CIO如何看奥巴马的网络安全战略？

5系统安全：
加强你防御攻击的方法

《共识稽核指南》因倡议IT主管应在安全思维上有实际的转变而获得注意，该指南并提供可衡量并监控IT系统及网路安全的20个控制项目。虽然每当论及加强安全，“增加成本负担”的顾虑便常伴随而至，然而指南建立者John Gilligan说，当他担任美国空军CIO时(2001-2005)，便完成部分前述20个控制项的建置，并且在IT以及风险控管方面节省了成本支出。Gilligan的建议事项包括：

1了解你的网路。利用资产回复工具(asset recovery tool)盘点网路上所有的设备。记录网路位址、机器名称、每一个设备的使用目的，以及设备负责人员，再将这些资讯加密。制作一份内容加密的列表，将获授权可以在网路上执行的软体记录下来。藉由部署新软体定期测试你的软体资产记录工具。注意新软体部署的时间点与新软体被工具侦测到时间点的差异，此时间差便是安全脆弱期。

2测试及验证。在部署笔记型电脑、工作站，以及伺服器前，先对系统的映象档(system images)制作文件及测试安全设定。每个月采样部分系统一次以检查这些设定是否正确。将主要映象档(master images)储存在安全的伺服器或离线的机器上。

3掌握控制。在各网路连线点，安装过滤设备，只允许使用经文件记载并符合商业需求的传输埠及通讯协定。采用“双因素认证”，并对所有的网路设备的连线加密。对于需要从远端登入的使用者，一样要求其使用双因素认证。

4保持多疑。设定让稽核记录档可以记录每个软体的连线日期、时间，以及来源/目的位址。记录软体平日活动的状态轮廓(profile)，以及调整记录档以发现异常行为。安装防火墙以发掘一般的web攻击。在部署软体前，测试原始程式码以检查是否暗藏恶意软体或后门程式。

5留意提防。至少每周执行一次弱点扫描(最好每日执行)。比较各次扫描结果以确认前次发掘的问题已经妥善处理。在一周之内完成重要修补档案的安装。每日汇报被锁定/被取消的帐号，以及密码设定为永不过期以及相同密码使用超过允许期限的帐号，同时要求这些帐号的说明。每日检查机器，并且派送更新程式，以防止恶意程式攻击。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友