聽從性對企業安全的重要意義
概述
這個週末的自由時間,用來研究一下聽從性的話題,理論聯繫實際,同時學習一下VMware的vCM,即配置管理工具。它的主要功能是「連續評估虛擬與物理服務器的聽從狀態,並可自動修復不知足聽從性要求的配置項。」
保障聽從性的意義是什麼?
保障聽從性是保證安全的大前提,若是空有好的安全策略和安全技術卻不能嚴格落實,就會極大地浪費企業在安全方面的投入,安全風險不能獲得有效控制。說得通俗點兒,在安全方面保障不了聽從性就至關於在企業管理方面缺乏執行力,結果致使「政令不通」。
何爲聽從性檢查?
聽從性檢查的過程,就是當前值與指望值的比對,那麼什麼是指望值呢?對於大型公司而言,指望值多是安全顧問根據企業狀況制定的安全策略;對於中小企業而 言,指望值多是業界的最佳實踐;而對於某些特定的行業,上市公司或者對外提供IT服務的企業來講,指望值更多是政府的法律法規。
對於不少企業來講,指望值是個混合體,即包括來自政府的法律法規,又包括來自業界的最值實踐和來自安全顧問的安全策略,這就增長了聽從性檢查的難度,加之須要檢查的對象五花八門,分佈普遍,形態萬千,時刻保障聽從性幾乎成了不可能完成的任務。
經常使用的聽從性標準有哪些?
標準的種類很是多,包括且不限於法律法規,行業規範,國際標準,技術指引,業界指南和最佳實踐等。能夠歸納爲幾個大類,第一類是法律法規,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二類是行業規範,主要有PCI DSS; NERC/FERC,第三類是廠商最佳實踐,如VMware和Microsoft的系統安全加固指南等。第四類是安全研究組織制定的安全規範,如CIS Certified Benchmarks; DISA NIST等。
SOX即《薩班斯法案》(Sarbanes-Oxley Act)的簡稱。 薩班斯法案是美國政府出臺的一部涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律。它的主要內容是財務監管,主要對象是上市公司。
HIPAA全稱爲Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名爲健康保險攜帶和責任法案。主要內容是在醫療行業內部如何有效共享資源並保護我的的隱私,主要對象是保險公司,醫療機構等。
GLBA的全稱是Gramm-Leach-Bliley Act,也叫現代化金融服務法案。用於控制金融機構處理我的信息的方式,這項法案包括三部分:財產保密條例、安全措施條例、託辭供應。其中財產保密條例,用於管制對私 人財產信息的蒐集和泄露;安全措施條例,用於保證財政機構必須實現對私人信息的安全保護;託辭供應用於禁止使用不正當的託辭訪問私人信息。
FISMA即聯邦信息安全管理法案(The Federal Information Security Management Act FISMA)定義了一個普遍的框架來確保聯邦政府的數據安全。
DISA實際上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府發佈的技術指引。
ISO27002是由ISO制定的信息安全管理體系實用規則,是目前應用最普遍的安全管理最佳實踐,已等同轉化爲中國國家標準GB/T 22081-2008。 本標準給出了一個組織啓動、實施、保持和改進信息安全管理的指南和通常原則。
PCI DSS是支付卡行業 (PCI) 數據安全標準 (DSS) 是一組全面的要求,旨在確保持卡人的信用卡和借記卡信息保持安全,而無論這些信息是在何處以何種方法收集、處理、傳輸和存儲。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用於管理能源行業的運營,防範能源行業風險。
CIS Certified Benchmarks,CIS即Center for Internet Security,是目前業界最權威的信息安全研究機構,爲常見的系統編制了大量詳細的安全指南。
NIST是美國國家標準與技術研究院,也制定了一系列的信息系統安全規範。
如何實現聽從性檢查?
聽從性檢查主要依靠兩種手段,第一種是技術手段,可能自動掃描受檢系統,發現聽從性問題,生成聽從性報告,也能夠自動修復這些聽從性問題。第二種手段是調查問卷,用於檢查那些沒法靠技術性手段完成的,可利用培訓考試,問答或人工審計等形式來完成。
爲何說聽從性是很是重要的? 在保證信息系統的安全,從技術,人員到流程,都是不容忽視的。全體人員要有安全意識,技術人員要有專業知識;流程要健全並能獲得嚴格執行。可是再嚴密的安全防禦,也不免百密一疏,根據木桶原理,若是不能及時發現並解決安全短板,系統安全將沒法獲得保障。聽從性解決方案正是應對這一問題的,它能夠幫助你: 1,負責解讀和映射法律法規與最佳實踐,幫助安全管理員在內置模板的基礎上制定企業的聽從性策略。 2,自動,快速置備新的系統,確保新部署的系統知足聽從性要求。 3,監測系統的變化,自動收集,分析系統數據,及時發現並糾正不知足聽從性要求的配置。 4,對於不知足聽從性要求且沒法修復的系統,能夠暫時將其隔離保護,通知管理人員進行處理。 5,生成聽從性報告,可用於企業內審自查,也可用於應對外部審計。 還有一句俗語如今很流行:「不怕神同樣的對手,就怕豬同樣的隊友」,聽從性監測就是幫助企業把「害羣之馬」找出來,無論他是無意之失,仍是有意爲止,均可以在危險到來以前把隱患排除掉。 [完]
這個週末的自由時間,用來研究一下聽從性的話題,理論聯繫實際,同時學習一下VMware的vCM,即配置管理工具。它的主要功能是「連續評估虛擬與物理服務器的聽從狀態,並可自動修復不知足聽從性要求的配置項。」
保障聽從性的意義是什麼?
保障聽從性是保證安全的大前提,若是空有好的安全策略和安全技術卻不能嚴格落實,就會極大地浪費企業在安全方面的投入,安全風險不能獲得有效控制。說得通俗點兒,在安全方面保障不了聽從性就至關於在企業管理方面缺乏執行力,結果致使「政令不通」。
何爲聽從性檢查?
聽從性檢查的過程,就是當前值與指望值的比對,那麼什麼是指望值呢?對於大型公司而言,指望值多是安全顧問根據企業狀況制定的安全策略;對於中小企業而 言,指望值多是業界的最佳實踐;而對於某些特定的行業,上市公司或者對外提供IT服務的企業來講,指望值更多是政府的法律法規。
對於不少企業來講,指望值是個混合體,即包括來自政府的法律法規,又包括來自業界的最值實踐和來自安全顧問的安全策略,這就增長了聽從性檢查的難度,加之須要檢查的對象五花八門,分佈普遍,形態萬千,時刻保障聽從性幾乎成了不可能完成的任務。
經常使用的聽從性標準有哪些?
標準的種類很是多,包括且不限於法律法規,行業規範,國際標準,技術指引,業界指南和最佳實踐等。能夠歸納爲幾個大類,第一類是法律法規,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二類是行業規範,主要有PCI DSS; NERC/FERC,第三類是廠商最佳實踐,如VMware和Microsoft的系統安全加固指南等。第四類是安全研究組織制定的安全規範,如CIS Certified Benchmarks; DISA NIST等。
SOX即《薩班斯法案》(Sarbanes-Oxley Act)的簡稱。 薩班斯法案是美國政府出臺的一部涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律。它的主要內容是財務監管,主要對象是上市公司。
HIPAA全稱爲Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名爲健康保險攜帶和責任法案。主要內容是在醫療行業內部如何有效共享資源並保護我的的隱私,主要對象是保險公司,醫療機構等。
GLBA的全稱是Gramm-Leach-Bliley Act,也叫現代化金融服務法案。用於控制金融機構處理我的信息的方式,這項法案包括三部分:財產保密條例、安全措施條例、託辭供應。其中財產保密條例,用於管制對私 人財產信息的蒐集和泄露;安全措施條例,用於保證財政機構必須實現對私人信息的安全保護;託辭供應用於禁止使用不正當的託辭訪問私人信息。
FISMA即聯邦信息安全管理法案(The Federal Information Security Management Act FISMA)定義了一個普遍的框架來確保聯邦政府的數據安全。
DISA實際上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府發佈的技術指引。
ISO27002是由ISO制定的信息安全管理體系實用規則,是目前應用最普遍的安全管理最佳實踐,已等同轉化爲中國國家標準GB/T 22081-2008。 本標準給出了一個組織啓動、實施、保持和改進信息安全管理的指南和通常原則。
PCI DSS是支付卡行業 (PCI) 數據安全標準 (DSS) 是一組全面的要求,旨在確保持卡人的信用卡和借記卡信息保持安全,而無論這些信息是在何處以何種方法收集、處理、傳輸和存儲。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用於管理能源行業的運營,防範能源行業風險。
CIS Certified Benchmarks,CIS即Center for Internet Security,是目前業界最權威的信息安全研究機構,爲常見的系統編制了大量詳細的安全指南。
NIST是美國國家標準與技術研究院,也制定了一系列的信息系統安全規範。
如何實現聽從性檢查?
聽從性檢查主要依靠兩種手段,第一種是技術手段,可能自動掃描受檢系統,發現聽從性問題,生成聽從性報告,也能夠自動修復這些聽從性問題。第二種手段是調查問卷,用於檢查那些沒法靠技術性手段完成的,可利用培訓考試,問答或人工審計等形式來完成。
爲何說聽從性是很是重要的? 在保證信息系統的安全,從技術,人員到流程,都是不容忽視的。全體人員要有安全意識,技術人員要有專業知識;流程要健全並能獲得嚴格執行。可是再嚴密的安全防禦,也不免百密一疏,根據木桶原理,若是不能及時發現並解決安全短板,系統安全將沒法獲得保障。聽從性解決方案正是應對這一問題的,它能夠幫助你: 1,負責解讀和映射法律法規與最佳實踐,幫助安全管理員在內置模板的基礎上制定企業的聽從性策略。 2,自動,快速置備新的系統,確保新部署的系統知足聽從性要求。 3,監測系統的變化,自動收集,分析系統數據,及時發現並糾正不知足聽從性要求的配置。 4,對於不知足聽從性要求且沒法修復的系統,能夠暫時將其隔離保護,通知管理人員進行處理。 5,生成聽從性報告,可用於企業內審自查,也可用於應對外部審計。 還有一句俗語如今很流行:「不怕神同樣的對手,就怕豬同樣的隊友」,聽從性監測就是幫助企業把「害羣之馬」找出來,無論他是無意之失,仍是有意爲止,均可以在危險到來以前把隱患排除掉。 [完]
相關文章
- 1. SSL證書對企業的重要性
- 2. 安全從業者存在的意義
- 3. 論企業形象與LOGO對企業的重要性
- 4. 積分運營對企業的意義
- 5. 公司引進企業微信有什麼重要的意義?
- 6. 性能測試的重要意義(一)
- 7. context對於android的重要意義
- 8. 企業建設品牌的重要性
- 9. 企業網站建設的重要性
- 10. 論安全的重要性
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Web 品質 - 重要的 HTML 元素 - 網站品質教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • TiDB 在摩拜單車在線數據業務的應用和實踐
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. SSL證書對企業的重要性
- 2. 安全從業者存在的意義
- 3. 論企業形象與LOGO對企業的重要性
- 4. 積分運營對企業的意義
- 5. 公司引進企業微信有什麼重要的意義?
- 6. 性能測試的重要意義(一)
- 7. context對於android的重要意義
- 8. 企業建設品牌的重要性
- 9. 企業網站建設的重要性
- 10. 論安全的重要性