首頁 > 資安知識庫 > 系統與平台安全 > 儲存安全

網路攻擊與防範新技術(下集)-SANS發表第六版重點資安控制項目指引

作者:林皇興/ CISSP -2017 / 01 / 06 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

上集談及了新的CIS重點資安控制項目指引第六版內,所定義的二十個控制項目中的二分之一,接續我們將繼續進行後續二分之一的摘要說明,以作為管理上的參考。

CSC 10: 資料復原能力

透過管理程序與工具,確保重要的資訊資產有定期正確的備份,並且需要時能正確的還原資料。由於目前惡意勒索軟體猖獗,攻擊者入侵系統有可能會變更資料的內容或加密。

指引中第一點建議考量自動化並定期對系統、程式與資料進行備份。第二點需定期檢查備份的媒體,確保備份的資料能夠正確的還原。第三點需確保備份的資料之實體安全或適當的加密措施。第四點需確保重要系統的至少一份備份標的並不是隨時連接在作業系統上,此考量是避免攻擊者或惡意程式可以直接接觸到備份的資料而一起破壞。

CSC 11: 網路設備的安全設定

針對重要的網路基礎設施之設定進行安全設定管理(追蹤、報表、矯正)。有必要時可導入時下的自動化組態管理工具。管理面建議實施變革管理程序,任何的重要變更都應該經過評估、獲得許可並進行文件化記錄。指引中第六點建議網路設備的管理者,應當用特定的裝置來連線管理,而該裝置避免用來上網與收發電子郵件,以降低被攻擊的可能。

CSC 12: 邊界防護

單位的網路邊界需要適當的保護措施,使其有能力可以偵測、阻擋任何流經網路邊界的流量。通常企業會依據不同的信賴等級而形成不同的區域(Zone),例如將網路區分內部、DMZ與外部網路,也可能做更多的區分。然而跨不同的信賴網路區域即需要實施適當的存取控管,如防火牆、路由器AC;甚至佈署必要的防護機制,如IPS、IDS、Proxy代理…等。

但是隨著無線連網的普及,加上VPN甚至跨單位間特殊連線的需求,使得網路邊界的定義越來越複雜,管理上存在更多的挑戰。

1
推薦此文章
9
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…