前言
本文是国外人通过不同篇章,系列化的讲述合规性和网络安全的关系的文章,整理过来也是为了让大家在工作中多一种看法,同时发现中外共通之处。
网络安全合规计划的技术要素
网络安全一词之所以被广泛使用,是因为它涵盖了如此多的风险。网络安全以及该术语中包含的技术要素没有通用的定义。从技术角度来看,网络安全涵盖多种类型和层次的技术保护。
公司需要识别和了解其信息技术基础设施的元素,包括特定类型的设备和用途。目标是识别可能允许网络钓鱼攻击发生或允许黑客未经授权访问公司 IT 系统或云应用程序的风险区域。此过程的困难在于识别可能被黑客利用的网络漏洞以及他们用来获得未经授权的访问的不同工具。
-
应用安全
-
信息安全
-
灾难恢复规划
-
网络安全
-
端点/用户安全
-
应用程序安全是对软件应用程序的保护。错误配置安全设置的企业可能会导致云帐户数据泄露。依赖主要云服务的公司必须设计其安全设置。造成这种错误配置的原因有很多:
在这一领域,多因素控制和管理权限是加强应用程序安全性和防止应用程序遭到破坏的关键步骤。
信息安全是为保护公司内部数据以及从客户、客户和供应商收集的数据而采取的措施。在数据方面,公司必须遵循严格的安全标准来保护个人身份数据。此类数据的重要性可能取决于特定行业,因为个人健康信息、财务数据和其他敏感类型的业务相关数据存在特定的数据风险。为了了解风险,公司必须检查他们如何收集、存储和传输数据。为了保护数据,公司将采用加密和其他策略来保护数据免遭可能的泄露。
灾难恢复保护包括两个重要功能:
在这一领域,公司必须实施备份和恢复系统、事件响应演习和端点保护。
网络安全涵盖对公司物理网络和网络中使用的设备的保护。大多数公司使用防火墙来监控传入和传出流量是否存在网络威胁和攻击。此外,公司必须保护其无线网络并确保远程连接经过加密。网络安全的重点是保护系统,确保只有授权用户才能访问,并检测可能的异常或网络入侵。
最终用户安全通常称为端点安全。这包括保护员工使用的设备。鉴于网络钓鱼攻击的盛行,公司必须关注这一重要领域,因为黑客通常通过端点(例如员工笔记本电脑或移动设备)获得未经授权的访问。最终用户安全通常包括:
原文始发于微信公众号(河南等级保护测评):合规性和网络安全探讨四篇整合
评论