一、开展梳理CDMB资产表
企业有哪些信息系统、多少服务器、多少应用软件,开放了哪些网络策略,网站域名、互联网暴露面是什么?有哪些数据资产等等,这些都属于CDMB范围。梳理企业资产清单是安全管理的第一步,这些可以手工方式完成,并建议每季度更新一次。针对信息系统层面的信息资产,可以再细分为应用进程、端口、备份、IP地址、服务器配置、服务商联系人等细颗粒度信息。数字化转型网www.szhzxw.cn
二、账号权限的管理与定期审计
账号管理是安全事件高危区域,类似弱口令常年长居安全红线榜单。通过梳理账号形成清单,梳理权限授权情况。区分系统、数据库、应用、安全等账号,加强特权账号管理等非技术层面内容。作为企业管理方,可以把这些重要的工作落实到技术侧同事进行日常开展。数字化转型网www.szhzxw.cn
三、跟踪落实中高危漏洞整改
发现漏洞后不及时整改、已整改的漏洞下次升级版本时又复现是发生安全事件的重要原因,管理动作上落实和跟进中高危漏洞整改是重要工作。把安全扫描的专业报告转换成《xx平台漏洞跟踪清单》非常重要,报告是底单,漏洞清单才是管理落地的要点。
四、开展企业钓鱼演练
企业无法配备专业的安全人员、无法采购专业的安全技术工具,那么防范网络和数据安全事件,开展钓鱼演练是性价比比较高的工作之一。或者很多安全事件的起步都是从钓鱼攻击开始,钓鱼攻击无法完全杜绝,但是可以降低钓鱼中招的比率,有经验反馈钓鱼中招率最好在5%以内。钓鱼演练可以群发邮件方式,比如节假日发放福利、升职加薪等场景,这项工作是真实提升安全意识的活动。
五、开展少量的网络安全活动
安全没有资源,被监管检查很难受,但反过来有时需要借助监管或者重要安全活动,组织开展一些企业网络安全活动。比如每年9月的网络安全宣传周,或者上级主管部门的安全检查等。比如做一些调查问卷、A4打印一些宣传手册、张贴安全广告贴等,实际整体费用不高,营造一些安全气氛,虽然一次效果不佳,但是坚持3-5年企业侧安全会有改观。
声明:本文来自数法细语,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于数法细语;编辑/翻译:数字化转型网萍水。
