百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

[避锅指南]网络安全人员如何避免成为背锅侠

liuian 2024-12-02 22:19 37 浏览


如今,五花八门的网络安全法规频频出台,各国政府对网络攻击和数据泄露事件的处罚日趋严厉,越来越多的CISO们将开始考虑一个迫切的“安全问题”:

如何避免自己成为替罪羊甚至锒铛入狱。

为了避免成为替罪羊(这也是网络安全专业素养之一),CISO应建立清晰稳固的沟通渠道,将成员纳入网络安全决策过程。

保护企业免受网络攻击的最佳方法是建立强大的安全文化,并将网络安全置于所有决策的中心。这需要整个组织的共同努力,包括高管、员工和安全领导者。

CISO的关键任务之一就是“让网络安全成为所有人的责任。”

网络安全这事正所谓:

口号响亮 啥也不干

请示领导 没有预算

结果可想而知


当然为了减少不必要的麻烦,本着多一事不如少一事的原则,还是技术上尽量减少风险:

1、从传统黑名单转为白名单机制

不知道的端口不开放,能节省90%的合规问题和意外之外风险,到底要放通啥,先把端口备案报上来。

2.运维加强

最重要的就是堡垒机和相关VPN开启双因子认证,切记放绕行策略要做到位。

3.合规要求满足

厂家的坑咱先不管,先保证180天日志到手,特征库在期,J尽管查。

4.制定上线要求

1.系统账户的鉴权信息需对密码复杂度做限制,要求至少8位以上,包括三类字符(数字、字符、大小写字母等);

2.应用系统账户需对密码有效期做限制,要求最长使用期限不超过1年,强制密码历史记录为至少1次;

3.应强制用户首次登录时修改初始口令;

4.需要有账户登录失败处理;(如限制非法登录次数超5次后,账户锁定15分钟或者程序自动退出等处理方式);

5.系统正式应用时,应禁用默认账户或测试账户,删除多余账户;

6.系统需提供安全审计功能;(即对用户的操作行为进行日志记录,审计要素包括日期、时间、发起者信息、类型、描述、结果。审计内容覆盖登录、注销、添加删除用户、重要变更、重要业务操作等);

7.业务审计日志不能被手动删除,并日志定期备份;

8.审计日志应至少保留180天;

9.应用系统用户端与服务器端之间进行通信时,应对会话过程(例如用户登录信息或其他敏感字段)进行加密传输(例如SSL加密或其他类似加密算法的传输方式);

10.应用系统的鉴别信息(如密码、个人生物特征信息)和重要业务数据及个人敏感信息(如身份证号、手机号、银行卡号等)在数据库中应加密存储,且使用健壮的加密算法。(可采用国际的AES、DES、RSA、SHA-512结合添加SALT随机字符串的方式,以及国产SM4算法;应避免直接采用MD5算法。);

11.通信双方中的一方若在至多30分钟内未做任何响应,另一方应能够自动结束会话,即实现用户登出处理操作;

12.应用系统管理员权限应分离,如业务操作员、系统管理员、安全审计员权限分离;

13.应用系统的输入处应进行严格的格式、长度校验,如:URL、登录输入、文本输入、文件上传等处应有数据格式、数据长度、数据类型等方面的限制;

14.应用系统根据业务需要设臵最大并发连接数;应用系统与数据库连接时,应支持使用非数据库默认账户

15.定期备份数据和系统,设置定时备份计划,确保在信息系统遭到攻击或发生故障时能够快速恢复数据?

16.信息系统上线前需完成定级备案,报送相关报告和备案表。定级为二级的新建信息系统,建设单位需完成等级保护测评工作,符合安全要求后才能上线使用。?

相关推荐

赶紧收藏!编程python基础知识,本文给你全部整理好了

想一起学习编程Python的同学,趁我粉丝少,可以留言、私信领编程资料~Python基础入门既然学习Python,那么至少得了解下这门编程语言,知道Python代码执行过程吧。Python的历...

创建绩效改进计划 (PIP) 的6个步骤

每个经理都必须与未能达到期望的员工抗衡,也许他们的表现下降了,他们被分配了新的任务并且无法处理它们,或者他们处理了自己的任务,但他们的行为对他人造成了破坏。许多公司转向警告系统,然后在这些情况下终止。...

PI3K/AKT信号通路全解析:核心分子、上游激活与下游效应分子

PI3K/AKT/mTOR(PAM)信号通路是真核细胞中高度保守的信号转导网络,作用于促进细胞存活、生长和细胞周期进程。PAM轴上生长因子向转录因子的信号传导受到与其他多条信号通路的多重交叉相互作用的...

互联网公司要求签PIP,裁员连N+1都没了?

2021年刚画上句号,令无数互联网公司从业者闻风丧胆的绩效公布时间就到了,脉脉上已然炸了锅。阿里3.25、腾讯二星、百度四挡、美团绩效C,虽然名称五花八门,实际上都代表了差绩效。拿到差绩效,非但不能晋...

Python自动化办公应用学习笔记3—— pip工具安装

3.1pip工具安装最常用且最高效的Python第三方库安装方式是采用pip工具安装。pip是Python包管理工具,提供了对Python包的查找、下载、安装、卸载的功能。pip是Python官方提...

单片机都是相通的_单片机是串行还是并行

作为一个七年的从业者,单片机对于我个人而言它是一种可编程的器件,现在长见到的电子产品中几乎都有单片机的身影,它们是以单片机为核心,根据不同的功能需求,搭建不同的电路,从8位的单片机到32位的单片机,甚...

STM32F0单片机快速入门八 聊聊 Coolie DMA

1.苦力DMA世上本没有路,走的人多了,便成了路。世上本没有DMA,需要搬运的数据多了,便有了DMA。大多数同学应该没有在项目中用过这个东西,因为一般情况下也真不需要这个东西。在早期的单片机中...

放弃51单片机,直接学习STM32开发可能会面临的问题

学习51单片机并非仅仅是为了学习51本身,而是通过它学习一种方法,即如何仅仅依靠Datasheet和例程来学习一种新的芯片。51单片机相对较简单,是这个过程中最容易上手的选择,而AVR单片机则更为复杂...

STM32串口通信基本原理_stm32串口原理图

通信接口背景知识设备之间通信的方式一般情况下,设备之间的通信方式可以分成并行通信和串行通信两种。并行与串行通信的区别如下表所示。串行通信的分类1、按照数据传送方向,分为:单工:数据传输只支持数据在一个...

单片机的程序有多大?_单片机的程序有多大内存

之前一直很奇怪一个问题,每次写好单片机程序之后,用烧录软件进行烧录时,能看到烧录文件也就是hex的文件大小:我用的单片机芯片是STM32F103C8T6,程序储存器(flash)只有64K。从...

解析STM32单片机定时器编码器模式及其应用场景

本文将对STM32单片机定时器编码器模式进行详细解析,包括介绍不同的编码器模式、各自的优缺点以及相同点和不同点的应用场景。通过阅读本文,读者将对STM32单片机定时器编码器模式有全面的了解。一、引言...

两STM32单片机串口通讯实验_两个32单片机间串口通信

一、实验思路连接两个STM32单片机的串口引脚,单片机A进行发送,单片机B进行接收。单片机B根据接收到单片机A的指令来点亮或熄灭板载LED灯,通过实验现象来验证是否通讯成功。二、实验器材两套STM32...

基于单片机的智能考勤机设计_基于51单片机的指纹考勤机

一、设计背景随着科技水平的不断发展,在这么一个信息化的时代,智能化信息处理已是提高效率、规范管理和客观审查的最有效途径。近几年来,国内很多公司都在加强对企业人员的管理,考勤作为企业的基础管理,是公司...

STM32单片机详细教学(二):STM32系列单片机的介绍

大家好,今天给大家介绍STM32系列单片机,文章末尾附有本毕业设计的论文和源码的获取方式,可进群免费领取。前言STM32系列芯片是为要求高性能、低成本、低功耗的嵌入式应用设计的ARMCortexM...

STM32单片机的 Hard-Fault 硬件错误问题追踪与分析

有过单片机开发经验的人应该都会遇到过硬件错误(Hard-Fault)的问题,对于这样的问题,有些问题比较容易查找,有些就查找起来很麻烦,甚至可能很久都找不到问题到底是出在哪里。特别是有时候出现一次,后...

一周热门
最近发表
标签列表