歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
六個參考步驟: 從企業安全策略 認識合規
2020 / 03 / 25
Tufin
企業營運風險可能來自於供應鏈互動關係,地緣政治問題,新興行業競爭等狀況。目前有許多指南和法規可指導公司減輕其網路風險,如:ISO / IEC 27002資訊安全管理,國家標準暨技術研究院(National Institute of Standards and Technology, NIST)網路安全框架,PCI DSS支付卡產業資料安全標準(Payment Card Industry Data Security Standard,PCI DSS)等。
對網路安全法規要求的遵從已經從“列表式清單”的思想轉變為嚴格的計劃,人們可以認真地滿足這些要求,對其進行持續實施並通過定期稽核加以證明。 現在,許多公司的變更管理程序都考慮“任何可能情況”,以防止在批准或實施變更之前違反政策。
如何透過網路安全標準和組織政策達到法遵要求
至今IT基礎架構越來越複雜,多樣技術的異質環境,通常包括實體數據中心以及虛擬化的私有雲和公共雲平台。 多數網路人員顯少能全面清楚了解混合IT環境的安全性和合規性。 以及如何在舊版,虛擬和雲端的平台上評估風險和讓策略的應用,可以一致性。
安全策略管理公司Tufin提供六個參考步驟應用於自身企業內,來維持企業安全上可以合規的關鍵要素。
步驟1:定義企業安全策略
企業安全策略是一種營運導向的結構,用於說明公司如何保護訊息和技術資產。制定關鍵安全策略時應考慮以下所有面向:企業必須遵守的外部法規要求和行業標準(例如PCI DSS,NIST,SOX,HIPAA,NERC CIP等);以及公司遵守的最佳做法。公司的安全策略應該包括如何教育員工保護公司資產,如何執行安全措施,評估安全策略有效性,以及必要的更正以確保策略進行。
步驟2:檢視現有的網路拓撲
隨著企業採用虛擬化,雲計算,行動運算,軟體導向的架構等,拓撲結構發生了巨大的技術轉變。企業必須深入了解其網路拓撲,才能獲得管理的資訊例如,機房,雲和混合網路中現有的網路拓撲等。該網路圖還包括業務應用程式,以及跨供應商和平台的安全策略。
步驟3:定義系統架構並根據企業策略重新塑造
根據企業策略最好的安全區域來定義系統架構,保護數據和應用程式。 只保護這些設備已不再能滿足需求,更需要內部網路分段將敏感資產與一般區域隔離。準確標示網路拓撲圖可以幫助分析由傳統及次世代防火牆建立的網路分段,並確定哪些隔離動作。
步驟4:確定安全漏洞並與安全策略保持一致
統一安全策略是網路的“理想”狀態,但是實際狀態是跨平台的安全策略的整合,無論策略是物理實體和虛擬防火牆中的安全規則,還是公私有雲平台中的安全策略,在這種情況下,有必要比較兩者且找出可能性的安全漏洞,進而採取措施彌合這些漏洞,並使網路配置符合所定義的策略。
以PCI DSS為例,“理想”狀態是沒其他應用程式可以存取處理支付交易的網段。但是,將理論與實際狀態進行比較之後,差距分析說明,營銷應用程式也會在該網段,以便偶爾從支付應用程式存取客戶數據。這不僅嚴重違反了PCI DSS,而且使企業面臨著代價高昂的數據洩露風險。所以就應當標記此情況以進行補救。
步驟5:明確地為異動請求建立定義且可稽核的流程
企業需要明確的流程來處理對網路配置更改的請求。由於業務需求會隨時間而變化,因此經常會有異動申請的狀況產生。例如,公司正在採用DevOps這樣的方法,對應用程式的更改更需要迅速完成。一般情況下,應用程式更新需要修改網路配置,並且需要非常迅速地進行異動的作業,以便跟得上業務發展的步伐。因此,網路團隊必須有一個流程快速完成相關要求。
此外,異動控制過程需要包括紀錄文件,以準確說明進行了哪些異動,出於何種業務目的以及在誰的要求下進行了哪些修改,同時該文件需要包含足夠的註釋,以便稽核員可以知道發生了什麼以及為什麼進行此項異動。如果出現問題並且需要追踪變更的起源,那麼此文件的重要性更不在話下。
第6步:維持安全策略稽核
對企業而言,最佳方法是保持整個安全策略的持續合規性,以便企業隨時可以進行稽核準備,無論是內部稽核還是外部稽核。 為了支持稽核,需要上述所有步驟的書面過程和變更活動文檔與證明合規性的其他方法包括報告,變更稽核和歷史記錄以及每次變更的重新認證。
合規
PCI DSS
稽核
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Fortinet修補遭駭客利用數月的FortiOS零時差漏洞
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
2024企業資安前瞻論壇:迎向複雜資安威脅的新時代 SIEM、SASE、API Security三大解決方案深度剖析
外媒關注!台灣受中國網攻倍增,電信業成為新目標
美國NIST發布首套後量子密碼學(PQC)聯邦資訊處理標準 FIPS
資安人科技網
文章推薦
資安署24年12月資安月報:政府機關網站實兵演練揭三大弱點,VPN安全成焦點
生成式AI時代下的SaaS資安治理!90%使用者為非 IT 人員
普萊德 WGS-804HPT 工業交換器存在三個嚴重漏洞,可實現遠端程式碼執行