企业安全体系结构(ESA)对大多数企业来说是一个相对较新的概念&IT利益相关者。然而,由于企业的CISO需要从战略上解决信息安全债务并满足与隐私相关的合规性日益增加的负担,因此采用率在增加。这篇文章将收集一些有用的在线资源,这些资源开始探索一种新颖的方法来构建成熟的企业安全性体系结构。
IT,信息安全,网络安全,业务连续性,风险 Management
| IT,信息安全,网络安全,业务连续性,风险管理 网络安全的9个步骤 |
================================================== ====================
下图是从 瑞士信息安全协会的论文“什么是安全架构”
人际关系&安全架构和相关IT架构之间的依赖关系:
1. Designing a security architecture should be a response to Business strategy and 要求。
2. The IT Strategy should be a response to the Business strategy and 要求。
3. IT参考体系结构应该是对IT战略和治理的回应。参考体系结构通常将处理多个平台。
4.参考安全体系结构是IT体系结构的一部分,即使该参考安全体系结构作为基础结构发布。 separate document.
5. IT安全风险管理,流程和标准。从业务战略和 requirements.
6.根据安全策略,指令,标准等生成一组基准控制。
基线控制我们了解组织的强制性最低标准。输入值 comes 从法律/法规环境中进行基准测试并发布安全性“良好做法” 等等。请参见下面的第5节。
7.其他控制来自风险管理过程。
8.安全体系结构是基准和附加安全控件的体现。它 也可以定义为包括政策,指令,标准和风险管理过程。
9.一些组织使用术语“解决方案体系结构”来指代从参考体系结构派生的特定实现。
================================================== ===========
================================================== ===========
企业安全体系结构–安全控制矩阵。 –来自 罗伯·坎贝尔的网站.
================================================== ===========
安全层–保护现代数据
- 物理层:栅栏,大堂,保安人员,物理锁,证章读取器,监控,通风口&空调,保险箱
- 外围层:防火墙和NGFW,VPN,反向代理/正向代理,IDS,SSO,MFA
- 网络层:IPS,电子邮件安全,窗口通信控制,WAD,数据采集网络(DAN / 西门子),NAC&逻辑访问控制,NTP,无线网络安全,密码管理(保险柜),SOC,DLP,ATP
- 主机层:基于主机的防火墙,反病毒/恶意软件,漏洞扫描&修补,CMDB和资产管理,服务器访问控制,操作系统强化指南,MDM,PAM,设备加密,DLP
- 应用程序层:SSL证书(传输中的数据),角色库访问控制(RBAC / ABAC),应用程序代码审查,密钥mgmt系统,源代码mgmt安全
- 数据层:数据加密,数据丢失防护(DLP),分布式拒绝服务,数据备份/恢复
- 合规层–政策,程序,& Awareness
- 治理,风险和合规工具
- 业务连续性和灾难恢复
- 认证:SOC2,ISO27001,隐私保护罩,GDPR
- 更换管理层
- 身份管理和身份治理
- 安全意识培训
- Incident 管理
- HR Backgroudd检查
- …等等
================================================== =========
零信任网络
– ScaleFT提供了零信任软件,可用于保护内部服务器和服务。
–超越公司
创建零信任网络的5个步骤
1.确定您的有毒数据源
2.映射有关有毒数据的交易流
3.根据有毒数据源及其过渡使用方式构建零信任网络
4.根据数据(用户和应用程序)的预期行为,在您的细分网关上编写规则
5.监控网络;检查并记录流量;根据您从安全分析系统获得的情报更新规则
