百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

[避锅指南]网络安全人员如何避免成为背锅侠

liuian 2024-12-02 22:19 19 浏览


如今,五花八门的网络安全法规频频出台,各国政府对网络攻击和数据泄露事件的处罚日趋严厉,越来越多的CISO们将开始考虑一个迫切的“安全问题”:

如何避免自己成为替罪羊甚至锒铛入狱。

为了避免成为替罪羊(这也是网络安全专业素养之一),CISO应建立清晰稳固的沟通渠道,将成员纳入网络安全决策过程。

保护企业免受网络攻击的最佳方法是建立强大的安全文化,并将网络安全置于所有决策的中心。这需要整个组织的共同努力,包括高管、员工和安全领导者。

CISO的关键任务之一就是“让网络安全成为所有人的责任。”

网络安全这事正所谓:

口号响亮 啥也不干

请示领导 没有预算

结果可想而知


当然为了减少不必要的麻烦,本着多一事不如少一事的原则,还是技术上尽量减少风险:

1、从传统黑名单转为白名单机制

不知道的端口不开放,能节省90%的合规问题和意外之外风险,到底要放通啥,先把端口备案报上来。

2.运维加强

最重要的就是堡垒机和相关VPN开启双因子认证,切记放绕行策略要做到位。

3.合规要求满足

厂家的坑咱先不管,先保证180天日志到手,特征库在期,J尽管查。

4.制定上线要求

1.系统账户的鉴权信息需对密码复杂度做限制,要求至少8位以上,包括三类字符(数字、字符、大小写字母等);

2.应用系统账户需对密码有效期做限制,要求最长使用期限不超过1年,强制密码历史记录为至少1次;

3.应强制用户首次登录时修改初始口令;

4.需要有账户登录失败处理;(如限制非法登录次数超5次后,账户锁定15分钟或者程序自动退出等处理方式);

5.系统正式应用时,应禁用默认账户或测试账户,删除多余账户;

6.系统需提供安全审计功能;(即对用户的操作行为进行日志记录,审计要素包括日期、时间、发起者信息、类型、描述、结果。审计内容覆盖登录、注销、添加删除用户、重要变更、重要业务操作等);

7.业务审计日志不能被手动删除,并日志定期备份;

8.审计日志应至少保留180天;

9.应用系统用户端与服务器端之间进行通信时,应对会话过程(例如用户登录信息或其他敏感字段)进行加密传输(例如SSL加密或其他类似加密算法的传输方式);

10.应用系统的鉴别信息(如密码、个人生物特征信息)和重要业务数据及个人敏感信息(如身份证号、手机号、银行卡号等)在数据库中应加密存储,且使用健壮的加密算法。(可采用国际的AES、DES、RSA、SHA-512结合添加SALT随机字符串的方式,以及国产SM4算法;应避免直接采用MD5算法。);

11.通信双方中的一方若在至多30分钟内未做任何响应,另一方应能够自动结束会话,即实现用户登出处理操作;

12.应用系统管理员权限应分离,如业务操作员、系统管理员、安全审计员权限分离;

13.应用系统的输入处应进行严格的格式、长度校验,如:URL、登录输入、文本输入、文件上传等处应有数据格式、数据长度、数据类型等方面的限制;

14.应用系统根据业务需要设臵最大并发连接数;应用系统与数据库连接时,应支持使用非数据库默认账户

15.定期备份数据和系统,设置定时备份计划,确保在信息系统遭到攻击或发生故障时能够快速恢复数据?

16.信息系统上线前需完成定级备案,报送相关报告和备案表。定级为二级的新建信息系统,建设单位需完成等级保护测评工作,符合安全要求后才能上线使用。?

相关推荐

Firefox火狐浏览器126版更新修复PDF.js漏洞

IT之家5月28日消息,Mozilla基金会在5月14日推出了Firefox火狐浏览器126版本,官方在更新信息中提到该版本主要修复了浏览器内置的PDF组件(PDF.js...

在Web应用中集成 PDF.js: 通过jsdelivr实现动态加载与批注的思考

PDF文档在现代Web应用中越来越常见,无论是作为文档预览、报告展示还是在线编辑的载体。Mozilla的PDF.js是一个功能强大的JavaScript库,它使得在浏览器端渲染和显示...

PDF文件长出“AI大脑”?网友惊呼:这操作太“黑科技”了

你以为PDF只是用来阅读文档的?这次它彻底颠覆了你的想象!极客AidenBai最新整活——直接把大语言模型(LLM)塞进PDF里,打开文件就能让AI讲故事、陪你聊天!更夸张的是,连Linux系统都能...

5种开源PDF解析方案(JS/Node.js)及实战教程

hi,大家好,我是徐小夕.徐小夕【知乎专栏作家】掘金签约作者,定期分享AI创业,可视化,企业实战项目知识,深度复盘企业中经常遇到的500+技术问题解决方案。【关注趣谈前端,技术路上不迷茫】最近一直...

好用的JavaScript客户端PDF插件——jsPDF

介绍和往常一样,jsPDF是一个开源的客户端的PDF解决方案,在之前的文章中已经介绍过几个Web端和PDF相关的库,jsPDF同样是一个不错的客户端PDF引SDK,你可以通过jsPDF在客户端完成相...

为wps增加node.js npm创建wpsjs加载项

选择环境:windows764位版版本:wps官方2019个人版:一。wps安装后,可以选择关闭广告:打开WPSOffice,点击左上角“首页”图标,依次点击右上角“设置”--->“配置...

TypeScript 1.5发布,支持大量ES6新特性

TypeScript1.5正式发布,此版本是VisualStudio2015更新的一部分,可以单独下载VisualStudio2013和npm,或直接从GitHub获得最新版本。值得关注的改...

1.5k+ 开源的高品质音乐命令行下载工具

大家好,我是开源探索者,持续分享开源项目,关注技术的最新动态,分享自己的经验和见解。今天为大家带来一款下载音乐的命令行工具:musicn,基于Node.js开发,可播放和下载高品质的音乐,支持咪...

1天搭建免费微信小程序商店卖茶(3)连载中

前期准备前两篇文章,分别架设好了小程序商站的后台服务端(提供小程序的数据接口,存储商品和交易信息等等),编译并且在手机上成功打开了测试版小程序,成功拉取到了服务器上的测试数据。本篇开始,为“真实”运营...

3200+ Cursor 用户被恶意“劫持”!贪图“便宜 API”却惨遭收割, AI 开发者们要小心了

整理|华卫近日,有网络安全研究人员标记出三个恶意的npm(Node.js包管理器)软件包,这些软件包的攻击目标是一款颇受欢迎的由AI驱动的源代码编辑器Cursor,且针对的是苹果mac...

npm install常见问题

npm编译npminstall叮当问题来了PSD:\wp\project\newPorject\tyzhhw-mysql\code\tyzhhw_sheshi>npminstalln...

微软TypeScript Native预览版发布,带来10倍以上编译性能提升

IT之家5月23日消息,微软首席产品经理丹尼尔罗森瓦瑟(DanielRosenwasser)昨晚发文,宣布TypeScriptNative预览版(最终将演变为TypeScript7...

如何在 Windows 11 或 10 上安装 ASK CLI

ASKCLI是亚马逊为开发人员提供的一个工具,用于创建Alexa技能并随后部署和管理它们。因此,初学者和经验丰富的开发人员都可以通过使用ASKCLI简化开发Alexa技能的任务。所以...

如何将package.json中的每个依赖项更新到最新版本

技术背景在前端开发中,项目的package.json文件管理着项目的依赖信息。随着时间推移,依赖项可能会发布新的版本,包含性能优化、功能增强和安全修复等。因此,将依赖项更新到最新版本对于项目的稳定...

全网最全的 Windows 系统下 Node.js 安装与配置

各位代码江湖的“萌新大侠”们!今天详细介绍windows下node.js的安装与配置,看这篇文章就够了。一、下载安装官网下载:下载|Node.js中文网选择需要下载的版本,这是之前的...

一周热门
最近发表
标签列表