1、评估安全框架和指导方针
安全架构
组织内安全操作的概念性结构
NIST美国信息标准化协议800系列
COBIT 5
ITIL
ISO/IEC 20071
合规例如(网络安全法)
确保满足法律,法规,行业规范和标准以及组织标准等要求的措施。
强制要求合规的机构:
指定法律的政府立法机构
提供各行业标准的政府监管机构
有各自标准的行业协会
法律和规章可能会对组织的安全性造成实质性的影响
安全专业人员必须审查所有相关法律和规章
大多数组织需要服从数据和系统使用的法律
组织的内部策略也需要服从
分层安全
一种包含多种不同防御途径的操作安全实现方法
纵深防御:
数据-》应用-》主机-》网络-》边缘-》物理-》政策和意识
如果一个要素 被破坏,其他安全系统可以接管
安全策略
定义了如何在组织内实现安全性的一种正式声明:
描述了组织如何保护数据和资源的机密性,可用性和完整性
包含多个独立的策略
所有的安全措施都必须服从策略
安全策略与政府的外交策略类似
由组织/政府的需求决定
基于实时或感知的威胁
定义了如何处理这些威胁
如果没有策略,就只能被动地对威胁做出反应,而无法进行预测
岗位轮换
确保没有人可以长时间处于关键工作岗位
强制休假
强制要求每位员工每年进行特定时长的休假的做法
培训和意识
人是最薄弱的环节
确保人员接受安全培训以便缓解此类风险
基于角色的培训:
特权用户
行政用户
数据所有者
系统所有者
系统管理员
安全自动化
提高安全操作效率
可拓展性
计算机环境能够从容地满足其日益增长的资源需求的属性
弹性
计算机可以即时对工作负载的增减需求做出反应
云计算
冗余(备胎)
计算机环境除了主要资源外还保留一组或多组额外资源
电源也需要冗余
容错
计算环境可以承受组件故障并继续提供在可接受范围内的服务
独立磁盘冗余阵列
在多设备存储系统上配置的冗余和容错功能
非持续性
VM(快照)回滚到一定时间点
高度可用性
系统在保持高水平同时,让数据接近100%可用
环境部署
开发、测试、分期、生成