黑客在門-安全博覽會(huì)

　　在幾乎所有電氣或機(jī)械設(shè)備都可以連接到互聯(lián)網(wǎng)的世界中，如果遠(yuǎn)程攻擊者獲得訪問權(quán)限，物理安全部署可能會(huì)受到損害甚至完全無用。

　　當(dāng)為保護(hù)這些資產(chǎn)而部署的InfoSec（信息安全）防御級(jí)別不足或配置不當(dāng)時(shí)，可能會(huì)發(fā)生這種情況。如果對(duì)手認(rèn)為信息非常有價(jià)值以至于證明入侵是合理的，那么這些系統(tǒng)就會(huì)無所畏懼。鑒于存在大量自動(dòng)黑客工具，這些不法分子所享有的匿名性以及相對(duì)較低的起訴風(fēng)險(xiǎn)，如果您的組織未能恰當(dāng)?shù)亟鉀Q信息安全風(fēng)險(xiǎn)，則違規(guī)的可能性很高。

　　成功保護(hù)您的InfoSec資產(chǎn)依賴于接受，就像物理安全一樣，InfoSec無法保證。相反，信息安全的目標(biāo)是使一個(gè)潛在的入侵者難以闖入一個(gè)系統(tǒng)，以至于它根本不值得他們付出努力而且他們會(huì)在其他地方嘗試。

　　聯(lián)邦政府的強(qiáng)制違反披露法律將生效的22 次由于不良的信息安全部署中發(fā)生的二月2018年違反將承擔(dān)聯(lián)邦政府私隱專員的憤怒，誰都會(huì)認(rèn)為寬松的信息安全控制是一個(gè)貧窮在確定對(duì)有罪組織的懲罰性賠償時(shí)的借口。組織應(yīng)評(píng)估與網(wǎng)絡(luò)攻擊相關(guān)的聲譽(yù)和業(yè)務(wù)風(fēng)險(xiǎn)，并制定適當(dāng)?shù)娘L(fēng)險(xiǎn)處理計(jì)劃以降低此風(fēng)險(xiǎn)

　　在考慮從哪里開始設(shè)計(jì)InfoSec方法時(shí)，首先要規(guī)劃您的策略。重點(diǎn)應(yīng)放在：

　　確定客戶的期望水平

　　獲得客戶高層領(lǐng)導(dǎo)的支持

　　從風(fēng)險(xiǎn)和合規(guī)性的角度，教育您的客戶了解為什么適當(dāng)?shù)男畔踩珷顩r符合他們的利益。

　　確定建立，維護(hù)和監(jiān)督控制的責(zé)任。

　　設(shè)計(jì)適當(dāng)?shù)腎nfoSec控件，以保護(hù)客戶端的環(huán)境，包括技術(shù)控制，管理控制，當(dāng)然還有物理控件。

　　確保更新任何災(zāi)難恢復(fù)或業(yè)務(wù)連續(xù)性計(jì)劃以適應(yīng)與InfoSec相關(guān)的中斷事件。

　　安排InfoSec系統(tǒng)的合規(guī)性檢查和審核，以確保系統(tǒng)以所需級(jí)別運(yùn)行。

　　接受這樣一種觀念，即如果違規(guī)將發(fā)生，但是當(dāng)違規(guī)行為發(fā)生時(shí)，確保計(jì)劃，排練和評(píng)估此類事件的意外事件。

　　接受信息安全并非一刀切，也不會(huì)讓人忘記。

　　記錄您的計(jì)劃，程序和政策，并使相關(guān)人員能夠輕松訪問這些計(jì)劃，程序和政策。

　　一旦制定了信息安全戰(zhàn)略，就需要實(shí)施。需要解決一些關(guān)鍵領(lǐng)域，以實(shí)現(xiàn)明確戰(zhàn)略的目標(biāo)：

　　部署技術(shù)控制以保護(hù)您的網(wǎng)絡(luò)，設(shè)備和電子基礎(chǔ)設(shè)施。在物理安全領(lǐng)域內(nèi)，從軟件角度“強(qiáng)化”所有物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)至關(guān)重要。除此之外，確保僅在授權(quán)人員的情況下，對(duì)物理和邏輯上的這些設(shè)備的訪問權(quán)限。

　　確保軟件，固件和應(yīng)用程序保持新穎。確保計(jì)劃并實(shí)施所有設(shè)備的補(bǔ)丁管理（包括攝像機(jī)，網(wǎng)絡(luò)交換機(jī)，路由器和基于IP的設(shè)備），并盡快部署應(yīng)用程序/操作系統(tǒng)更新。

　　保護(hù)組織可能正在使用的任何基于云的服務(wù)。

　　擁有完整且經(jīng)過驗(yàn)證的數(shù)據(jù)備份，并確保定期進(jìn)行災(zāi)難恢復(fù)測試，以確保備份數(shù)據(jù)的完整性，可訪問性以及備份系統(tǒng)中任何服務(wù)恢復(fù)符合組織的停機(jī)時(shí)間限制

　　確保您的戰(zhàn)略能夠滿足用戶的教育和意識(shí)。例如，意外數(shù)據(jù)丟失可能來自用戶選擇弱或容易猜到的密碼或用戶無意中向錯(cuò)誤的收件人發(fā)送電子郵件。

　　利用具有適當(dāng)資格的托管信息安全提供商的服務(wù)，該提供商可以提供組織技能，以及提供絕佳InfoSec保護(hù)所需的經(jīng)驗(yàn)。

　　讓法律顧問參與您的戰(zhàn)略，無論是內(nèi)部法律顧問還是專門從事信息安全法的外部公司。

　　將任何剩余風(fēng)險(xiǎn)轉(zhuǎn)移到適當(dāng)?shù)木W(wǎng)絡(luò)違規(guī)保險(xiǎn)政策，以確保在發(fā)生違規(guī)行為時(shí)可以避免與事件響應(yīng)相關(guān)的費(fèi)用。

　　承諾由經(jīng)過認(rèn)證的專業(yè)外部提供商定期進(jìn)行InfoSec評(píng)估，審核和審核。

　　部署良好的信息安全控制將需要付出努力并專注于實(shí)現(xiàn)，并需要不斷保持警惕。但是，在正確規(guī)劃，執(zhí)行和維護(hù)時(shí)，這些控制對(duì)于組織的彈性是必不可少的，對(duì)于任何基于電子的和連接的物理安全部署的長期成功至關(guān)重要。

　　凡本網(wǎng)注明“來源：盈拓國際展覽導(dǎo)航”的所有作品，版權(quán)均屬于盈拓國際展覽導(dǎo)航，轉(zhuǎn)載請(qǐng)注明。

　　凡注明為其它來源的信息，均轉(zhuǎn)載自其它媒體，轉(zhuǎn)載目的在于傳遞更多信息，并不代表盈拓國際展覽導(dǎo)航贊同其觀點(diǎn)及對(duì)其真實(shí)性負(fù)責(zé)。