企业应该采用和支持网络安全的几个实践

令人惊讶的是,网络安全可以像遵循最佳实践一样简单,理想情况下应该将其融入企业文化本身。在这篇文章中了解更多。 

网络安全的重要性

在当今的网络安全期望中,软件工程师应该优先考虑他们的计算机系统和内部IT网络的安全性。我认为严重依赖技术是一个错误,因为很多风险本质上都是非技术性的。互联网可能使企业容易受到数据泄露和勒索软件的攻击,从而导致持久的声誉损害。这些非技术风险确实可以使用技术解决方案来处理。

这些事件还可能导致重大的经济损失和潜在的法律问题。在我看来,实施强大的网络安全措施不仅是一项技术要求,而且是任何希望加强其防御和弹性的企业的关键举措。

在这篇文章中,我想说明的是,软件工程师不应该再把安全看作是安全工程师的责任,而应该接受它是他们的责任。您不需要成为工程经理或主管来提出和实施最佳实践。软件工程师应该使用说服、数据和展示投资回报的力量,轻轻地推动他们的组织朝这个方向发展。

重大网络安全事故

(1)Equifax数据泄露

这可能是人们记忆最深刻的漏洞,也可能是有史以来最大的安全漏洞之一。在这次事件中,1.445亿人的社会保险号和信用卡信息被盗。该漏洞的发生是因为web应用程序框架的一个弱点没有及时修复。这表明及时更新软件是多么重要。

(2)WannaCry勒索软件攻击

这次攻击造成了持久的破坏,成千上万的计算机网络瘫痪。英国国家医疗服务体系(NationalHealthService)不得不用纸和笔来管理其设施。这次勒索软件攻击对全球150个国家的20多万台计算机造成了影响。它是由未修补的Windows漏洞引起的。

(3)SolarWinds网络攻击

对太阳风猎户座平台的网络攻击是一种相对罕见的供应链攻击。黑客在软件更新中插入病毒。这一漏洞影响了许多美国政府机构和私营部门公司,凸显了与第三方软件相关的漏洞。

9个网络安全最佳实践

1.是否有数据分类策略并强制执行

没有人比编写软件来处理和管理数据的人更了解数据了。软件工程师有责任按照预期使用数据。软件工程师应该推动健壮的数据分类策略和执行机制。在一天结束的时候,如果有误用,软件工程师将被追究责任,即使是部分责任。

数据分类是根据(a)数据的敏感程度和(b)如果被错误的人看到会造成多大的伤害,将数据分成不同的组。这样的分类,虽然简单,但有效,因为有一个计划的数据分类:我们可以确保重要的信息保持安全,只有应该看到它的人。定期检查我们是否遵守规则并在需要时对组进行更改也很重要。

2.有数据、设备和政策的清单吗

软件工程师应该有足够的工具、信息和指导方针来实现安全性。他们应该成为这样一种文化的支持者,这最终会让他们的生活轻松得多。

在任何有效的网络安全管理系统中,维护所有数据、设备和政策的最新库存都是至关重要的。这样的列表可以帮助您了解哪些数据存储在何处以及如何保护它们。它还确保硬件文档、软件安装和漏洞识别配置。

3.定期进行风险评估并提出改进建议

软件工程师工具箱中最大的工具之一是威胁模型。它包括所有涉及到的软件组件的设计图,它们之间的交互,以及客户请求的进出口点。彼此之间提出尖锐的问题有助于我们评估风险,避免陷入毫无根据的假设的陷阱。

定期的风险评估使您能够识别开发环境中的威胁或漏洞。这些评估必须包括内部和外部因素,包括员工和第三方供应商,以及新的网络攻击趋势。基于这些发现,您必须提出改进建议,以加强组织的安全态势。

4.对所有登录尝试实施双因素身份验证(2FA)

双因素身份验证提供了额外的安全性,因为用户必须提供两种类型的标识才能访问帐户或系统。因此,即使登录凭据暴露,这也会减少未经授权的个人进入的机会。在所有平台和应用程序上实现2FA是保护敏感数据的基础。

虽然这听起来像是IT需求,但应该使用2FA来访问所有关键的软件工程平台和门户。您是否想要登录到一个跳转主机,以便访问云环境?请确保您的工作流程启用了2FA。如果不是,你能说服管理相关基础设施的人吗?

5.是否有全公司范围的密码管理系统

密码管理系统提供了一种安全的存储和管理密码的方式,从而为各种帐户开发出可靠且唯一的密码。它降低了密码泄露的风险,简化了个人登录凭据管理。

可能存在许多没有单点登录的外部系统,我们需要创建另一组凭据,其中一些可以与团队共享。密码管理器是在工程师和其他员工之间共享这些密码或秘密的最佳方法-不再通过电子邮件或聊天消息发送秘密。

6.安全意识培训和钓鱼测试

对员工进行有关网络安全威胁和最佳实践的培训,对于创建具有安全意识的文化至关重要。安全意识培训应定期涵盖识别网络钓鱼电子邮件、安全使用互联网和正确的数据处理程序等领域。偶尔可以进行网络钓鱼测试,以确定员工是否能够注意到或报告可疑事件。

作为软件工程师,如果您使用内部工具(通常提供更广泛的权限),这一点就更为重要。与您的安全团队或IT部门讨论安全意识培训。

7.加密所有内部和外部通信

加密确保在组织内外发送的敏感信息保持机密性和安全性。应该在所有通信渠道上部署健壮的加密协议,包括电子邮件系统、消息传递应用程序和文件传输。因此,即使信息在传输过程中被截获,也可以防止对信息的未经授权的访问。

AES-256对于静态数据是一个很好的加密算法。对于传输中的数据,最好使用用于通信的任何TLS库的默认值。它们通常默认为AES-256,但选择默认可以确保我们不会尝试任何不太为人所知、研究较少的加密算法。即使是点对点的机器通信也应该理想地使用加密。在专用网络的端点之间使用明文通信是可能的,但它需要大量的经验来锁定它。

8.是否有事件响应计划

制定的事件响应计划有助于指导实体在网络威胁(如数据泄露或勒索软件渗透)期间采取行动。它包括预防措施、响应协议、恢复策略和通信程序。该计划的定期排练和持续改进确保组织为潜在的安全突发事件做好准备。

大多数情况下,软件工程师将参与到事件中,他们将承担大部分缓解责任。作为一名软件工程师,有这样一个计划可以确保你知道自己的角色和责任。

9.兼容第三方云服务提供商
即使公司将第三方云服务提供商集成到其云计算平台中,也可以实施云计算监控。这使他们能够免受可能来自第三方提供商的威胁。

例如专注云计算安全的德迅云安全服务商,专注于以实战化经验结合机器学习能力构建新型网络安全产品,以解决云环境中复杂多变的网络安全问题。公司以软件定义、智能主动、贴合业务、实战化的产品技术理念,依托UEBA、SDP、零信任结合机器学习,形成终端安全、应用安全、DDoS防护三大安全产品系列。通过对云上业务的安全问题精准刨析,从而在产品中形成针对性的纵深防护体系,解决云业务的攻击威胁、业务可用性、数据安全、合规性等问题

总结

总之,虽然这些实践乍一看很简单,但网络安全工程师必须记住它们的重要性。有时候,好的解决方案是最简单的。有了复杂的政策,就会产生混乱,这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时,效果会更好。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/905272.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

升降压斩波【电力电子技术5章】

降压斩波: 升压斩波: 升降压斩波:

细说 ThreadPool(线程池)使用与优势以及实现方式

细说 ThreadPool(线程池)使用与优势https://mp.weixin.qq.com/s?__bizMzkzMTY0Mjc0Ng&mid2247485102&idx1&sndc578203c855e479a5b678b99b0f46b6&chksmc266aabbf51123ade562bf61230c3665886ae6c38fec790d2d9fb83afa805a1402d81086263c#r…

一种将树莓派打造为游戏机的方法——Lakka

什么是Lakka? Lakka是一款Linux发行版,轻量级的,可将小型计算机转变为一台复古游戏机。 图1-Lakka官网,见参考链接[1] Lakka是RetroArch和libretro生态系统下的官方操作系统,前者RetroArch是模拟器、游戏引擎和媒体播…

中医知识图谱之可视化模糊查询+力导向图+环形图的布局切换

后端通过springboot链接neo4j实现 前端通过echarts的关系图组件实现,echarts版本是4.2.1(有点老的版本但是不影响) 实现功能是模糊查询中药方剂和药材的关系图谱 1 知识图谱可视化 黄色标识药方方剂、蓝色是药材,支持切换布局、支持模糊搜索…

【春秋云镜】CVE-2023-27179

CVE-2023-27179 CVE-2023-27179 是一个影响 Apache Doris 的漏洞。Apache Doris 是一款用于交互式分析的高性能数据库,特别适用于处理大规模的结构化数据。该漏洞属于权限提升漏洞,允许未授权用户以管理员身份执行敏感操作。 具体细节 漏洞类型&#…

Mybatis使用和原理

Mybatis使用和原理 1、ORM架构2、Spring整合MyBatis使用2.1 添加maven依赖2.2 配置数据源2.3 创建实体类2.4 创建 MyBatis Mapper2.4.1 使用MyBatis注解2.4.2 使用XML方式 2.5 Service 层 3、Spring整合Hibernate使用3.1 添加maven依赖3.2 配置数据源3.3 创建实体类3.4 创建 Re…

C/C++ 矩阵的QR分解

#include <iostream> #include <vector> using namespace std;int main() /* 矩阵A的QR分解*/ {// 动态分配内存int m 3; // 行数int n 3; // 列数// 初始化矩阵Adouble A[3][3] {{1, 2, 2},{2, 1, 2},{1, 2, 1}};double R[3][3] { 0 };double Q[3][3] { 0 };…

Transformer-BiGRU多特征输入时间序列预测(Pytorch)

目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 Transformer-BiGRU多特征输入时间序列预测 可以做风电预测&#xff0c;光伏预测&#xff0c;寿命预测&#xff0c;浓度预测等。 Python代码&#xff0c;基于Pytorch编写 1.多特征输入单步预测&#xff0c;多步预测&a…

Unity hub登录时一直无法进入license

直接只卸载unity hub&#xff0c;然后重新下载unity hub安装即可&#xff0c;重新登录即可。 有时会自动关联安装的位置&#xff0c;如果不能&#xff0c;则手动定位添加即可。 网上各种修复的方法操作费时费力。

【MySQL】架构

1. MySQL架构基本理解 与餐厅就餐类比理解 每次数据库查询就像一次餐厅服务 应用程序发出查询相当于点菜MySQL解析和执行查询&#xff0c;后厨根据订单制作食物事务管理保证数据的一致性&#xff0c;类似于结账的时候保证账单正确查询的时候考虑优化器&#xff0c;类似于厨师选…

4款专业音频在线剪辑工具帮你开启创意之路。

音频在线剪辑工具能够为我们提供很大的便利&#xff0c;对于不管是专业的音乐制作人还是音频创作爱好者来说&#xff0c;都能借助一些音频编辑工具来充分发挥自己的创意。所以这一次&#xff0c;我要给大家介绍几个专业方便的音频剪辑工具。 1、福昕音频在线 直达链接&#x…

【热门主题】000015 大数据治理:开启数据价值新纪元

前言&#xff1a;哈喽&#xff0c;大家好&#xff0c;今天给大家分享一篇文章&#xff01;并提供具体代码帮助大家深入理解&#xff0c;彻底掌握&#xff01;创作不易&#xff0c;如果能帮助到大家或者给大家一些灵感和启发&#xff0c;欢迎收藏关注哦 &#x1f495; 目录 【热…

后端Java学习:springboot之文件上传(阿里云OSS存储)

一、什么是阿里云存储&#xff1f; 阿里云对象存储OSS&#xff08;Object Storage Service&#xff09;&#xff0c;是一款海量、安全、低成本、高可靠的云存储服务。使用OSS&#xff0c;您可以通过网络随时存储和调用包括文本、图片、音频和视频等在内的各种文件。 二、阿里云…

HarmonyOS应用开发者基础认证——初级闯关习题参考答案大全

相关文章 HarmonyOS应用开发者中级认证——中级闯关习题参考答案大全 HarmonyOS应用开发者高级认证——高级闯关习题参考答案大全 文章目录 HarmonyOS第一课 HarmonyOS介绍判断题单选题多选题 HarmonyOS第一课 DevEco Studio的使用判断题单选题多选题 HarmonyOS第一课 ArkTS语法…

blender 小车建模 建模 学习笔记

一、学习blender视频教程链接 案例4&#xff1a;狂奔的小车_建模_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1Bt4y1E7qn?p14&spm_id_from333.788.videopod.episodes&vd_sourced0ea58f1127eed138a4ba5421c577eb1 二、开始建模 &#xff08;1&#xff09;创…

ros使用rviz加载雷达扫描数据

roslaunch wpr_simulation wpb_simple.launch使用rviz打开rviz rviz

小米开放式耳机值得买吗?小米、南卡、倍思开放式耳机横评对比!

​最近双十一活动已经开始了&#xff0c;大家挑好自己想买的开放式耳机了吗&#xff1f;不知不觉现在用开放式耳机的人越来越多了&#xff0c;这类耳机以高佩戴舒适度为优势&#xff0c;比入耳式耳机更加适配运动场景&#xff0c;作为一个数码博主&#xff0c;同时我最近也开始…

QT中使用图表之QChart绘制X轴为日期时间轴的折线图

显然X轴是日期时间轴的话&#xff0c;那么我们使用的轴类就得是QDateTimeAxis QChart中日期时间轴的精度是毫秒 因此图表里面的数据的x值需要是一个毫秒数&#xff0c;才能显示出来 --------------------------------------------------------------------------------------…

Chrome浏览器控制台替换接口返回内容

1.打开Chrome DevTools&#xff1a; 使用快捷键F12或右键点击页面并选择“检查”来打开Chrome DevTools。 2.导航到Network面板&#xff1a; 在DevTools的顶部菜单中&#xff0c;选择“Network”&#xff08;网络&#xff09;面板以监视网络请求。 3.发起目标请求&#xff1a; …

5G NR NARFCN计算SSB中心频率MATLAB实现

本期给大家带来5G NR中已知绝对射频信道号NARFCN如何计算SSB的中心频率&#xff0c;用MATLAB实现&#xff0c;参考3GPP 38.104 下图是NARFCN与SSB中心频率换算关系&#xff0c;其中NREF就是NARFCN。 函数输出频率的单位是MHZ&#xff0c;输入是NARFCN。 有不清楚的地方欢迎来…