安全文化(圖片來自網(wǎng)絡(luò))

二、教育、測試、重復(fù)。單位和終端用戶必須共同承擔(dān)責(zé)任。在最近召開的RSA大會(huì)上，曾為著名黑客的 Kevin Mitnick反復(fù)強(qiáng)調(diào)，社會(huì)工程仍是最容易讓安全意識(shí)滲透一家公司的手段。實(shí)際上，許多高級(jí)持久威脅(APT)都涉及使用Spear Phishing網(wǎng)絡(luò)釣魚方式，捕獲安全意識(shí)缺乏的員工，來損害網(wǎng)絡(luò)。因此，不要停止對(duì)員工進(jìn)行教育。必須定期在員工最沒有想到的時(shí)候?qū)T工進(jìn)行測試(并讓他們意識(shí)到缺失)，加強(qiáng)正確行為方式的建立。

三、建立易于理解的BYOD規(guī)定。不要依靠用戶破譯“安全語言”。例如“要確保你的設(shè)備安裝有我們公司強(qiáng)制安裝的軟件。你可按如此步驟從這個(gè)地點(diǎn)下載并安裝。”

四、執(zhí)行訪問控制策略。應(yīng)依靠身份、背景和規(guī)定對(duì)資源進(jìn)行保護(hù)。如果系統(tǒng)不能確定用戶的身份，如果不符合合規(guī)標(biāo)準(zhǔn)(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必備軟件(如防病毒軟件)，就不允許設(shè)備訪問資源。根據(jù)所處地點(diǎn)和連接是否加密等因素通過對(duì)訪問進(jìn)行限制來應(yīng)用背景。

常見的全局訪問控制政策

五、使補(bǔ)救過程自動(dòng)化。通過將大多數(shù)補(bǔ)救過程自動(dòng)化盡可能簡單地使用戶能確保設(shè)備合規(guī)。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟件。這可利用身份分配和配置管理技術(shù)來實(shí)現(xiàn)。

六、利用安全信息和事件管理工具進(jìn)行監(jiān)控。利用可提供身份綁定的審計(jì)和控告智能的安全信息和事件管理(SIEM)解決方案對(duì)所有在公司網(wǎng)絡(luò)上訪問資源的設(shè)備進(jìn)行監(jiān)控。在一個(gè)充滿部分可信、潛在受損設(shè)備的環(huán)境下，具備洞察力是首要的，而事件響應(yīng)時(shí)間則是關(guān)鍵性的。

安全信息和事件管理工具結(jié)構(gòu)圖

七、使用具有擔(dān)保層級(jí)的身份聯(lián)盟。通過跨分區(qū)將用戶身份進(jìn)行聯(lián)盟并依靠信任級(jí)別執(zhí)行訪問控制，在具有許多身份來源的環(huán)境中以一種安全的、基于標(biāo)準(zhǔn)的方式降低操作成本。作為一個(gè)例子，我們來考慮員工內(nèi)部身份和他們的在線身份之間有重疊的問題。使用自己設(shè)備的用戶通常已經(jīng)登錄到他們的在線帳戶中(如微博)，為保證易于使用和透明的一次登錄，安全策略可以實(shí)施為支持多個(gè)擔(dān)保層級(jí)。如果某員工已經(jīng)登錄到微博，內(nèi)部應(yīng)用可利用那個(gè)身份，但給他較低的信任級(jí)別。這樣，員工就可使用其微博資格訪問內(nèi)聯(lián)網(wǎng)非敏感部分。但如果想訪問公司的電子郵件，他就需要提供員工資格從而執(zhí)行更高一級(jí)的擔(dān)保，即該員工是他所聲稱的這個(gè)人。

八、提供安全設(shè)備。為員工提供他們所選擇的設(shè)備并確保這些設(shè)備裝載了要求的軟件和控制。這為單位和個(gè)人提供了一個(gè)雙贏局面。員工使用自己選擇的設(shè)備無需付錢，并可以安全和合規(guī)的方式訪問公司環(huán)境。

九、控制從設(shè)備的訪問。當(dāng)通過非標(biāo)準(zhǔn)設(shè)備進(jìn)行檢索時(shí)要確保對(duì)敏感數(shù)據(jù)的訪問得到控制。例如，可通過提供遠(yuǎn)程會(huì)話允許員工利用該信息，但永遠(yuǎn)不物理地將數(shù)據(jù)存儲(chǔ)到非標(biāo)準(zhǔn)設(shè)備上。

十、對(duì)敏感數(shù)據(jù)加密。對(duì)任何放在被認(rèn)為是公司財(cái)產(chǎn)的非標(biāo)準(zhǔn)設(shè)備上的數(shù)據(jù)進(jìn)行加密處理。這可包括員工的公司電子郵件。

對(duì)敏感數(shù)據(jù)進(jìn)行加密

zhouxiaoli