何著手呢？以下八種最佳實(shí)踐可以幫助公司創(chuàng)建自己的OPSEC計(jì)劃。

運(yùn)營(yíng)安全是什么？

OPSEC的目標(biāo)是在搶在惡意黑客之前找到并修復(fù)安全漏洞，避免這些漏洞被惡意黑客用于犯罪目的。各類企業(yè)都持有敏感信息，比如客戶標(biāo)識(shí)、支付卡信息，以及專有商業(yè)策略和商業(yè)秘密等。OPSEC可以防止此類數(shù)據(jù)落入惡人之手。

OPSEC涉及IT團(tuán)隊(duì)、安全團(tuán)隊(duì)、安全經(jīng)理和數(shù)據(jù)分析師之間的多方協(xié)調(diào)。盡管77%的企業(yè)通常只有3到5名分析師負(fù)責(zé)管理其安全運(yùn)營(yíng)中心，但很多企業(yè)都有專職的IT員工和安全執(zhí)行經(jīng)理。OPSEC旨在建立防御潛在威脅的前沿陣地，需要公司所有人通力合作才能發(fā)揮這一前沿陣地的最大效用。

運(yùn)營(yíng)安全的組成要素

構(gòu)筑運(yùn)營(yíng)安全計(jì)劃基礎(chǔ)的五個(gè)要素分別是：

1、識(shí)別敏感數(shù)據(jù)和信息

2、識(shí)別潛在攻擊途徑

3、分析安全弱點(diǎn)

4、確定每個(gè)漏洞的風(fēng)險(xiǎn)級(jí)別

5、實(shí)施緩解計(jì)劃

識(shí)別敏感數(shù)據(jù)和信息

數(shù)據(jù)都存儲(chǔ)在哪兒？服務(wù)器上都保存著哪些敏感信息？客戶信息、知識(shí)產(chǎn)權(quán)、員工數(shù)據(jù)、財(cái)務(wù)報(bào)表和市場(chǎng)研究數(shù)據(jù)都是需要保密的敏感信息。

識(shí)別潛在攻擊途徑

攻擊者對(duì)哪類數(shù)據(jù)感興趣？有沒有第三方可以訪問公司的系統(tǒng)？哪種類型的攻擊最有可能成功侵入系統(tǒng)？想要防止數(shù)據(jù)泄露，你先得知道自己的弱點(diǎn)都在哪兒。

分析安全弱點(diǎn)

各個(gè)風(fēng)險(xiǎn)級(jí)別都需要采取哪些保護(hù)措施？哪些安全功能是有效的？哪些安全功能需要調(diào)整？企業(yè)需要客觀評(píng)估現(xiàn)有安全基礎(chǔ)設(shè)施，確定哪些方面風(fēng)險(xiǎn)最大。

確定每個(gè)漏洞的風(fēng)險(xiǎn)級(jí)別

哪些漏洞風(fēng)險(xiǎn)最高？發(fā)生攻擊的概率有多大？攻擊可能造成多大影響？必須根據(jù)嚴(yán)重性和影響排序風(fēng)險(xiǎn)。

實(shí)施風(fēng)險(xiǎn)緩解計(jì)劃

需要制定哪些安全流程？如何實(shí)施安全規(guī)程？何時(shí)推出新的安全流程？事關(guān)OPSEC，風(fēng)險(xiǎn)緩解就是全盤布局的最后一環(huán)。

OPSEC最佳實(shí)踐

如果企業(yè)準(zhǔn)備深入OPSEC，可以考慮以下幾個(gè)最佳實(shí)踐：

實(shí)施精確流程

涉及變更管理時(shí)，流程精確尤為重要。想要保證系統(tǒng)平穩(wěn)運(yùn)行，調(diào)整和更新是不可或缺的，但這些變更也有可能成為黑客的攻擊渠道。為保障企業(yè)安全，變更管理必須實(shí)施精確流程，比如強(qiáng)制記錄、變更控制、持續(xù)監(jiān)控和定期審計(jì)。

選擇合適的提供商

第三方提供商可以為企業(yè)提供一系列服務(wù)來(lái)改善客戶和內(nèi)部體驗(yàn)。然而，服務(wù)提供商本身也是一種重大風(fēng)險(xiǎn)來(lái)源。比如說(shuō)，如果虛擬主機(jī)提供商與公司在網(wǎng)絡(luò)安全觀上意見相左，或者遭遇了數(shù)據(jù)泄露，那就可以考慮換一家虛擬主機(jī)提供商了。其他所有第三方服務(wù)和網(wǎng)絡(luò)提供商也適用這一條。事實(shí)上，只要公司受網(wǎng)絡(luò)安全法規(guī)的約束，第三方提供商未能滿足法規(guī)的安全要求也是公司的責(zé)任。

限制網(wǎng)絡(luò)和設(shè)備訪問

公司的網(wǎng)絡(luò)和端點(diǎn)不應(yīng)該是隨便哪個(gè)人都有權(quán)訪問的。要確保只有經(jīng)批準(zhǔn)的設(shè)備才連接到業(yè)務(wù)網(wǎng)絡(luò)，并設(shè)置警報(bào)防止未授權(quán)設(shè)備連接公司系統(tǒng)，因?yàn)槲词跈?quán)連接可能會(huì)對(duì)公司敏感業(yè)務(wù)數(shù)據(jù)造成威脅。

遵循最小權(quán)限原則

包含多因素身份驗(yàn)證和密碼管理的零信任策略有助于阻止未授權(quán)用戶。員工按需知情可以防止內(nèi)部人威脅，減小被盜憑證導(dǎo)致重大數(shù)據(jù)泄露的概率。

實(shí)施雙重管控

這有點(diǎn)兒類似“制衡”，但是出于企業(yè)安全目的。雙重管控可以提供足夠的安全保障，又不會(huì)將所有責(zé)任都推給某一個(gè)用戶或部門。業(yè)務(wù)網(wǎng)絡(luò)的使用者和安全負(fù)責(zé)人不是同一個(gè)最好。

引入自動(dòng)化

企業(yè)面臨的最大威脅就是人為失誤。自動(dòng)化一些繁瑣的重復(fù)性任務(wù)有助于減少出錯(cuò)的可能性，防止發(fā)生數(shù)據(jù)泄露或者其他安全事件。

制定切合實(shí)際的策略

如果制定的策略是公司無(wú)法達(dá)到的，那內(nèi)部審計(jì)方面就永遠(yuǎn)差一口氣。制定切合實(shí)際的策略，具有挑戰(zhàn)性但至少可以實(shí)現(xiàn)，這樣你的OPSEC計(jì)劃才會(huì)取得成功。

重視事件響應(yīng)和災(zāi)難恢復(fù)

即便是最成功的OPSEC實(shí)施方案有時(shí)候也會(huì)出現(xiàn)安全問題。但只要有細(xì)致的事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃，就可以有效防止未授權(quán)訪問和數(shù)據(jù)滲漏。你計(jì)劃如何應(yīng)對(duì)威脅？怎么減輕損失？這些問題的答案可以幫助你著手OPSEC計(jì)劃。

按照以上建議開啟OPSEC之旅，公司便可在此基礎(chǔ)上持續(xù)改進(jìn)。積極主動(dòng)的安全方法就是最好的防護(hù)。深入探討運(yùn)營(yíng)安全實(shí)踐，保護(hù)公司免遭網(wǎng)絡(luò)威脅侵害。

來(lái)源：數(shù)世咨詢