安全IT企业具备的良好安全习惯(2)
6. 安全的组织具备强配置管理流程。通过一种自动化配置流程或诸如Puppet或Chef这类配置管理软件工具,对敏感系统进行加固和必要功能的构建。初始构建以后,使用配置软件工具周期性检查系统配置、确保系统保持加固状态,或者采用强变更控制以维护系统配置并防止服务器蠕变。
7. 安全的组织存储尽可能少的敏感信息在它们的系统上。对于那些出于商业或法律原因必须保存的敏感信息,遵循每一个正式记录的数据保留策略、存储在尽可能少的系统上,当不再需要时则予以安全地删除。所有存储的敏感信息会被定期审查并应证明是正当存储。
8. 安全的组织都采用强加密存储和传输敏感数据,并具备强健的加密密钥管理步骤和流程。如果进行正确实施和管理,强加密的数据本质上是“无法破解的”且对攻击者不可用。
9. 安全的组织持续收集和检查敏感系统产生的日志。使用脚本或自动化流程按照预定义事件进行日志检索,例如添加新帐号一类事件。当检测到这样的事件,会发送告警给具体负责的员工,后续由他负责事件调查。
10. 安全的组织通过脆弱性扫描或渗透测试,定期测试敏感系统的脆弱性。正确、定期完成这样的测试,能对组织安全控制的有效性提供“真实世界”的确认。如果一个组织未在测试它的防御能力,那么黑客很可能会做这项测试—当然他们并不会报告最终结果。
综上所述,这十项良好的安全习惯可以使组织安全并保持它的安全性。通过细致的规划和设计,这些特质可能成为组织的一部分,即使组织未采购或实施复杂且昂贵的技术方案。
