听从性对企业安全的重要意义
概述
这个周末的自由时间,用来研究一下听从性的话题,理论联系实际,同时学习一下VMware的vCM,即配置管理工具。它的主要功能是“连续评估虚拟与物理服务器的听从状态,并可自动修复不知足听从性要求的配置项。”
保障听从性的意义是什么?
保障听从性是保证安全的大前提,若是空有好的安全策略和安全技术却不能严格落实,就会极大地浪费企业在安全方面的投入,安全风险不能获得有效控制。说得通俗点儿,在安全方面保障不了听从性就至关于在企业管理方面缺乏执行力,结果致使“政令不通”。
何为听从性检查?
听从性检查的过程,就是当前值与指望值的比对,那么什么是指望值呢?对于大型公司而言,指望值多是安全顾问根据企业状况制定的安全策略;对于中小企业而 言,指望值多是业界的最佳实践;而对于某些特定的行业,上市公司或者对外提供IT服务的企业来讲,指望值更多是政府的法律法规。
对于不少企业来讲,指望值是个混合体,即包括来自政府的法律法规,又包括来自业界的最值实践和来自安全顾问的安全策略,这就增长了听从性检查的难度,加之须要检查的对象五花八门,分布普遍,形态万千,时刻保障听从性几乎成了不可能完成的任务。
经常使用的听从性标准有哪些?
标准的种类很是多,包括且不限于法律法规,行业规范,国际标准,技术指引,业界指南和最佳实践等。能够归纳为几个大类,第一类是法律法规,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二类是行业规范,主要有PCI DSS; NERC/FERC,第三类是厂商最佳实践,如VMware和Microsoft的系统安全加固指南等。第四类是安全研究组织制定的安全规范,如CIS Certified Benchmarks; DISA NIST等。
SOX即《萨班斯法案》(Sarbanes-Oxley Act)的简称。 萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。它的主要内容是财务监管,主要对象是上市公司。
HIPAA全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名为健康保险携带和责任法案。主要内容是在医疗行业内部如何有效共享资源并保护我的的隐私,主要对象是保险公司,医疗机构等。
GLBA的全称是Gramm-Leach-Bliley Act,也叫现代化金融服务法案。用于控制金融机构处理我的信息的方式,这项法案包括三部分:财产保密条例、安全措施条例、托辞供应。其中财产保密条例,用于管制对私 人财产信息的搜集和泄露;安全措施条例,用于保证财政机构必须实现对私人信息的安全保护;托辞供应用于禁止使用不正当的托辞访问私人信息。
FISMA即联邦信息安全管理法案(The Federal Information Security Management Act FISMA)定义了一个普遍的框架来确保联邦政府的数据安全。
DISA实际上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府发布的技术指引。
ISO27002是由ISO制定的信息安全管理体系实用规则,是目前应用最普遍的安全管理最佳实践,已等同转化为中国国家标准GB/T 22081-2008。 本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和通常原则。
PCI DSS是支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而无论这些信息是在何处以何种方法收集、处理、传输和存储。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用于管理能源行业的运营,防范能源行业风险。
CIS Certified Benchmarks,CIS即Center for Internet Security,是目前业界最权威的信息安全研究机构,为常见的系统编制了大量详细的安全指南。
NIST是美国国家标准与技术研究院,也制定了一系列的信息系统安全规范。
如何实现听从性检查?
听从性检查主要依靠两种手段,第一种是技术手段,可能自动扫描受检系统,发现听从性问题,生成听从性报告,也能够自动修复这些听从性问题。第二种手段是调查问卷,用于检查那些没法靠技术性手段完成的,可利用培训考试,问答或人工审计等形式来完成。
为何说听从性是很是重要的? 在保证信息系统的安全,从技术,人员到流程,都是不容忽视的。全体人员要有安全意识,技术人员要有专业知识;流程要健全并能获得严格执行。可是再严密的安全防御,也不免百密一疏,根据木桶原理,若是不能及时发现并解决安全短板,系统安全将没法获得保障。听从性解决方案正是应对这一问题的,它能够帮助你: 1,负责解读和映射法律法规与最佳实践,帮助安全管理员在内置模板的基础上制定企业的听从性策略。 2,自动,快速置备新的系统,确保新部署的系统知足听从性要求。 3,监测系统的变化,自动收集,分析系统数据,及时发现并纠正不知足听从性要求的配置。 4,对于不知足听从性要求且没法修复的系统,能够暂时将其隔离保护,通知管理人员进行处理。 5,生成听从性报告,可用于企业内审自查,也可用于应对外部审计。 还有一句俗语如今很流行:“不怕神同样的对手,就怕猪同样的队友”,听从性监测就是帮助企业把“害群之马”找出来,无论他是无意之失,仍是有意为止,均可以在危险到来以前把隐患排除掉。 [完]
这个周末的自由时间,用来研究一下听从性的话题,理论联系实际,同时学习一下VMware的vCM,即配置管理工具。它的主要功能是“连续评估虚拟与物理服务器的听从状态,并可自动修复不知足听从性要求的配置项。”
保障听从性的意义是什么?
保障听从性是保证安全的大前提,若是空有好的安全策略和安全技术却不能严格落实,就会极大地浪费企业在安全方面的投入,安全风险不能获得有效控制。说得通俗点儿,在安全方面保障不了听从性就至关于在企业管理方面缺乏执行力,结果致使“政令不通”。
何为听从性检查?
听从性检查的过程,就是当前值与指望值的比对,那么什么是指望值呢?对于大型公司而言,指望值多是安全顾问根据企业状况制定的安全策略;对于中小企业而 言,指望值多是业界的最佳实践;而对于某些特定的行业,上市公司或者对外提供IT服务的企业来讲,指望值更多是政府的法律法规。
对于不少企业来讲,指望值是个混合体,即包括来自政府的法律法规,又包括来自业界的最值实践和来自安全顾问的安全策略,这就增长了听从性检查的难度,加之须要检查的对象五花八门,分布普遍,形态万千,时刻保障听从性几乎成了不可能完成的任务。
经常使用的听从性标准有哪些?
标准的种类很是多,包括且不限于法律法规,行业规范,国际标准,技术指引,业界指南和最佳实践等。能够归纳为几个大类,第一类是法律法规,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二类是行业规范,主要有PCI DSS; NERC/FERC,第三类是厂商最佳实践,如VMware和Microsoft的系统安全加固指南等。第四类是安全研究组织制定的安全规范,如CIS Certified Benchmarks; DISA NIST等。
SOX即《萨班斯法案》(Sarbanes-Oxley Act)的简称。 萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。它的主要内容是财务监管,主要对象是上市公司。
HIPAA全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名为健康保险携带和责任法案。主要内容是在医疗行业内部如何有效共享资源并保护我的的隐私,主要对象是保险公司,医疗机构等。
GLBA的全称是Gramm-Leach-Bliley Act,也叫现代化金融服务法案。用于控制金融机构处理我的信息的方式,这项法案包括三部分:财产保密条例、安全措施条例、托辞供应。其中财产保密条例,用于管制对私 人财产信息的搜集和泄露;安全措施条例,用于保证财政机构必须实现对私人信息的安全保护;托辞供应用于禁止使用不正当的托辞访问私人信息。
FISMA即联邦信息安全管理法案(The Federal Information Security Management Act FISMA)定义了一个普遍的框架来确保联邦政府的数据安全。
DISA实际上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府发布的技术指引。
ISO27002是由ISO制定的信息安全管理体系实用规则,是目前应用最普遍的安全管理最佳实践,已等同转化为中国国家标准GB/T 22081-2008。 本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和通常原则。
PCI DSS是支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而无论这些信息是在何处以何种方法收集、处理、传输和存储。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用于管理能源行业的运营,防范能源行业风险。
CIS Certified Benchmarks,CIS即Center for Internet Security,是目前业界最权威的信息安全研究机构,为常见的系统编制了大量详细的安全指南。
NIST是美国国家标准与技术研究院,也制定了一系列的信息系统安全规范。
如何实现听从性检查?
听从性检查主要依靠两种手段,第一种是技术手段,可能自动扫描受检系统,发现听从性问题,生成听从性报告,也能够自动修复这些听从性问题。第二种手段是调查问卷,用于检查那些没法靠技术性手段完成的,可利用培训考试,问答或人工审计等形式来完成。
为何说听从性是很是重要的? 在保证信息系统的安全,从技术,人员到流程,都是不容忽视的。全体人员要有安全意识,技术人员要有专业知识;流程要健全并能获得严格执行。可是再严密的安全防御,也不免百密一疏,根据木桶原理,若是不能及时发现并解决安全短板,系统安全将没法获得保障。听从性解决方案正是应对这一问题的,它能够帮助你: 1,负责解读和映射法律法规与最佳实践,帮助安全管理员在内置模板的基础上制定企业的听从性策略。 2,自动,快速置备新的系统,确保新部署的系统知足听从性要求。 3,监测系统的变化,自动收集,分析系统数据,及时发现并纠正不知足听从性要求的配置。 4,对于不知足听从性要求且没法修复的系统,能够暂时将其隔离保护,通知管理人员进行处理。 5,生成听从性报告,可用于企业内审自查,也可用于应对外部审计。 还有一句俗语如今很流行:“不怕神同样的对手,就怕猪同样的队友”,听从性监测就是帮助企业把“害群之马”找出来,无论他是无意之失,仍是有意为止,均可以在危险到来以前把隐患排除掉。 [完]
相关文章
- 1. SSL证书对企业的重要性
- 2. 安全从业者存在的意义
- 3. 论企业形象与LOGO对企业的重要性
- 4. 积分运营对企业的意义
- 5. 公司引进企业微信有什么重要的意义?
- 6. 性能测试的重要意义(一)
- 7. context对于android的重要意义
- 8. 企业建设品牌的重要性
- 9. 企业网站建设的重要性
- 10. 论安全的重要性
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Web 品质 - 重要的 HTML 元素 - 网站品质教程
- • 互联网组织的未来:剖析GitHub员工的任性之源
- • TiDB 在摩拜单车在线数据业务的应用和实践
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章
- 1. SSL证书对企业的重要性
- 2. 安全从业者存在的意义
- 3. 论企业形象与LOGO对企业的重要性
- 4. 积分运营对企业的意义
- 5. 公司引进企业微信有什么重要的意义?
- 6. 性能测试的重要意义(一)
- 7. context对于android的重要意义
- 8. 企业建设品牌的重要性
- 9. 企业网站建设的重要性
- 10. 论安全的重要性