数据安全:14 个有关大数据安全实践参考

admin 2022年5月8日13:45:48评论18 views字数 13632阅读45分26秒阅读模式
由美国能源部与国土安全部合作,美众多单位参与制定的该网络安全能力成熟度模型(C2M2)第二版于2021年发布,成熟度模型涉及与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理。想要吗?

分享本文到朋友圈,点赞超过18个

截图微信公众号后台回复

前50名可获得C2M2机翻版


1.了解数据技术和数据库。

在过去的几十年中,数据库变得越来越复杂。关系数据库是最常见的。该技术允许根据用户或管理员的需要以动态方式查看数据。用于与数据库通信的最常用语言是结构化查询语言(SQL)SQL允许用户将查询实时传递到数据库服务器。这种灵活性在未安全实施时会导致重大漏洞。不要将语言SQLMicrosoft的数据库产品SQL Server混淆,不过,与大多数数据库一样,SQL Server使用结构化查询语言。
早期的数据库系统通过应用程序将最终用户直接连接到数据。在专用网络中,通常只需要物理安全来保护数据。现在,为了提高数据库的性能和安全性,公司选择了以下模型之一:
  • 一层模型。在单层或单层模型中,数据库和应用程序存在于单个系统上。这在运行独立数据库的桌面系统上很常见。早期的Unix实现也以这种方式工作。每个用户都将登录终端并运行访问数据的专用应用程序。

  • 两层模型。在两层模型中,客户端工作站或系统运行与运行在不同服务器上的数据库通信的应用程序。这是一个常见的实现,它适用于许多应用程序。

  • 三层模型。三层模型通过引入中间层服务器有效地将最终用户与数据库隔离。该服务器接受来自客户端的请求,评估它们并将它们发送到数据库服务器进行处理。数据库服务器将数据发送回中间层服务器,然后中间层服务器将数据发送到客户端系统。这种方法在今天变得很普遍。中间服务器还可以控制对数据库的访问并提供额外的安全性。

数据安全:14 个有关大数据安全实践参考

NoSQL

NoSQL是一个相对较新的概念。如上所述,大多数商业关系数据库管理系统(OracleMicrosoft SQL ServerMySQLPostGres等)都使用SQLNoSQL数据库不是关系数据库,也不使用SQL。这些数据库不像关系数据库那么常见,但通常在扩展很重要的地方使用。以下是一些主要区别:

特征

NoSQL数据库

SQL数据库

数据库类型

非关系/分布式

关系型

架构类型

动态的

预定义

数据存储

将所有内容存储在单个嵌套文档中,通常采用XML格式(基于文档)

单个记录存储为表中的行(基于表)

好处

可以处理大量结构化、半结构化和非结构化数据

广泛支持且易于配置结构化数据

典型的缩放模型

水平(添加更多服务器)

垂直(升级服务器)

流行的供应商/实施

MongoDB、沙发数据库

甲骨文、微软、MySQL

易受SQL注入攻击?

否,但容易受到类似的注入型攻击

是的

大数据

一些组织存储大量数据,通常为数TB。这种大数据通常无法放在单个服务器上,因此它存储在存储区域网络(SAN)上。SAN是一个单独的网络,被设置为主要组织网络的服务器。例如,多个服务器和网络存储设备可能被配置为一个具有一个目的的小型网络:存储数TB的数据。它连接到主网络,因此用户可以访问SAN中的数据,而不必担心其中涉及的复杂性。SAN通常具有冗余服务器,它们通过高速光纤连接或在铜线上运行的iSCSI连接。大数据的问题之一是它可能达到难以搜索、存储、共享、备份和管理它的大小。

文件系统

文件系统是另一种存储非结构化数据并控制其检索方式的方式。如果没有文件系统,存储介质中的信息将是一大堆数据,无法分辨一条信息在哪里停止,下一条信息从哪里开始。将数据分成多个片段并为每个片段命名,可以轻松隔离和识别信息。
文件系统可用于多种不同类型的介质,例如SSD、磁带和光盘。文件系统类型取决于所使用的操作系统;例如,Linux使用extfamilyxfsjfs等文件系统;Windows操作系统使用fatfat32ntfsMac OS使用apfshfs+

数据安全:14 个有关大数据安全实践参考

2.识别和分类敏感数据。
为了有效地保护数据,您需要准确了解您拥有的数据类型。数据发现技术将扫描您的数据存储库并报告调查结果。然后,您可以使用数据分类过程将数据组织成类别。数据发现引擎通常使用正则表达式进行搜索,这是一个非常灵活但创建起来相当复杂的东西。
使用数据发现和分类技术可帮助您控制用户对关键数据的访问,避免将其存储在不安全的位置,从而降低不当数据暴露和数据丢失的风险。所有关键或敏感数据都应使用表示其分类的数字签名清楚地标记,以便您可以根据其对组织的价值对其进行保护。第三方工具,例如Netwrix Data Classification,可以使数据发现和分类更容易、更准确。
随着数据的创建、修改、存储或传输,可以更新分类。但是,应采取控制措施以防止用户伪造分类级别。例如,只有特权用户才能降级数据的分类。

请遵循这些准则来创建强大的数据分类策略。并且不要忘记将数据发现和分类作为IT风险评估过程的一部分。

3.创建数据使用策略。

当然,仅靠数据分类是不够的;您需要创建一个策略,指定访问类型、基于分类的数据访问条件、谁可以访问数据、什么构成数据的正确使用等等。不要忘记所有违反政策的行为都应该有明确的后果。

4.控制对敏感数据的访问。

您还需要对您的数据应用适当的访问控制。访问控制应根据最小权限原则限制对信息的访问:用户必须仅获得执行其预期功能所必需的那些权限。这有助于确保只有适当的人员才能访问数据。访问控制可以是物理的、技术的或管理的,如下所述。

行政控制

管理访问控制是所有员工必须遵守的程序和政策。安全策略可以列出被认为可以接受的行动、公司愿意承担的风险级别、违规情况下的处罚等。该策略通常由了解业务目标和适用合规法规的专家编制。

监督结构是行政控制的重要组成部分。几乎所有组织都让管理者对其员工的活动负责;如果员工违反行政控制,主管也将被追究责任。

人员教育和意识

应提供培训以使用户了解公司的数据使用政策,并强调公司重视安全并将积极执行该政策。此外,应定期对用户进行再教育和测试,以加强和验证他们的理解。安全措施已经到位以限制用户可以做什么,但这些工具并不完美。如果用户打开每封电子邮件中的每个附件,那么您的防病毒数据库中未列出的一些零日攻击或其他漏洞利用很可能会危及计算机。因此,需要对用户进行有关正确使用计算机的责任和最佳实践的教育。

员工终止程序

确保每位离职员工都无法访问您的IT基础架构,这对于保护您的系统和数据至关重要。您需要与HR合作制定有效的用户终止程序,以在法律和技术上保护您的组织免受前雇员的影响。遵循这些用户终止最佳实践以实现该目标。

技术控制

在大多数情况下,不应允许用户在本地复制或存储敏感数据。相反,他们应该被迫远程操作数据。在用户注销或会话超时后,应彻底清除客户端和服务器这两个系统的缓存,否则应使用加密的RAM驱动器。理想情况下,敏感数据不应存储在任何类型的便携式系统上。所有系统都应该需要某种登录,并且应该设置条件以在出现可疑使用时锁定系统。

权限

用户权限的授予应严格按照最小权限原则。以下是Microsoft操作系统中的基本文件权限:
  • 完全控制——用户可以读取、执行、修改和删除文件;分配权限;并取得所有权。

  • 修改用户可以读取、写入和删除文件。

  • 读取和执行用户可以运行可执行文件。

  • 读取用户可以读取但不能修改文件。

  • 写入用户可以读取和修改文件,但不能删除它。

文件夹具有相同的权限,再加上一项-列出文件夹内容,这使用户能够查看文件夹中的内容,但不能读取文件。

访问控制列表

访问控制列表(ACL)是谁可以访问什么资源以及在什么级别的列表。它可以是操作系统或应用程序的内部部分。例如,自定义应用程序可能有一个ACL,其中列出了哪些用户在该系统中具有哪些权限。
ACL可以基于白名单或黑名单。白名单是允许的项目列表,例如允许用户使用公司计算机访问的网站列表,或授权安装在公司计算机上的第三方软件列表。黑名单是被禁止的事物的列表,例如不允许员工访问的特定网站或禁止在客户端计算机上安装的软件。
在文件管理过程中,白名单ACL使用比较多,在文件系统级别进行配置。例如,在MicrosoftWindows中,您可以配置NTFS权限并从中创建NTFS访问控制列表。您可以在此NTFS权限管理最佳实践列表中找到有关如何正确配置NTFS权限的更多信息。请记住,访问控制应在每个具有基于角色的访问控制(RBAC)的应用程序中实施;示例包括ActiveDirectory组和委派。

安全装置和方法

某些设备和系统可帮助您进一步限制对数据的访问。以下是最常实施的列表:
  • 数据丢失防护(DLP)这些系统监控工作站、服务器和网络,以确保敏感数据不被删除、移除、移动或复制。他们还监控谁在使用和传输数据以发现未经授权的使用。

  • 防火墙——防火墙是网络中的第一道防线之一,因为它将一个网络与另一个网络隔离开来。防火墙可以是独立系统,也可以包含在其他基础设施设备中,例如路由器或服务器。您可以找到硬件和软件防火墙解决方案;一些防火墙可用作设备,用作分隔两个网络的主要设备。防火墙可以阻止不需要的流量进入组织的网络,这有助于防止恶意软件或黑客将数据泄漏到第三方流氓服务器。根据组织的防火墙策略,防火墙可能会完全禁止某些流量或所有流量,或者它可能会对部分或全部流量执行验证。

  • 网络访问控制(NAC)这涉及将网络资源的可用性限制为符合您的安全策略的端点设备。一些NAC解决方案可以自动修复不合规的节点,以确保在允许访问之前它是安全的。NAC在用户环境相当静态且可以严格控制时最有用,例如企业和政府机构。在具有频繁变化的多样化用户和设备的设置中,它可能不太实用。NAC可以限制未经授权的设备直接从您的网络访问您的数据。

  • 代理服务器——这些设备充当客户端软件请求的协商者,从其他服务器寻求资源。客户端连接到代理服务器,请求某些服务(例如,网站);代理服务器评估请求,然后允许或拒绝它。在组织中,代理服务器通常用于流量过滤和性能改进。代理设备可以限制从Internet访问您的敏感数据。

数据安全:14 个有关大数据安全实践参考

物理控制

在有关数据安全的讨论中,物理安全经常被忽视。对物理安全的政策不佳可能会导致您的数据甚至网络受到全面损害。每个工作站都应锁定,使其无法从该区域移走。此外,应放置一个锁,以使机箱无法打开,从而暴露系统内部;否则,硬盘驱动器或其他存储数据的敏感组件可能会被移除和破坏。实施BIOS密码也是一种很好的做法,以防止攻击者使用可移动媒体启动其他操作系统。需要特别注意移动设备,例如智能手机、平板电脑、笔记本电脑、USB闪存驱动器、iPod和蓝牙设备,如下文所述。

笔记本电脑安全

对于笔记本电脑,最大的担忧是丢失和被盗,其中任何一个都可能使恶意方访问硬盘驱动器上的数据。组织内的每台笔记本电脑都应使用全盘加密。此外,除非使用VPNSSH等安全通信通道,否则使用公共Wi-Fi热点绝不是一个好主意。帐户凭据很容易通过无线攻击被劫持,并可能导致组织网络受到危害。

移动设备安全

移动设备可以将病毒或其他恶意软件携带到组织的网络中,并从您的服务器中提取敏感数据。由于这些威胁,需要非常严格地控制移动设备。允许连接的设备应进行病毒扫描,可移动设备应加密。为此目的使用NAC非常棒。
重要的是要关注数据,而不是数据所在设备的外形尺寸。智能手机通常包含敏感信息,但与包含相同信息的笔记本电脑相比,对它们应用的安全保护较少。所有可以访问敏感数据的移动设备都应该需要相同长度的密码,并具有相同的访问控制和保护软件。
另一个大数据泄漏工具是带有摄像头的智能手机,可以拍摄高分辨率照片和视频并录制优质声音。很难使用这些移动设备保护您的文档免受内部人员的侵害,或者检测到有人用敏感数据拍摄显示器或白板的照片,但您应该制定一项政策,禁止在建筑物中使用相机。

网络隔离

网络分段涉及将网络分成称为区域的逻辑或功能单元。可以为每个区域分配不同的数据分类规则,设置适当的安全级别并进行相应的监控。分段将妥协的潜在损害限制在单个区域。从本质上讲,它将一个目标分成多个目标,给攻击者留下了两种选择:将每个段视为一个单独的网络,或者破坏一个并尝试跨越鸿沟。这两种选择都没有吸引力。将每个段视为一个单独的网络会产生大量额外的工作,因为攻击者必须单独破坏每个段;这种方法还极大地增加了攻击者被发现的风险。尝试从受损区域跳到其他区域是很困难的,因为如果分段设计得当,然后可以限制它们之间的网络流量。总是有例外情况必须允许通过,例如与域服务器通信以进行集中帐户管理,但这种有限的流量更容易表征。

视频监控

通过带有运动传感器和夜视功能的摄像机监控公司中的所有关键设施,对于发现未经授权的人试图通过直接访问您的文件服务器、档案或备份来窃取您的数据,以及发现有人拍摄敏感数据的照片至关重要限制区域。

锁定和回收

在无人看管之前,您的工作区和任何设备都应该是安全的。例如,检查门、办公桌抽屉和窗户,不要将文件留在办公桌上。所有敏感数据的硬拷贝都应该被锁定,然后在不再需要时完全销毁。此外,切勿共享或复制访问密钥、身份证、锁码等。
在丢弃或回收磁盘驱动器之前,请彻底清除其中的所有信息并确保数据不再可恢复。旧硬盘和其他包含关键信息的IT设备应被物理销毁;指派特定的IT工程师亲自控制此过程。

5.实施变更管理和数据库审计。

另一项安全措施是记录所有数据库和文件服务器活动。登录活动必须保持至少一年以进行安全审计。任何超过最大失败登录尝试次数的帐户都应自动报告给信息安全管理员进行调查。能够发现敏感信息和相关权限的更改至关重要。使用历史信息来了解哪些数据是敏感的、如何使用、谁在使用它以及它的去向,使您能够在第一时间制定有效和准确的策略,并预测环境中的变化可能如何影响安全性。此过程还可以帮助您识别以前未知的风险。有一些第三方工具可以简化用户活动的变更管理和审计,例如网络审计员。

6.使用数据加密。

加密是最基本的数据安全最佳实践之一,但它经常被忽视。无论是通过便携式设备还是通过网络,所有关键业务数据都应在静止或传输中进行加密。如果便携式系统将保存任何类型的重要数据,则应使用加密磁盘解决方案。
对于存储关键或专有信息的桌面系统,加密硬盘驱动器将有助于避免关键信息的丢失,即使存在漏洞并且计算机或硬盘驱动器丢失也是如此。例如,在Windows系统上加密数据的最基本方法是加密文件系统(EFS)技术。如果您使用EFS保护数据,未经授权的用户即使拥有设备的完全访问权限,也无法查看文件的内容。当授权用户打开加密文件时,EFS在后台解密文件并向应用程序提供未加密的副本。授权用户可以查看或修改文件,EFS将更改透明地保存为加密数据。如果未经授权的用户尝试这样做,他们会收到拒绝访问错误。
Microsoft的另一种加密技术是BitLockerBitLocker通过为存储在Windows设备上的数据提供额外的保护层来补充EFSBitLocker可保护丢失或被盗的设备免遭数据盗窃或泄露,并在您停用设备时提供安全的数据处理。

基于硬件的加密

除了基于软件的加密之外,还可以应用基于硬件的加密。在某些BIOS配置菜单的高级配置设置中,您可以选择启用或禁用可信平台模块(TPM)TPM是一种可以存储加密密钥、密码或证书的芯片。TPM可用于协助生成散列密钥并保护智能手机和除PC以外的设备。它还可以用于生成与整个磁盘加密一起使用的值,例如上面描述的BitLockerTPM芯片可能安装在主板上。

7.备份数据。

应复制关键业务资产以提供冗余并用作备份。在最基本的层面上,服务器的容错意味着数据备份。备份只是数据的定期存档,因此如果服务器出现故障,您可以检索数据。从安全的角度来看,我们关注三种主要的备份类型:
  • 完整所有数据都已存档。

  • 差异自上次完整备份以来的所有更改都已存档。

  • 增量自上次备份以来的任何类型的所有更改都被存档。

完全备份

完全备份是最好的备份策略,但它也有缺点。考虑一个场景,您每天凌晨1点进行完整备份。您担心在下一次完整备份之前服务器崩溃的可能性,因此您也希望每两个小时进行一次备份。您应该选择哪种类型的备份?让我们考虑每个选项以及如果系统在凌晨5:10崩溃会发生什么如果您从凌晨1点开始每两小时进行一次完整备份,那么当系统在凌晨5:10崩溃时,您只需要恢复500am完全备份。但是,每两小时运行一次完整备份非常耗时且占用大量资源,并且会对服务器性能产生显着的负面影响。

差异备份

在这种情况下,您在凌晨1点执行完整备份,然后每两小时执行一次差异备份。当系统在凌晨510分崩溃时,您必须从凌晨1点恢复完整备份,从早上5点恢复差异备份。这比恢复完整备份只需多一步。但是请记住,每次执行差异备份时,差异备份都会变得更大,因此会更加耗时和资源密集。尽管它们的影响不如完整备份那么大,但它们仍会减慢您的网络速度。

增量备份

在这种情况下,您在凌晨1点进行一次完整备份,然后每两小时进行一次增量备份。当系统在凌晨510分崩溃时,您需要恢复在凌晨1点完成的最后一次完整备份,然后是此后的每个增量备份-并且必须按顺序恢复它们。这是一项复杂得多的任务,但每个增量备份都很小,并且不需要太多时间或资源来创建。
对于要使用的备份,没有一个正确的选择。正确的选择取决于您组织的需求。无论您选择何种备份策略,都必须定期对其进行测试。测试备份策略的唯一有效方法是将备份数据恢复到测试机器。最佳实践之一是将备份存储在地理位置不同的地方,以防止诸如自然灾害或事故(例如飓风、火灾或硬盘故障)等灾难破坏企业的IT核心。备份应该在多个磁盘和服务器上以不同的时间安排(每天、每周和每月)增量执行。最好,这些增量备份应该保存一个基本副本,并且每次修改都应该只反映对基本副本的更改,或者与之前的版本非常匹配。

数据安全:14 个有关大数据安全实践参考

8.在服务器上使用RAID。

RAID是容错的基本工具,有助于防止数据破坏和系统停机。RAID是独立磁盘的冗余阵列。RAID允许您的服务器拥有多个硬盘驱动器,因此如果主硬盘驱动器出现故障,系统仍可继续运行。此处描述了主要的RAID级别:
  • RAID0(条带磁盘)数据分布在多个磁盘上的方式可以在任何给定时刻提供更高的速度(读/写性能),但不提供任何容错能力。至少需要两个磁盘。

  • RAID1——这个RAID级别引入了容错,因为它镜像了磁盘的内容;它也称为镜像。对于操作所需的每个磁盘,系统中都有一个相同的磁盘。至少需要两个磁盘,总容量的50%用于数据,另外50%用于镜像。例如,具有两个硬盘驱动器的服务器将能够存储与其中一个磁盘大小相等的数据。使用RAID1,如果主驱动器出现故障,系统将继续在备份驱动器上运行。如果向系统添加另一个控制器,它仍然是RAID1,但现在称为双工。

  • RAID34(具有专用奇偶校验的条带磁盘)RAID级别涉及三个或更多磁盘,数据分布在磁盘上。一个专用磁盘用于存储奇偶校验信息,因此阵列的存储容量减少了一个磁盘。如果磁盘发生故障,则只会丢失部分数据。保留在其他磁盘上的数据以及奇偶校验信息允许恢复数据。

  • RAID5(具有分布式奇偶校验的条带磁盘)RAID级别组合了三个或更多磁盘,以保护数据免受任何一个磁盘丢失的影响。它类似于RAID3,但奇偶校验分布在驱动器阵列中。这样,您就不会分配整个磁盘来存储奇偶校验位。

  • RAID6(具有双奇偶校验的条带磁盘)RAID级别组合了四个或更多磁盘,以防止数据丢失任何两个磁盘。它通过向RAID5添加一个额外的奇偶校验块来实现这一点。每个奇偶校验块分布在驱动器阵列中,因此奇偶校验不专用于任何特定驱动器。

  • RAID1+0(或10——这个RAID级别是一个镜像数据集(RAID1),然后是条带化(RAID0),这就是“1+0”名称的原因。把它想象成一条镜子RAID1+0阵列至少需要四个驱动器:两个镜像驱动器用于保存一半的条带数据,另外两个镜像驱动器用于保存另一半数据。

  • RAID0+1RAID级别与RAID1+0相反。在这里,条纹是镜像的。RAID0+1阵列至少需要四个驱动器:两个镜像驱动器用于复制RAID0阵列上的数据。

9.使用集群和负载均衡。

RAID在保护系统上的数据方面做得非常出色(然后您可以通过定期备份进一步保护这些数据),但有时您需要超越单个系统。连接多台计算机以作为单个服务器一起工作称为集群。集群系统利用并行处理,这提高了性能和可用性,并增加了冗余(但也增加了成本)。
高可用也可以通过负载均衡来获得。这允许您将工作负载拆分到多台计算机上。这些计算机通常是响应HTTP请求的服务器(通常称为服务器场),它们可能位于也可能不在同一地理位置。如果您拆分位置,这称为镜像站点,镜像副本可以添加地理冗余(允许更快地响应请求)并有助于防止停机。

10.强化系统。

任何敏感数据可能驻留的地方,即使是暂时的,都应该根据系统可能访问的信息类型得到充分保护。这将包括所有可以通过具有重要权限的远程连接获得内部网络访问的外部系统,因为网络仅与最薄弱的链接一样安全。但是,可用性仍然是一个考虑因素,并且必须确定功能和安全性之间的适当平衡。

基准操作系统

确保系统安全的第一步是确保操作系统的配置尽可能安全。开箱即用,大多数操作系统都运行着不需要的服务,这些服务只会为攻击者提供额外的妥协途径。唯一应该启用的程序和监听服务是那些对您的员工完成工作至关重要的程序和监听服务。如果某些东西没有商业目的,则应该禁用它。创建用于典型员工的安全基线映像操作系统也可能是有益的。如果有人需要额外的功能,这些服务或程序将根据具体情况启用。WindowsLinux操作系统各有其独特的强化配置。

Windows

Windows是迄今为止消费者和企业使用的最流行的操作系统。但正因为如此,它也是最具针对性的操作系统,几乎每周都会公布新的漏洞。在不同的组织中使用了许多不同的Windows版本,因此这里提到的一些配置可能无法转化为所有这些配置。以下是为增强安全性应采取的一些措施:
  • 禁用LanMan身份验证。

  • 确保所有帐户都有密码,无论帐户是启用还是禁用。

  • 禁用或限制网络共享的权限。

  • 删除所有不需要的服务,尤其是telnetftp,它们是明文协议。

  • 启用重要系统事件的日志记录。

您可以在此WindowsServer强化清单中找到更多Windows强化最佳实践。

Linux

Linux操作系统近年来变得越来越流行。尽管有人声称它比Windows更安全,但仍然必须做一些事情来正确地强化它:
  • 禁用不必要的服务和端口。

  • 禁用“r命令使用的信任身份验证。

  • 禁用不必要的setuidsetgid程序。

  • 仅为必要的用户重新配置用户帐户。

网络服务器

Web服务器是攻击者最喜欢利用的领域之一,因为它们的范围很广。如果攻击者能够访问流行的Web服务器并利用那里的弱点,他们就有机会接触到访问该站点及其数据的数千甚至数十万用户。通过以Web服务器为目标,攻击者可以影响来自用户Web浏览器的所有连接,并造成远远超出他们所破坏的一台计算机的伤害。
Web服务器最初设计简单,主要用于提供HTML文本和图形内容。现代网络服务器允许数据库访问、聊天功能、流媒体和许多其他服务;这种多样性使网站能够为访问者提供丰富而复杂的功能。网站上支持的每项服务和功能都可能成为被利用的目标。确保它们符合最新的软件标准。您还必须确保您只授予用户完成任务所需的权限。如果用户通过匿名帐户访问您的服务器,那么常识要求您必须确保匿名帐户具有查看网页所需的权限,仅此而已。
Web服务器的两个特别感兴趣的领域是过滤器和控制对可执行脚本的访问。过滤器允许您限制允许通过的流量。将流量限制在您的业务所需的流量可以帮助抵御攻击。一组好的过滤器也可以应用于您的网络,以防止用户访问与业务相关的站点以外的站点。这不仅提高了生产力,而且还降低了用户从可疑站点获取病毒的可能性。
可执行脚本,例如用PHPPython、各种Java和通用网关接口(CGI)脚本编写的脚本,通常以提升的权限级别运行。在大多数情况下,这不是问题,因为用户在执行结束时会返回到他们的常规权限级别。但是,如果用户可以在提升的级别跳出脚本,则会出现问题。从管理员的角度来看,最好的做法是验证服务器上的所有脚本是否都经过了彻底的测试、调试和批准使用。

电子邮件服务器

电子邮件服务器为许多企业提供通信骨干。它们通常作为服务器上的附加服务或作为专用系统运行。在电子邮件服务器上安装主动病毒扫描程序可以减少引入网络的病毒数量并防止病毒通过电子邮件服务器传播。不过值得注意的是,大多数扫描仪无法读取Microsoft的打开文件。要扫描Exchange邮件存储,您需要特定的电子邮件AV扫描仪,其中一些甚至会尝试检测网络钓鱼,这种技术基于机器学习引擎,具有很好的对抗社会工程攻击的前景。
电子邮件服务器正被试图使用它们发送垃圾邮件的自动化系统所淹没。大多数电子邮件服务器已采取措施防止这种情况发生。然而,威胁正变得越来越复杂。您可以通过在路由器的ACL拒绝列表中输入TCP/IP地址来减少这些访问系统的尝试。这样做会导致您的路由器忽略来自这些IP地址的连接请求,从而有效提高您的安全性。此类措施也可以通过垃圾邮件过滤器来完成。

FTP服务器

文件传输协议(FTP)服务器因其固有的弱点而不适用于高安全性应用程序。大多数FTP服务器允许您在系统上的任何驱动器上创建文件区域。您应该在系统上创建一个单独的驱动器或子目录以允许文件传输。如果可能,对FTP类型的活动使用虚拟专用网络(VPN)或安全外壳(SSH)连接。FTP的安全性并不突出,许多FTP系统通过网络发送未加密的帐户和密码信息。FTP是经常用于利用系统的工具之一。
从操作安全的角度来看,您应该使用单独的登录帐户和密码进行FTP访问。这样做将防止系统帐户被泄露给未经授权的个人。此外,请确保对存储在FTP服务器上的所有文件进行病毒扫描。
您应该始终禁用匿名用户帐户。为了使FTP更容易使用,大多数服务器默认允许匿名访问。但是,从安全角度来看,您最不希望的事情是允许匿名用户将文件复制到您的服务器或从您的服务器复制文件。禁用匿名访问需要用户是已知的、经过身份验证的用户才能访问FTP服务器。
保护FTP的最佳方法是完全替换它。在安全文件传输协议(SFTP)等更安全的服务中可以找到相同的功能。

11.应用适当的补丁管理策略。

确保驻留在IT环境中的所有应用程序版本都是最新的并非易事,但它对于数据保护至关重要。确保安全的最佳方法之一是使防病毒签名和系统补丁更新自动进行。对于关键基础设施,需要对补丁进行彻底测试,以确保不影响功能,也不会将漏洞引入系统。您需要为您的操作系统和应用程序制定修补策略。

操作系统补丁管理

操作系统补丁分为三种类型,每种都有不同的紧急程度。
  • 修补程序修补程序是一个即时且紧急的补丁。一般来说,这些代表严重的安全问题,不是可选的;它们必须应用于系统。

  • 补丁——补丁提供了一些额外的功能或非紧急修复。这些有时是可选的。

  • 服务包服务包是迄今为止的一组修补程序和补丁。这些应始终应用,但首先对其进行测试以确保更新不会引起任何问题。

应用补丁管理

正如您需要使操作系统补丁保持最新,因为它们经常修复在操作系统中发现的安全问题,您也需要对应用程序补丁执行相同的操作。一旦已知应用程序中的漏洞利用,攻击者就可以利用它进入或破坏系统。大多数供应商都会定期发布补丁,您应该定期扫描任何可用的补丁。今天的大量攻击都针对客户端系统,原因很简单,客户端并不总是能很好地管理应用程序补丁。建立维护日,您将在其中测试和安装所有关键应用程序的补丁。

数据安全:14 个有关大数据安全实践参考


12.保护数据免受内部威胁。
组织继续花费大量时间和金钱来保护外围网络免受外部攻击;然而,内部威胁正在成为数据泄露的一个关键原因。许多调查显示,内部事件占所有攻击的60%以上;但是,许多组织由于担心业务损失和声誉受损而不会报告内部攻击。

内部威胁有两种形式。授权的内部威胁是指意外、故意或他的凭据被盗而滥用其权利和特权的人。未经授权的内部人员是连接到外围防御背后网络的人。这可能是插入大厅或会议室插孔的人,或者使用连接到内部网络的未受保护的无线网络的人。内部攻击可能导致数据丢失或停机,因此监控网络中的活动与监控外围活动同样重要。

内部人员使用远程访问

远程访问公司网络也变得司空见惯。用户在家工作的速度越来越快,因此保护用于远程访问的连接至关重要。远程连接时,强身份验证至关重要。同样重要的是,用户用于远程访问网络的机器也得到适当的保护。此外,应正确记录远程会话,甚至录制视频。
13.使用端点安全系统保护数据。
网络的端点不断受到攻击,因此拥有端点安全基础设施来处理它们对于防止数据泄露至关重要。未经授权的程序和高级恶意软件(如rootkit)是端点安全策略中需要考虑的一些因素。随着移动设备使用量的增加,网络的端点正在扩展并且变得越来越不确定。驻留在端点系统上的自动化工具对于减轻恶意软件的有效性至关重要。至少,您应该使用以下技术:

防毒软件

应在所有服务器和工作站上安装防病毒软件并保持最新状态。除了对传入文件的主动监控外,还应定期进行扫描以捕获任何漏掉的感染,例如勒索软件。

反间谍软件

反间谍软件和反广告软件工具旨在删除或阻止间谍软件。间谍软件是在用户不知情的情况下安装的计算机软件。通常它的目标是找出更多关于用户行为的信息并收集个人信息。反间谍软件工具的工作方式与防病毒工具非常相似。它们的许多功能重叠。一些反间谍软件与防病毒软件包结合使用,而其他程序则作为独立程序提供。无论您使用哪种类型,您都必须定期查找间谍软件,通常通过主机上存在跟踪cookie来识别,并删除任何已安装的间谍软件。

弹出窗口拦截器

弹出窗口不仅令人讨厌;它们是一种安全威胁。弹出窗口(包括背后弹出窗口)代表系统上运行的不需要的程序,因此它们可能会危及系统的运行状况。

基于主机的防火墙

个人防火墙是安装在网络中每台计算机上的基于软件的防火墙。它们的工作方式与较大的边界防火墙非常相似——它们过滤掉某些数据包以防止它们离开或到达您的系统。对个人防火墙的需求经常受到质疑,尤其是在具有大型专用防火墙的企业网络中,这些防火墙可以防止潜在的有害流量到达内部计算机。但是,该防火墙无法阻止内部攻击,这种攻击很常见,而且通常与来自Internet的攻击大不相同;源自专用网络的攻击通常由病毒进行。因此,无需禁用个人防火墙,只需根据组织的需要配置标准个人防火墙,然后将这些设置导出到其他个人防火墙。

基于主机的IDS

入侵检测系统(IDS)也可用于单个主机。主机IDS将仅监控计算系统的内部。基于主机的IDS将查看系统状态并检查其内容是否符合预期。大多数基于主机的IDS使用完整性验证,其工作原理是大多数恶意软件在传播时会尝试修改主机程序或文件。完整性验证尝试确定哪些系统文件被意外修改。它以加密哈希的形式计算指纹,当系统处于已知的干净状态时,这些文件需要被监控。然后它会扫描并在受监控文件的指纹发生变化时发出警报。完整性验证的主要问题是它在事后检测到恶意软件感染并且不会阻止它。

数据安全:14 个有关大数据安全实践参考

14.执行漏洞评估和网络安全渗透测试。

漏洞评估通常包括端口扫描器和漏洞扫描工具,例如nmapOpenVasNessus。这些工具从外部机器扫描环境,寻找开放端口和这些服务的版本号。测试结果可以与端点系统上应该存在的已知服务和补丁级别进行交叉引用,从而允许管理员确保系统遵守端点安全策略。
渗透测试是测试计算机系统、网络或Web应用程序以发现攻击者可以利用的安全漏洞的做法。渗透测试可以通过软件应用程序自动化或手动执行。渗透测试的主要目标是识别安全漏洞。渗透测试还可用于测试组织的安全策略、对合规性要求的遵守情况、员工的安全意识以及组织提供安全事件响应和识别的能力。组织应定期执行渗透测试——最好是每年一次——以确保更一致的网络安全和IT管理。以下是安全专业人员使用的几种主要渗透测试策略:
  • 目标测试由组织的IT团队和渗透测试团队共同执行。它有时被称为开灯方法,因为每个人都可以看到正在进行的测试。

  • 外部测试针对公司外部可见的服务器或设备,包括域服务器、电子邮件服务器、Web服务器或防火墙。目标是查明外部攻击者是否可以进入,以及一旦获得访问权限,他们可以走多远。

  • 内部测试由具有标准访问权限的授权用户在防火墙后面执行内部攻击。这种测试对于估计普通员工可能造成的损害非常有用。

  • 测通过严格限制提供给执行测试的人员或团队的信息来模拟真实攻击者的行为和程序。通常,渗透测试人员只知道公司的名称。

  • 双盲测试比盲测更进一步——组织内只有一两个人可能知道正在进行测试。

  • 黑盒测试与盲测基本相同,但测试人员在测试发生之前没有收到任何信息。相反,渗透测试人员必须找到自己的方式进入系统。

  • 白盒测试在渗透测试人员开始工作之前为他们提供有关目标网络的信息。这些信息可以包括IP地址、网络基础架构示意图、正在使用的协议等。

结论

如前所述,数据保护包含许多主题和领域。对于优秀的网络管理员和安全专业人员来说,保持所有安全工具处于最新状态并使用良好的策略管理至关重要。有这么多需要执行的策略和需要更新的应用程序,这对于任何安全团队来说似乎都是一项艰巨的挑战。
数据保护的另一个挑战是尽量减少对最终用户的影响。不幸的是,防病毒软件、个人防火墙和威胁检测系统等程序往往会占用重要最终用户功能的带宽和处理能力。出于这个原因,在决定使用哪些程序来保护最终用户时,应仔细查看程序使用的内存占用量及其内存利用率。

原文始发于微信公众号(祺印说信安):数据安全:14 个有关大数据安全实践参考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日13:45:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数据安全:14 个有关大数据安全实践参考https://cn-sec.com/archives/985774.html

发表评论

匿名网友 填写信息