企业安全架构(ESA)是大多数业务的相对较新的概念&它利益相关者。然而,由于CISO的企业在战略性地解决信息安全债务,并且符合越来越多的隐私相关遵守负担,因此采用增加了。此帖子将收集一些有用的在线资源,该资源开始探索建立成熟的企业安全架构的创意方法。
它与信息安全与网络安全VS业务连续性与风险管理
| 它与信息安全VS网络安全与业务连续性与风险管理: 网络安全的9个步骤 |
================================================== ====================.
下图是来自 信息安全社会瑞士的论文“什么是安全架构”
关系&安全架构与相关性IT架构之间的依赖性:
1.设计安全架构应该是对业务战略和要求的回应。
2. IT战略应该是对业务战略和要求的回应。
3. IT参考架构应该是对IT战略和治理的回应。参考架构通常会遍及多个平台。
4.即使它被发布为单独的文档,参考安全架构也是IT架构的一部分。
5. IT安全风险管理,流程和标准。来自业务战略和要求。
6.基于安全策略,指令,标准等生成一组基线控件
基线控制我们了解组织的强制性最低标准。输入来自法律/监管环境,基准和公布的安全性“良好做法”等。见下文第5节。
7.额外的控制来自风险管理过程。
8.安全架构是基线的实施例和附加安全控制。它也可以定义为包括政策,指令,标准和风险管理过程。
9.一些组织使用术语解决方案架构来引用来自参考体系结构的特定实现。
================================================== ===========.
================================================== ===========.
企业安全体系结构 - 安全控制矩阵。 - 从 Rob Campbell的网站.
================================================== ===========.
安全层 - 在现代时代保护数据
- 物理层:栅栏,大厅,保安,物理锁,徽章读者,监控,通风口&空调,物理保险箱
- 周边层:防火墙和NGFW,VPN,反向代理/前进代理,ID,SSO,MFA
- 网络层:IP,电子邮件安全,窗口通信控制,WAD,数据采集网络(DAN / SIEM),NAC&逻辑访问CONROLS,NTP,无线网络安全,密码MGMT(拱顶),SOC,DLP,ATP
- 主机层:基于主机的FWS,反病毒/恶意软件,漏洞扫描&修补,CMDB和资产MGMT,服务器访问控制,OS硬化指南,MDM,PAM,设备加密,DLP
- 应用层:SSL证书(在飞行中的数据),角色基础访问控制(RBAC / ABAC),应用程序代码审查,密钥MGMT系统,Sourcecode MGMT安全性
- 数据层:数据加密,预防数据丢失(DLP),分布式拒绝服务,数据备份/恢复
- 合规层 - 政策,程序,& Awareness
- 治理,风险和合规工具
- 业务连续性和灾难恢复
- 认证:SOC2,ISO27001,隐私盾牌,GDPR
- 更换管理层
- 身份管理和身份治理
- 安全意识培训
- 事件管理
- HR Backgroudd检查
- …等等
================================================== =========.
零信任网络
- SILIFT提供ZERO信任软件,您可以使用它来保护内部服务器和服务。
- FaiderCorp.
5个步骤创建零信任网络
1.确定您的有毒数据源
2.映射关于有毒数据的交易流程
3.基于有毒数据来源的零信任网络以及它过渡使用的方式
4.根据数据的预期行为在分段网关上写下您的规则(用户和应用程序)
5.监控网络;检查和记录流量;根据您从安全分析系统获得的智能更新规则