最近的信息安全事件沖擊了許多大型零售商如TAEGET,Home Depot和eBay,使得機(jī)構(gòu)的IT專(zhuān)家認(rèn)識(shí)到安全的重要。盡管許多機(jī)構(gòu)正在采用穩(wěn)健的安全保護(hù)措施,但還是有許多機(jī)構(gòu)只具備最基本的安全防護(hù)。
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院提出了一個(gè)安全框架,用來(lái)幫助機(jī)構(gòu)進(jìn)行IT安全活動(dòng)。于2014年2月發(fā)布的國(guó)家信息框架及其相關(guān)的路線圖,提供了一個(gè)結(jié)構(gòu)化的模型,用來(lái)規(guī)劃和實(shí)現(xiàn)一系列計(jì)劃,積極的確認(rèn)和避免潛在的IT安全威脅。該框架對(duì)信息安全的幫助顯而易見(jiàn),而其也對(duì)業(yè)務(wù)持續(xù)性有重要的指導(dǎo)價(jià)值。該框架可 以幫助增強(qiáng)你當(dāng)前的策劃活動(dòng),因?yàn)槠淇梢员WC和解決與你的機(jī)構(gòu)相關(guān)的信息安全問(wèn)題。
從機(jī)構(gòu)的業(yè)務(wù)角度來(lái)看,威脅機(jī)構(gòu)持續(xù)運(yùn)營(yíng)的任何安全問(wèn)題都與業(yè)務(wù)持續(xù)性有關(guān)。這個(gè)新的信息安全框架的出現(xiàn)也是業(yè)務(wù)持續(xù)/災(zāi)難恢復(fù)專(zhuān)家和信息安全專(zhuān)家應(yīng)該一起合作的另一個(gè)原因,以便確保機(jī)構(gòu)免受各種內(nèi)部和外部威脅。
下面的建議會(huì)幫助大家有效利用這個(gè)框架,改進(jìn)自己的信息安全計(jì)劃。
如果機(jī)構(gòu)已經(jīng)有信息安全項(xiàng)目在實(shí)施,該框架會(huì)提供一個(gè)有用的測(cè)試來(lái)保證覆蓋所有基本安全事項(xiàng)。如果機(jī)構(gòu)在考慮一個(gè)信息安全計(jì)劃活動(dòng)以便完善當(dāng)前的信息安全活動(dòng),該框架提供了一個(gè)結(jié)構(gòu)化模型,指導(dǎo)機(jī)構(gòu)進(jìn)行信息安全活動(dòng)。
“確認(rèn)”和“信息保護(hù)”功能幫助機(jī)構(gòu)為潛在的信息安全做好防護(hù)準(zhǔn)備,其主要通過(guò)風(fēng)險(xiǎn)管理活動(dòng),對(duì)業(yè)務(wù)環(huán)境的理解,安全需求,存在的安全問(wèn)題和存取控制措施的分析和教育等多個(gè)方面的組合來(lái)達(dá)到。
通過(guò)對(duì)當(dāng)前業(yè)務(wù)運(yùn)行中涉及的安全因素的理解,利用本框架來(lái)確認(rèn)一些理解偏差和需要的修正,保證機(jī)構(gòu)和機(jī)構(gòu)所有人員對(duì)可能的攻擊有充足的準(zhǔn)備。
積極的“檢查”措施保證機(jī)構(gòu)的網(wǎng)絡(luò)存取點(diǎn)例如防火墻配備安全設(shè)備(如入侵檢測(cè)系統(tǒng)(IDS)和入侵防止系統(tǒng)(IPS),具有充分的防護(hù)。機(jī)構(gòu)的目的是快速 確認(rèn)和表征任何異常且不在可接受包序列內(nèi)的數(shù)據(jù)包或者流。一旦確認(rèn)了異常,“響應(yīng)”步驟里會(huì)抓取異常并盡可能快的隔離異常,以便讓異常避免侵入系統(tǒng)并造成 損害。
最后,“恢復(fù)”步驟包括計(jì)劃和過(guò)程來(lái)恢復(fù)系統(tǒng)和數(shù)據(jù),保證業(yè)務(wù)功能恢復(fù)正常。很有可能機(jī)構(gòu)已經(jīng)解決了上面信息安全架構(gòu)提到的所有功能或者幾乎所有功能。然 而隨著信息安全威脅越來(lái)越普遍且更加復(fù)雜,機(jī)構(gòu)當(dāng)前的預(yù)防性措施也許需要更加經(jīng)常的更新。路線圖文檔提供了一些有趣的建議。
信息安全路線圖計(jì)劃
1.增強(qiáng)認(rèn)證:用這個(gè)過(guò)程來(lái)增強(qiáng)安全。例如,一個(gè)容易的轉(zhuǎn)變是切換到二因子認(rèn)證,如密碼加上令牌或者生物認(rèn)證技術(shù)(如指紋錄入)。另外可以經(jīng)常修改密碼,比如每30天;設(shè)置更加復(fù)雜的密碼,比如至少16個(gè)字符。
2.共享指標(biāo)數(shù)據(jù):獲取具體安全事件相關(guān)的數(shù)據(jù)比如事件響應(yīng)前和響應(yīng)時(shí)的數(shù)據(jù),然后把此數(shù)據(jù)與其他機(jī)構(gòu)共享,幫助其他機(jī)構(gòu)防止,檢測(cè),減少類(lèi)似的安全事件的發(fā)生。指標(biāo)數(shù)據(jù)可以從入侵檢測(cè)系統(tǒng)和入侵防止系統(tǒng)設(shè)備中獲取。
3.合格評(píng)定:既然標(biāo)準(zhǔn)和規(guī)范是用來(lái)處理信息安全威脅,合格評(píng)定保證了產(chǎn)品,服務(wù)且或者系統(tǒng)滿足處理威脅包括檢查,解決,減少威脅等步驟所需要的安全需求。
4.受過(guò)信息安全教育的人才:隨著越來(lái)越多的信息安全事件的出現(xiàn),信息安全標(biāo)準(zhǔn)和實(shí)踐持續(xù)發(fā)展。安全專(zhuān)家需要定期更新他們的技能以便完全有能力解決新的且嚴(yán)重的信息安全威脅。
5.信息安全數(shù)據(jù)分析:收集的信息安全破壞相關(guān)的數(shù)據(jù)和其他主要安全事件的數(shù)據(jù)必須仔細(xì)的分析以便確認(rèn)這些事件的關(guān)鍵特征。大數(shù)據(jù)和分析工具的快速發(fā)展給 結(jié)構(gòu)化和非結(jié)構(gòu)化的信息安全數(shù)據(jù)的處理提供了可能。為了使分析有價(jià)值,必須開(kāi)發(fā)足夠強(qiáng)大的數(shù)學(xué)算法,性能度量指標(biāo)和利用各種大數(shù)據(jù)技術(shù)的數(shù)據(jù)分析方法。
6.聯(lián)邦信息安全計(jì)劃的一致性:盡管?chē)?guó)家信息安全框架和路線圖主要是為政府機(jī)構(gòu)開(kāi)發(fā)的,但是其也可以適用于私有行業(yè)。這些計(jì)劃的統(tǒng)一和其他聯(lián)邦標(biāo)準(zhǔn)(如聯(lián)邦信息安全管理法案)保證了所有政府機(jī)構(gòu)以一致,可重復(fù)的方式來(lái)管理信息安全風(fēng)險(xiǎn)和威脅。
7.全球化的意義:因?yàn)樵摽蚣芎吐肪€圖參考全球范圍內(nèi)的成熟標(biāo)準(zhǔn)和實(shí)踐,它們可以用來(lái)增加跨國(guó)界的信息安全實(shí)踐,進(jìn)而提供統(tǒng)一和一致的信息安全結(jié)構(gòu)。
8.供應(yīng)鏈風(fēng)險(xiǎn)管理:隨著對(duì)供應(yīng)鏈方面的信息安全管理的逐漸關(guān)注,該框架提供了一種供應(yīng)鏈所有成員都可以使用的結(jié)構(gòu),特別是對(duì)于與政府機(jī)構(gòu)有業(yè)務(wù)往來(lái)的機(jī) 構(gòu)成員。該框架可以輔助機(jī)構(gòu)的業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)活動(dòng),因?yàn)槠涮峁┝艘环N容易理解和使用的可以適配于業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)活動(dòng)的計(jì)劃模型。也必須閱讀美國(guó) 國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院開(kāi)發(fā)的一些標(biāo)準(zhǔn)特別是SP 800-53,該標(biāo)準(zhǔn)闡述了信息安全實(shí)踐。