走出网络安全迷宫:为企业定义“合理”标准
数字经济时代企业面临着网络安全风险,不同类型的企业面对的风险不同且应对做法不一。网络安全的“合理”标准影响企业管控风险的方式及其肩负的监管责任。政策制定者、网络安全专业人士和企业领导者有责任携手实施积极的网络安全措施,降低网络安全风险。
在数字时代,追求“合理”的网络安全是一项复杂但必要的工作。什么是“合理”的网络安全?这个问题的答案不仅会影响企业管控风险的方式及企业的安全策略方针,甚至会影响他们面临的监管责任。其中,澳大利亚网络安全中心(ACSC)的“八项基本要素(Essential Eight)”是一种减少网络安全事件的策略,值得推荐给所有企业参考。其中,“八项基本要素”包括四项用于减少有针对性的网络入侵的强制性策略,以及四项用于进一步保护数据和系统的额外策略:应用程序白名单、应用程序补丁、禁用不受信任的宏(macros)、用户应用程序加固、 限制管理权限、操作系统补丁、多因素身份验证、每日备份。
美国环保署遭黑客攻击,近千万用户数据泄露
据hackread报道,美国环境保护署(EPA)近日发生大规模数据泄露事件,超过850万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责,并声称泄露了EPA的客户和承包商的个人敏感信息。有多家媒体机构证实了USDoD的说法,并发布了分析细节。但截至发稿时,美国环境保护署尚未确认此次数据泄露事件。
文章报道了美国环保署数据疑似泄露事件,凸显了数据安全保护的紧迫性。黑客利用社会工程学手段窃取大量用户数据,再次敲响了数据安全警钟,无论是政府、企业还是个人,都需加强数据安全防护意识,采取有效手段保障数据安全。电信安全推出电信数盾,从数据合规出发,参考IPDRR安全防护模型,以运营商云网数据为禀赋,通过一系列的安全产品和服务,解决数据全生命周期的安全问题。
网络安全治理与风险管理中的三线模型探析
一个健全的网络安全治理结构(包括网络风险管理)应该包括对网络安全的明确问责和对组织内网络决策的明确授权。从公认的治理和风险管理规范模型之一的三线模型(即过去的三道防线模型)的角度审视网络安全治理尤为有益。为了帮助治理专家和治理顾问了解组织应如何严格地采用该模型以及哪种模型最适合他们的需求,最近进行了一项针对此问题的实地研究。
上述文章通过调研分析给出了企业对于“三道防线”与扩展的“五道防线”模型进行网络安全风险治理的现状,认为模型并未被严格遵照:多数企业未形成条线清晰的治理结构,第一道防线、第二道防线的典型职责被切割,第三道防线的内部审计不能对网络风险管理有效性进行全面的、及时的评估,因五道防线优化增加的执行管理层和董事会,受限于其认知和专业能力,并未完全融入治理体系中。针对研究强调的模型应用存在的差距,建议组织根据具体的环境评估模型的适用性,形成平衡和敏捷的治理方法,有效应对新兴的网络威胁。
版权声明:转载及点评的所有文章、图片、音视频文件等资料的版权归版权所有权人所有。此篇采用的文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件通知我们以便迅速采取适当措施避免风险。联系邮箱:[email protected]
编辑:宁信子、王菲菲
校对:李雪、陈师慧
执行主编:田金英
主编:冯晓冬
内容整理:中国电信安全公司市场部
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...