021-54410609
美国的全国网络安全意识月(NCSAM)已经正式开始。今年的主题是“ Own IT. Secure IT. Protect IT.”该主题强调了组织如何不可能仅凭一项计划就可以实现足够水平的数字安全性,然后再加以实现。安全是一个持续的过程,需要多个步骤。
让我们具体研究一下这如何适用于NCSAM 2019的“Protect IT”子主题。组织不能仅通过培训组织中的每个人以识别并避免成为网络钓鱼攻击的受害者来保护其信息技术(IT)。安全不仅限于网络钓鱼攻击。为了实现“Secure IT”元素,组织还需要创建强大的密码策略,实施多因素身份验证并保护所有敏感数据,以培养安全的在线数字体验并遵守法规要求。
那么,组织如何Protect IT?
没那么难。每个“Secure IT”操作项都可追溯到基本的安全控制,该控制可增强组织的安全状况。网络钓鱼攻击,帐户接管(ATO)欺诈和数据泄露可以通过多因素身份验证,对普通用户和特权用户的强大访问控制以及对所有敏感数据进行加密来缓解。加密和令牌化可以帮助组织保护其客户的数字交易。此外,必须通过安装供应商推荐的最新安全补丁来使整个计算,网络和数据存储基础结构保持最新。
最后,首席信息安全官(CISO)必须提名整个组织中的信息安全冠军。信息安全拥护者在宣扬良好的安全做法和营造“安全至上”文化方面发挥着重要作用。
下面是对每种安全实践的描述:
访问控制和认证
鉴于基于云的基础架构的兴起以及软件即服务(SaaS)应用程序的泛滥,企业现在拥有大量且不断增长的员工需要访问的IT应用程序。关键是组织仅在零信任和最低特权的情况下才允许这种访问。也就是说,任何人都不能以超过所需的最低特权来访问资产,应用程序或设备。
组织可以使用身份和访问管理(IAM)解决方案来实现这种类型的控制,该解决方案对访问,身份和交互进行身份验证和保护。
这些IAM解决方案必须提供多因素身份验证(MFA)。此安全控制克服了基于密码的单因素身份验证(SFA)的弱点。最常见的是,它通过要求用户除了使用密码外还使用令牌,一次性密码和设备标识来对自己进行身份验证。这样,即使密码被泄露,MFA仍可以保护员工的帐户。
数据加密
数据加密是“Secure IT”的重要组成部分,它使组织能够保护本地和云中驻留在文件和数据库服务器上的敏感和机密数据。
最有效的加密解决方案是以集中式加密密钥和策略管理的形式提供操作简便性的解决方案。该解决方案还应使组织能够满足整个企业生态系统的数据安全要求。例如,它应该使组织能够扩展其数据加密部署,以满足其不断发展的合规性需求以及不断变化的威胁和生态系统格局。
密钥管理
数据加密和密钥管理是齐头并进的。为了遵守法规,满足高安全性要求(例如,通过FIPS 140-2标准认证)以及在安全管理员和数据管理员之间进行职责分离,必须进行可靠,集中的集成密钥管理。
认识到这些威胁,组织将从投资于一个解决方案的投资中受益,该解决方案可在多个加密环境中集中化密钥管理。这种整合方式可帮助组织避免多个供应商采购,消除加密孤岛,并使维护其所有加密密钥的可见性更加容易。更好的可见性等于更好的报告,可审核性以及对法规要求的遵从性。
令牌化(Tokenization)
根据SearcHSEcurity,令牌化指的是“用唯一的标识符号替换敏感数据,该标识符号保留有关数据的所有基本信息,而不会损害其安全性。”这些标识符号是唯一的令牌,其将有关数据的所有基本信息保留在相同的位置。格式化为它替换的敏感数据。听起来有点像加密。令牌化可防止诸如提取,测试和加载(ETL)之类的应用程序损坏,而加密数据会破坏此类应用程序。
组织应用令牌化的最常见数据类型之一是信用卡信息。为了保护这些细节,组织需要确保其令牌化的部署遵循支付卡行业(PCI)理事会的数据安全标准(DSS)准则。这将减少包含敏感数据的服务器的合规性审核范围。敏感数据的标记化对于遵守诸如全球数据隐私法规(GDPR)之类的数据隐私法规是必不可少的,该法规在存在暴露敏感数据的数据泄露事件时会施加严厉的处罚。
通过Thales保护IT安全
加密,令牌化,密钥管理和访问管理/ MFA将在帮助组织保护IT方面大有帮助。但是,大多数组织没有内部知识来自行实施这些基本安全措施。因此,他们应该考虑寻求可信赖的供应商来帮助他们保护整个企业中的信息资产。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话