[避锅指南]网络安全人员如何避免成为背锅侠

如今，五花八门的网络安全法规频频出台，各国政府对网络攻击和数据泄露事件的处罚日趋严厉，越来越多的CISO们将开始考虑一个迫切的“安全问题”：

如何避免自己成为替罪羊甚至锒铛入狱。

为了避免成为替罪羊（这也是网络安全专业素养之一），CISO应建立清晰稳固的沟通渠道，将成员纳入网络安全决策过程。

保护企业免受网络攻击的最佳方法是建立强大的安全文化，并将网络安全置于所有决策的中心。这需要整个组织的共同努力，包括高管、员工和安全领导者。

CISO的关键任务之一就是“让网络安全成为所有人的责任。”

网络安全这事正所谓：

口号响亮 啥也不干

请示领导 没有预算

结果可想而知

当然为了减少不必要的麻烦，本着多一事不如少一事的原则，还是技术上尽量减少风险：

1、从传统黑名单转为白名单机制

不知道的端口不开放，能节省90%的合规问题和意外之外风险，到底要放通啥，先把端口备案报上来。

2.运维加强

最重要的就是堡垒机和相关VPN开启双因子认证，切记放绕行策略要做到位。

3.合规要求满足

厂家的坑咱先不管，先保证180天日志到手，特征库在期，J尽管查。

4.制定上线要求

1.系统账户的鉴权信息需对密码复杂度做限制，要求至少8位以上，包括三类字符（数字、字符、大小写字母等）；

2.应用系统账户需对密码有效期做限制，要求最长使用期限不超过1年，强制密码历史记录为至少1次；

3.应强制用户首次登录时修改初始口令；

4.需要有账户登录失败处理；（如限制非法登录次数超5次后，账户锁定15分钟或者程序自动退出等处理方式）；

5.系统正式应用时，应禁用默认账户或测试账户，删除多余账户；

6.系统需提供安全审计功能；（即对用户的操作行为进行日志记录，审计要素包括日期、时间、发起者信息、类型、描述、结果。审计内容覆盖登录、注销、添加删除用户、重要变更、重要业务操作等）；

7.业务审计日志不能被手动删除，并日志定期备份；

8.审计日志应至少保留180天；

9.应用系统用户端与服务器端之间进行通信时，应对会话过程（例如用户登录信息或其他敏感字段）进行加密传输（例如SSL加密或其他类似加密算法的传输方式）；

10.应用系统的鉴别信息（如密码、个人生物特征信息）和重要业务数据及个人敏感信息（如身份证号、手机号、银行卡号等）在数据库中应加密存储，且使用健壮的加密算法。（可采用国际的AES、DES、RSA、SHA-512结合添加SALT随机字符串的方式，以及国产SM4算法；应避免直接采用MD5算法。）；

11.通信双方中的一方若在至多30分钟内未做任何响应，另一方应能够自动结束会话，即实现用户登出处理操作；

12.应用系统管理员权限应分离，如业务操作员、系统管理员、安全审计员权限分离；

13.应用系统的输入处应进行严格的格式、长度校验，如：URL、登录输入、文本输入、文件上传等处应有数据格式、数据长度、数据类型等方面的限制；

14.应用系统根据业务需要设臵最大并发连接数；应用系统与数据库连接时，应支持使用非数据库默认账户

15.定期备份数据和系统，设置定时备份计划，确保在信息系统遭到攻击或发生故障时能够快速恢复数据?

16.信息系统上线前需完成定级备案，报送相关报告和备案表。定级为二级的新建信息系统，建设单位需完成等级保护测评工作，符合安全要求后才能上线使用。?