在信息技术方面,安全一直是一个令人担忧的问题。 数据盗窃、黑客攻击、恶意软件和许多其他威胁足以让任何 IT 专业人员彻夜难眠。 在本文中,我们将了解 IT 专业人员用来确保系统安全的基本原则和最佳实践。
信息安全的目标
信息安全遵循三个总体原则,通常称为 CIA 三元组(机密性、完整性和可用性)。
机密性:这意味着信息仅供有权访问的人员查看或使用。 必须采取适当的安全措施来确保私人信息保密,并防止未经授权的披露和窥探。
完整性:此原则保证数据的完整性和准确性,并防止数据被修改。 这意味着未经授权的用户不可能对信息进行任何更改(或至少检测不到),并且会跟踪授权用户的更改。
可用性:该原则确保信息在授权用户需要时随时可以完全访问。 这意味着用于存储、处理和保护所有数据的所有系统必须始终正常运行。
因此,借助这些更高级别的原则,IT 安全专家提出了最佳实践来帮助组织确保其信息安全。
IT 安全最佳实践
在 IT 安全方面有许多特定于特定行业或企业的最佳实践,但其中一些应用广泛。
平衡保护与效用
如果所有的调制解调器都被拆除并且每个人都被赶出房间,那么办公室里的电脑就可以得到完全的保护——但这样一来它们就对任何人都没有用了。 这就是为什么 IT 安全中最大的挑战之一是在资源可用性与资源的机密性和完整性之间找到平衡。
大多数 IT 部门并没有试图防范各种威胁,而是首先专注于隔离最重要的系统,然后找到可接受的方法来保护其余系统,同时又不至于让它们变得无用。 一些较低优先级的系统可能是自动分析的候选者,因此最重要的系统仍然是重点。
分配最低权限
要使信息安全系统正常工作,它必须知道允许谁查看和执行特定的事情。 例如,会计人员不需要查看客户数据库中的所有名称,但他可能需要查看销售数据。 这意味着系统管理员需要根据人员的工作类型分配访问权限,并且可能需要根据组织分离进一步细化这些限制。 这将确保首席财务官在理想情况下能够获得比初级会计师更多的数据和资源。
也就是说,排名并不意味着完全访问。 公司的 CEO 可能需要比其他人看到更多的数据,但他们不会自动需要对系统的完全访问权限。 应为个人分配履行其职责所需的最低权限。 如果一个人的职责发生变化,特权也会发生变化。 分配最低权限会降低设计人员 Joe 带着所有营销数据走出门外的可能性。
确定您的弱点并提前计划
并非您所有的资源都同样宝贵。 有些数据比其他数据更重要,例如包含有关您客户的所有会计信息的数据库,包括他们的银行 ID、社会安全号码、地址或其他个人信息。
同时,并非所有资源都同样脆弱。 例如,存储在未连接到主网络的物理分离存储系统上的信息比所有员工的 BYOD(自带设备)上可用的信息安全得多。
提前规划不同类型的威胁(例如黑客、DDoS 攻击或针对您的员工的网络钓鱼电子邮件)也有助于您评估每个对象在实践中可能面临的风险。
识别哪些数据更容易受到攻击和/或更重要有助于您确定必须采用的安全级别来保护它并相应地设计您的安全策略。 (另请阅读:2020 年下半年发生的 6 项网络安全进步)
使用独立防御
这是一项军事原则,也是一项 IT 安全原则。 使用一种非常好的防御措施,例如身份验证协议,只有在有人破坏它之前才有用。 当采用多层独立防御时,攻击者必须使用几种不同的策略来突破它们。
引入这种类型的多层复杂性并不能提供 100% 的攻击保护,但它确实会降低攻击成功的机会。
做最坏的打算,做最好的计划
如果其他一切都失败了,您仍然必须做好最坏的打算。 为失败做好计划将有助于最大限度地减少它发生时的实际后果。 事先准备好备份存储或故障安全系统可以让 IT 部门持续监控安全措施并对漏洞做出快速反应。
如果漏洞不严重,企业或组织可以在解决问题的同时继续进行备份操作。 IT 安全既要限制违规造成的损害,也要防止和减轻违规造成的损害。
备份,备份,备份
理想情况下,安全系统永远不会被破坏,但当确实发生安全破坏时,应该记录该事件。 事实上,IT 人员通常会尽可能多地记录,即使没有发生违规行为也是如此。
有时,违规的原因在事后并不明显,因此拥有可追溯的数据非常重要。 来自漏洞的数据最终将有助于改进系统并防止未来的攻击——即使它最初没有意义。
运行频繁测试
黑客不断改进他们的技术,这意味着信息安全必须不断发展才能跟上。 IT 专业人员运行测试、进行风险评估、重新阅读灾难恢复计划、检查业务连续性计划以防受到攻击,然后重新做一遍。 (另请阅读:您应该感谢黑客的 5 个理由。)
外卖
IT 安全是一项具有挑战性的工作,需要关注细节,同时需要更高层次的意识。 然而,与许多乍一看似乎很复杂的任务一样,IT 安全可以分解为可简化流程的基本步骤。 这并不是说它让事情变得简单,但它确实让 IT 专业人员保持警惕。
