内容
资料来源:KrulUA / iStockphoto
带走:
IT专业人员使用最佳实践来确保公司,政府和其他组织系统的安全。
当涉及到信息技术时,安全一直是困扰。数据盗窃,黑客攻击,恶意软件和许多其他威胁足以使任何IT专业人员在夜间工作。在本文中,我们将介绍IT专业人员用来保护系统安全的基本原理和最佳做法。
信息安全的目标
信息安全遵循三个总体原则:
- 机密性:这意味着信息仅由有权访问该信息的人查看或使用。
- 完整性:这意味着未经授权的用户对信息的任何更改都是不可能的(或至少是检测不到的),并且可以跟踪授权的用户的更改。
- 可用性:这意味着该信息可以在授权用户需要时访问。
因此,借助这些更高级别的原则,IT安全专家提出了最佳实践,以帮助组织确保其信息安全。 (要了解有关在涉及外部设备时保护网络的信息,请参阅BYOD Security的3个关键组件。)
IT安全最佳实践
IT安全中有许多针对某些行业或企业的最佳实践,但有些广泛应用。
- 实用平衡保护
如果所有的调制解调器都被撕毁并且所有人都被踢出房间,那么办公室中的计算机就可以得到完全的保护,但是任何人都不会使用它们。这就是为什么IT安全性的最大挑战之一就是要在资源可用性与资源的机密性和完整性之间找到平衡。
大多数IT部门没有尝试防御各种威胁,而是着眼于首先隔离最重要的系统,然后寻找可以接受的方法来保护其余的系统,而不会使它们变得毫无用处。一些较低优先级的系统可能是自动分析的候选对象,因此最重要的系统仍然是重点。 - 拆分用户和资源
为了使信息安全系统正常工作,它必须知道允许谁查看和执行特定的操作。例如,会计方面的人员不需要查看客户数据库中的所有名称,但他可能需要查看销售数据。这意味着系统管理员需要根据人员的工作类型来分配访问权限,并且可能需要根据组织分离情况进一步完善这些限制。这将确保首席财务官比初级会计师能够理想地访问更多的数据和资源。
也就是说,等级并不代表完全访问权限。公司的首席执行官可能需要查看比其他人更多的数据,但他并不需要自动获得对该系统的完全访问权限。这将我们带到了下一点。 - 分配最低权限
应该为个人分配执行其职责所需的最低特权。如果一个人的职责改变了,特权也会改变。分配最低权限将减少设计者Joe拥有所有营销数据的机会。 - 使用独立防御
这既是军事原则,又是IT安全原则。使用一种真正好的防御措施(例如身份验证协议),只有在有人违反该防御措施时才是好的。当采用几种独立的防御措施时,攻击者必须使用几种不同的策略来克服它们。引入这种复杂性并不能为攻击提供100%的保护,但确实可以减少成功攻击的机会。 - 计划失败
计划故障将有助于最大程度地减少发生的实际后果。预先安装备份系统可以使IT部门不断监控安全措施,并对违规行为迅速做出反应。如果违反程度不严重,则企业或组织可以在解决问题的同时继续进行备份操作。 IT安全与限制破坏无关,也与防止破坏无关。 - 记录,记录,记录
理想情况下,永远不会破坏安全系统,但是当发生安全破坏时,应记录该事件。实际上,即使没有发生违规事件,IT员工也经常记录尽可能多的内容。有时候,违规的原因在事实发生之后并不明显,因此具有追溯数据的重要性很重要。违规数据最终将有助于改善系统并防止未来的攻击-即使起初没有意义。 - 运行频繁测试
黑客正在不断提高自己的技术水平,这意味着信息安全必须不断发展以跟上潮流。 IT专业人员进行测试,进行风险评估,重读灾难恢复计划,在受到攻击的情况下检查业务连续性计划,然后再重新进行一次。 (认为黑客都不好?然后阅读5个值得感谢黑客的理由。)
外卖
IT安全是一项具有挑战性的工作,需要更高层次的意识,因此需要同时注意细节。但是,就像许多乍看起来似乎很复杂的任务一样,IT安全可以分解为可以简化流程的基本步骤。并不是说这使事情变得容易,但是它确实使IT专业人员保持警惕。