資料結構
網路
關係型資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
時尚研究
法律研究什麼是基線安全?其標準框架是什麼?
對構成基線安全的定義有幾種不同的解釋。美國國家標準與技術研究院 (NIST) 將“安全控制基線”定義為一組針對低影響、中等影響或高影響資訊系統推薦的基本安全措施。它是由資訊安全戰略規劃工作開發的資訊安全控制的集合,用於處理一個或多個特定的安全分類。
另一方面,微軟將安全基線定義為特定企業建立的標準,應用程式和裝置必須遵守這些標準。微軟自己的安全基線是根據多個利益相關方的意見,針對不同影響級別的建議配置設定的集合。
為了避免術語的混淆,可以將基線安全視為企業在保持生產力和效率的同時,保護自身免受漏洞和威脅侵害所需的最低限度。
基線安全建立了一套基本的安全目標,每個特定的服務或系統都必須滿足這些目標。
這些目標的設定旨在既現實又全面,不包含任何技術要求。因此,關於給定服務/系統如何實現這些安全目標的細節必須在單獨的“安全實施文件”中定義。這些要素取決於服務/系統部署的操作環境,因此可以創造性地使用任何合適的安全措施。
允許並且預計會偏離基線,但必須明確指出這些偏離。
基線安全是指標對常見 IT 系統的標準安全程式。它具有多種含義,並在多種情況下使用。例如,
微軟基線安全分析器 是一種軟體程式,用於分析微軟作業系統和服務的安全性。
思科安全基線 - 供應商建議的網路和網路裝置的安全控制。
諾基亞網路的安全基線 - 開發了一套標準和最佳實踐,重點關注網路運營商。
ISO/IEC 13335-3 為風險管理建立了標準。儘管 ISO/IEC 27005 已取代該標準,但 2700x 系列尚未採用基線方法。
組織擁有各種內部基線安全策略。德國聯邦資訊安全局 (BSI) 提供了一個全面的基線安全標準,該標準與 ISO/IEC 27000 系列一致。
從網路攻擊的可能性到遵守政府監管的合規性要求,再到密碼管理,每家公司都應該至少具備基本的安全保護:保持其運營安全的最低限度的策略和流程。
基線安全檢查
基線安全檢查是一種組織工具,可以快速評估 IT 安全的現狀。
透過訪談,研究現有 IT 網路的現狀(根據 IT 基線保護預測),並參考 IT 基線保護目錄中部署的安全措施的數量。
結果是一個目錄,其中列出了每個相關措施的實施狀態,例如“可有可無”、“是”、“部分”或“否”。
透過識別尚未部署或僅部分應用的措施,強調了資訊科技安全改進的替代方案。
基線安全檢查提供了有關當前缺乏的保障措施的詳細資訊。由此得出了透過安全措施實現基線安全還需要做的事情。
並非所有此基線檢查提出的建議都必須被採納。有必要考慮特殊情況!
伺服器可能託管了許多安全要求較低的不太重要的應用程式。但是,這些應用程式將整體上獲得更高的安全級別。這被稱為累積效應。
伺服器的安全要求由在其上執行的應用程式確定。一個 IT 系統可以執行各種應用程式。發生這種情況時,IT 系統的保護類別由需要最高保護的應用程式確定。
另一方面,具有高安全要求的 IT 應用程式可能不會立即將其傳遞給 IT 系統。這可能是由於 IT 系統的冗餘配置或僅在其上運行了一個小元件。這被稱為分佈效應。例如,群集就是這種情況。
基線安全檢查確定了應實施的安全程式。這種保護程度足以滿足輕度到中度的保護要求。根據 BSI 的估計,這佔所有 IT 系統的大約 80%。對於具有高到極高保護需求的系統,通常使用基於風險分析的資訊安全概念,例如 ISO/IEC 27000 系列標準。
2K+ 閱讀量
