来自 网络 2021-10-12 12:10 的文章

ddos防攻击_阿里云防护_超高防御

ddos防攻击_阿里云防护_超高防御

利用强大的信息安全框架,利用世界上最好的标准和infosec工具,构建全面的网络攻击防御体系像"信息安全框架"这样的术语可以用许多不同的方式来解释,因此,在整个infosec领域有许多重叠的标准其中一些是法律合规所必需的,如果它们适用于您,则必须严格遵守这些要求;而另一些则是技术上自愿的,但在整个行业中受到高度重视。明智的做法是了解所有这些强制性和自愿性标准,并决定如何最好地采用这些标准以及适当的脆弱性评估和拦截工具ISO标准:坚实的基础考虑到国际标准化组织(ISO)的指导方针涵盖了所有主要行业,因此他们创建了几个专注于infosec的指南就不足为奇了:ISO 270011和27701.2都是与国际电工委员会一起创建的ISO 27001:围绕基于风险的信息安全方法制定,在该方法中,您不断识别危险并选择适当的控制措施。ISO 27001对infosec的"控制"分为以下几类:书面安全政策、人力资源安全、资产管理、访问控制、加密、物理和环境安全、事件管理、业务连续性管理和遵守政府法规iso27701:更关注数据隐私的具体问题。事实上,其2019年更新是对欧盟上一年实施通用数据保护条例(GDPR)的直接回应。它要求组织将个人识别信息(PII)的保护纳入所有信息安全风险评估,并要求数据处理器或控制者将个人识别信息(PII)保护作为其最高优先级无论你是一家小企业还是一家在多个国家拥有设施的企业,你不仅要负责保护客户的PII,还要保护员工的PII。国际标准不应该包括您的信息安全实践的全部——事实上,在某些情况下,这意味着不符合标准——但接受ISO认证为任何企业的信息安全程序奠定了坚实的基础。(将ISO 27001的实践与成立.sc对infosec威胁提供了特别有效的防御。)CIS基准:infosec专业人员的infosec指南互联网安全中心(CIS)是一家致力于促进良好的信息安全实践的非营利组织,将其控制和基准5称为"保护IT系统和数据免受最普遍攻击的全球标准。"6将CIS基准测试称为"详细"是一种严重的轻描淡写:例如,Windows10Enterprise最新版本的手册就有1312页,涵盖了操作系统的各个方面。明智的做法是,浏览一下CIS的基准库,找到与您的操作最密切相关的文档,并在您为满足组织的独特需求而开发理想的信息安全框架时花些时间仔细研究一下行业和政府强制执行的标准行业管理机构或政府本身可能会要求以下所有事项,违规者将受到处罚。如果您的组织属于他们的权限范围,则他们的规则必须是您的信息安全计划的一部分。HIPAA:如果您出于任何原因在美国处理个人健康信息,无论是作为医疗保健提供者还是作为第三方资料(如用于福利管理的员工健康数据),您必须遵守健康保险便携性和责任法案(HIPAA)的安全规则。7这要求为任何电子存储的PII建立"管理、物理和技术保障"。HIPAA没有列出具体的infosec实践,也没有列出要使用的工具。(这就是为什么需要利用多种标准来创建信息安全框架。)然而,有一点并不含糊,那就是HIPAA的惩罚制度:违反行为可能意味着从1亿美元到150万美元不等的处罚,这取决于组织的罪责级别。8PCI DSS:处理借记卡或信用卡支付的任何企业、政府部门或非营利组织都必须遵守Visa、MasterCard和American Express制定的支付卡行业数据安全标准(PCI DSS)。9 PCI DSS对组织有更具体的要求,如防火墙配置和加密。与HIPAA一样,javaddos攻击防御,违规行为也会招致罚款——政府和私营部门组织的罚款不属于一次性付款,而是按月累积,直至违规方纠正其行为NIST:如果你想为你的企业建立一个有利可图的联邦合同,你最好准备采纳并维护国家标准和技术研究所(NIST)独特的网络安全框架。11.但是NIST的信息安全的基本阶段也不可否认地是任何组织的坚实基础:识别网络安全风险,先发制人地实施适当的保护措施,搜索和检测异常网络活动,并在违规行为的唤醒和数据恢复过程中立即采取应对和遏制措施。12DISA:尽管国防信息系统局(DISA)安全技术实施指南13中列出的要求仅对国防部是强制性的,但它们的更新频率比几乎任何其他infosec协议都要频繁,这使得它们成为开发自己框架的优秀资源GDPR:这些要求影响任何收集或处理欧盟成员国居民个人数据的组织。14几乎所有现代组织都需要至少在一定程度上执行GDPR标准。安全框架开发任何安全框架的第一步都是全面了解您的资产。无论您决定使用哪个框架,都无法保护看不到的内容。漏洞评估或漏洞管理解决方案可以帮助您全面了解网络上的内容一旦您准备好创建理想的信息安全框架,您显然必须从法律上有义务遵循的标准(HIPAA、GDPR、NIST)和那些不合规的标准(PCI DSS)开始。但除此之外,你还应该考虑其他标准可能带来的价值例如,维盟DDOS自动防御,iso27001可能很好地满足了您的infosec需求,但是您很欣赏CIS对保护您在amazonweb服务上托管的资产的详尽指导。采用相关的CIS标准不会损害您的云操作,而且几乎肯定会有所帮助。其他的自愿认证可能不直接适用于你的企业,但在决定是否遵循它们的指导方针之前,还是值得理解的。使用漏洞扫描、渗透测试和威胁建模来预测在不同配置下如何处理破坏性攻击也是至关重要的你需要正确的工具来帮助你——在泰纳布尔,我们有他们。Nessus Pro是业界领先的漏洞评估解决方案,台湾高防cdn,是许多信息安全框架(包括自定义方法)的理想补充。或者,我们提供帮助遵守特定协议的解决方案,例如成立.sc对ISO 27001合规性的支持泰纳布尔.io的PCI ASV变体了解更多并选择适合您的产品。开始你的Nessus免费试用1.ISO,"ISO/IEC 27001信息安全管理"2.ISO,"ISO/IEC 27701:2019安全技术",1993年8月。IT治理博客,"ISO 27001:附件A的14个控制集解释",高防cdn504错误,2004年7月20日。美国IT治理,"ISO 27701:隐私信息管理系统"5。互联网安全中心,"CIS基准"6.互联网安全中心,"关于我们",2020年7月7日。美国医疗协会,"HIPAA安全规则和风险分析",1998年12月。现代医疗,"HHS根据‘罪责’限制HIPAA罚款",1999年4月。PCI安全标准委员会,"维护支付安全"10.五点支付,"政府是否需要保持PCI合规性?"美国国家标准与技术研究所,"NIST网络安全框架"12,美国IT治理,"NIST网络安全框架是什么?"13.国防部网络交换,ddos防御只能烧钱,"安全技术实施指南(STIG)"14GDPR.eu公司,"GDPR是否适用于欧盟以外的公司?"