火星链 火星链
Ctrl+D收藏火星链
首页 > BNB价格 > 正文

DPR:如何构建网络安全战略体系

作者:

时间:1900/1/1 0:00:00

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全至关重要。

安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。

安全培训

人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训操作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。

然而,即便是有强大的网络安全控制措施,所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节,但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”,很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地,企业也有责任执行维护网络安全的基本要求,例如保持强大的身份验证实践,以及不将敏感数据存储在可以公开访问的地方。

恒生电子:联盟链的创新空间应集中在如何更好地服务中小和小微企业方面:金色财经报道,6月23日,恒生电子区块链发展部运营经理林晗做客金色财经举办的“联盟链-创新场景应用的偶然与必然”为主题的金色沙龙第64期活动。林晗表示中国的区块链研究和专利成果,从一开始就比较集中在区块链技术的应用和落地,也就是产业区块链方面。现阶段联盟链适用于与具体细分产业相结合的场景,比如说产业金融领域,例如产业金融区块链平台范太链。联盟链的创新空间应是集中如何利用区块链解决小微企业的信任问题、更好提升小微企业运营效率来开展。因为区块链能解决的一个核心痛点是信任问题,与本身就具有信任背书能力的大企业相比,在产业中往往是小企业才需要解决信任问题。区块链作为一种划时代意义的记账技术,其最大的价值是应该被用来与实体产业结合,促进社会发展。[2021/6/23 0:00:23]

然而,一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言,攻击者入侵系统的方式或“向量”数正在不断扩张。例如,随着信息和现实世界的日益融合,犯罪分子和国家间谍组织正在威胁物理网络系统的ICA,如汽车、发电厂、医疗设备,甚至你的物联网冰箱。同样地,云计算的普及应用趋势,自带设备办公以及物联网的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。

声音 | Circle首席执行官:加密和区块链产业是对公民社会最终如何运作基础的再设计:据Cointelegraph消息,Circle首席执行官Jeremy Allaire在世界银行集团和国际货币基金组织(IMF)2019年春季会议上表示,加密和区块链产业是对公民社会最终如何运作的基础根本性的重新设计。Allaire认为,加密和区块链产业不仅关乎数字支付,还关乎一种新的基础设施,用于记录重要信息,并为构建解决方案提供一个更加去中心化、更具弹性的基础。[2019/4/12]

网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》这样严格的监管框架还要求赋予新的角色,以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。

如此一来,对于网络安全专业人才的需求开始进一步增长,招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是,对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。

网络安全类型

网络安全的范围非常广,但其核心领域主要如下所述,对于这些核心领域任何企业都需要予以高度的重视,将其考虑到自身的网络安全战略之中:

1.关键基础设施

关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。

现场 | 降维安全CTO:交易所应该如何保护数字资产:12月16日,由ChainUP主办,节点资本等联合主办的“Future BlockChain”全球行活动在韩国举办。降维安全CTO在会议中表示,交易所主要面临Hacker、恶意量化团队、恶意用户、恶意项目方这些外部攻击。具体到黑客攻击有以下四点:DoS勒索、Web渗透/APT社会工程学攻击以及利用区块链项目自身的漏洞进行攻击。据降维安全统计,交易所应用(不涉及期货合约)风险,共有5大类,14个子类,68个风险点。他表示:专业的事情应该交给专业的人做,选择专业的交易所系统和专业的安全服务商,非常重要。[2018/12/16]

2.网络安全

网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如,访问控制对于安全而言可能是必要的,但它同时也会降低生产力。

用于监控网络安全的工具会生成大量的数据,但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量,并实时生成威胁警告。

3.云安全

越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如,2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具,以帮助企业用户能够更好地保护他们的数据,但是需要提醒大家的是:对于网络安全而言,迁移到云端并不是执行尽职调查的灵丹妙药。

声音 | 肖磊:区块链监管如何“去糟粕而留精华”存在挑战:据腾讯科技报道,肖磊发表专栏文章称,虚拟币市场有其特殊性,这可能会给监管带来一定的挑战和困扰。由于虚拟币这个概念,实际上来自于其底层技术“区块链”,如果站在监管层的角度,其中一个考虑是,去糟粕而留精华,把炒作虚拟币这个糟粕去掉,而留下“区块链”这个精华,这个可能会存在很大的挑战。[2018/8/23]

4.应用安全

应用程序安全,尤其是Web应用程序安全已经成为最薄弱的攻击技术点,但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始,并通过模糊和渗透测试来增强。

应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上,考虑到威胁的扩散,这个关注点可能会发生变化。

5.物联网安全

物联网指的是各种关键和非关键的物理网络系统,例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态,且几乎不提供安全补丁,这样一来不仅会威胁到用户,还会威胁到互联网上的其他人,因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。

Digital Asset建筑与技术战略首席技术官:对于智能合约 如何将资产与外部系统整合非常重要:据coindesk消息,区块链初创公司Digital Asset的建筑与技术战略首席技术官Shaul Kfir在Synchronize 2018会议上举例美国财政部的回购国债,表示1亿美元是一个小型交易,这是一个非常适合智能合同用例。在现实世界中,资产始终会被创造和摧毁。如何将资产与外部系统整合的问题非常重要。对于智能合约来说,最好的例子是“当人们想拥有这个逻辑上集中的IT系统,但是不希望它实际上是中心化的时候,任何时候在多个设备上都有一个工作流程。[2018/4/20]

网络威胁类型

常见的网络威胁主要包括以下三类:

保密性攻击

很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取、军事或经济利益方面的机密信息。

完整性攻击

一般来说,完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏,也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。

可用性攻击

阻止目标访问数据是如今勒索软件和拒绝服务攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务攻击向目标发送大量的请求占用网络资源,使网络资源不可用。

这些攻击的实现方式:

1.社会工程学

如果攻击者能够直接从人类身上找到入口,就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件,是排名第一的攻击手段。通过社会工程手段能够诱最终用户运行木马程序,这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。

2.网络钓鱼攻击

有时候盗取别人密码最好的方法就是诱他们自己提供,这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证成为最佳防护措施的原因——如果没有第二个因素,那么盗取到的密码对攻击者而言将毫无意义。

3.未修复的软件

如果攻击者对你发起零日漏洞攻击,你可能很难去责怪企业,但是,如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间,而企业仍旧没有安装安全补丁程序,那么就难免会被指控疏忽。所以,记得补丁、补丁、补丁,重要的事说三遍!

4.社交媒体威胁

“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒,通过精心编造一个优质的网络身份,目的是为了给他人留下深刻印象,尤其是为了吸引某人与其发展恋爱关系。不过,Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式,并发起与你工作有关的谈话,您会觉得奇怪吗?正所谓“口风不严战舰沉”,希望无论是企业还是国家都应该加强重视社会媒体间谍活动。

5.高级持续性威胁

其实国家间谍可不只存在于国家以及政府组织之间,企业中也存在此类攻击者。所以,如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏,请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务,那么您就需要考虑自己公司的安全状况,以及如何应对复杂的APT攻击了。在科技领域,这种情况尤为显著,这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。

网络安全职业

执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过,包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升,安全部门领导人已经开始跻身C级管理层和董事会。现在,首席安全官或首席信息安全官已经成为任何正规组织都必须具备的核心管理职位。

此外,角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今,渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制。以下是安全团队中的一些基本角色:

1.首席信息安全官/首席安全官

首席信息安全官是C级管理人员,负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外,首席信息安全官还负责指导和管理战略、运营以及预算,以确保组织的信息资产安全。

2.安全分析师

安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:

计划、实施和升级安全措施和控制措施;

保护数字文件和信息系统免受未经授权的访问、修改或破坏;

维护数据和监控安全访问;

执行内/外部安全审计;

管理网络、入侵检测和防护系统;分析安全违规行为以确定其实现原理及根本原因;

定义、实施和维护企业安全策略;

与外部厂商协调安全计划;

3.安全架构师

一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同,但它也是一位高级职位,主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。

4.安全工程师

安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位,其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。

标签:APT比特币DPRAPT价格APT币比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势DPR币DPR价格

BNB价格热门资讯
BCH:分叉币新玩法兴起 币圈人士:多数IFO风险超ICO

  2017年9月,央行等七部门联合发布了《关于防范代币发行融资风险的公告》,将ICO定性为未经批准非法公开的融资,涉嫌非法发售代币票券、非法发行证券以及非法集资、金融、等违法犯罪活动.

1900/1/1 0:00:00
FTT:川普对韩砍最狠一刀:自贸协议谈不妥 美国就从半岛撤军

2017年底,川普访问韩国《华盛顿邮报》3月14日报道称,美国总统特朗普发表言论暗示称,为了解决韩国贸易逆差问题,不排除利用驻韩美军的可能.

1900/1/1 0:00:00
比特币:什么是比特币挖矿机?比特币挖矿机原理是什么?

虽然很多投资者对比特币挖矿一窍不通,但是依然禁不住比特币价格的诱惑,纷纷计划投入到挖矿大军的阵营当中.

1900/1/1 0:00:00
数字货币:以特币:限量的数字黄金 安全高效的未来财富

在经济全球化的数字时代,各国的经济的风向也有了新的变化。阿里之风在我国盛行,越来越多的人慢慢习惯并乐于接受科技带来的变化、变化带来的便捷,不论男女老少纷纷使用起了线上支付、虚拟货币等新新事物来满.

1900/1/1 0:00:00
ETW:学霸揭秘考试套路:考,抓住这五个技巧,必定高考!

满分状元揭秘考试套路:考,如抓住这5个技巧,必定高分!学生们都经历了很多次考试了,大概很多学生都已经察觉到了,考试中很多题型都有“套路”.

1900/1/1 0:00:00
数字货币:“狗狗币”市值突破20亿美元!没错,就是大家熟知的那个Doge

说起数字货币,大家基本上都会首先想到“比特币”。但你知道除了“比特币”之外,世界上还有一种叫“狗狗币”的数字货币吗?没错,就是那个Doge,大家所熟知的表情包元祖…… “狗狗币”标志: 据福布斯.

1900/1/1 0:00:00