企业安全文化从根本上说是基于良好的网络卫生(Cyber Hygiene)来建立和发展的,每个企业都必须根据自身实际情况来建立相应的网络卫生标准。企业可以实施许多基本的网络卫生控制措施,以此来降低网络攻击的可能性和影响。因此,网络卫生应该成为所有拥有数字处理环境的企业必备的常规程序,其实每个企业都需要定义网络卫生要求,不论企业的规模是大或是小。
然而,中小型企业往往在快速发展的过程中忽略或未过多关注数据安全,并且未在其流程中建立良好的网络卫生条件,包括企业怎样实施基本网络卫生控制措施来降低网络攻击的可能性和影响,以及网络安全意识的教育和培训,从而给企业安全埋下了巨大隐患。
那么企业在网络卫生方面做到什么程度才算合适呢?在本篇及下一篇文章中,我们将企业应当考虑的网络卫生最佳实践一一列举,助力企业建立良好的网络卫生环境。
信息安全政策
首先,企业应该有正式的信息安全政策。而信息安全策略的驱动因素可以根据企业自身的需求和所处行业来确定。比如可以是出于合规原因、履行合同义务或者是应对违约行为而定。但不论企业信息安全政策制定的驱动因素是什么,该政策最终都必须得到执行管理层的批准。如果企业组织架构庞大且较为复杂,则还需要得到董事会的批准。
企业风险管理
同时,企业还应当实施全面的企业风险管理 (ERM)。企业风险管理过程是企业在实现其商业目标的过程中极其重要的组成部分,通过在企业的各个级别分配风险管理功能,从而提高对网络安全问题的认识,并解决所有级别的风险管理问题。
数据分类
如今数据泄露事件屡屡发生,且大型数据泄露事件往往对企业的声誉造成巨大负面影响,同时也让用户利益受到极大损害( 见 Uber 数据泄露事件)。因此,企业必须采取安全措施,来防止未经授权的数据泄露和潜在的损坏。数据分类政策是整体隐私策略的基础。这里我们所说的数据分类政策的重要部分,包括数据分类级别的定义、数据所有者的角色和责任、安全控制以及每个级别的处理说明。定义数据类别将有助于将适当的技术和企业控制分配和映射到存储(私有)数据的数据库和系统。
数据泄露
防止数据泄露的关键,是通过数据丢失防护 (DLP) 系统阻止受限内容被滥用。数据丢失防护系统可以帮助企业最大限度地减少攻击者在事件中利用的后门、侧通道或其他安全漏洞的机密数据泄漏。DLP 保护传输中的数据,应放置在网络外围。企业可以根据自己的数据分类策略来对 DLP 进行配置。
补丁管理
企业应尽快对设备、操作系统和网络进行补丁和更新。由于某些企业修复漏洞速度较慢,恶意攻击往往会以这些漏洞为目标从而发起攻击。因此,企业需要要求其供应商定期更新操作系统、应用程序、设备驱动程序和固件以解决已知漏洞。及时更新软件和硬件至关重要。
系统强化
企业还应当应用系统强化流程(System hardening process),通过减少攻击面使操作系统、应用程序和设备更加安全。在设计系统安全性时,强化作为一种预防措施是最有效的,当发生突发事件时,可以帮助消除影响以及清除受感染的系统。强化还可以删除并防止更多未经授权的用户访问受感染的系统。强化的示例还有:停用不必要的组件、禁用未使用的用户帐户、限制主机访问、限制每个用户或每个主机的 shell 命令以实现最低权限。
培训与教育
如果没有全面的教育,基于用户的攻击(例如社会工程 Social Engineer)将成为企业的主要网络安全风险来源。除了让用户了解使用技术固有的风险外,还必须让他们了解在企业系统内安全运行所需的政策和程序。安全意识培训还应考虑员工拥有的访问权限类型和角色。具体培训机制的范围可以从登录时通过屏幕消息传递的小提示,通过员工办公桌或公共区域的纸质宣传册,到针对企业运营特定要素(例如设备、软件等)的培训。
备份
由于网络安全基础设施薄弱和员工意识薄弱,企业可能会持续成为网络攻击的受害者。因此对于企业来说,针对所有数据和系统可靠备份策略和程序至关重要,这些策略和程序涉及企业资产受到大规模破坏的严重事件。根据备份的“黄金法则”,企业应该拥有其系统的三个副本,其中两个应该保存在异地。许多企业为该异地副本选择云存储,但他们还必须离线存储一个以保护备份免受勒索软件攻击。理想情况下,一个异地备份将与企业的主要运营充分隔离,以保持不受破坏或其他重大突发事件的影响。