安全 安全 IT安全,中小企業能承受IT安全事故的風險嗎

2022-09-12 03:45:18 字數 2634 閱讀 7506

1樓:

網路安全,路由交換裡的

系統安全,作業系統裡面的,2003,等伺服器作業系統裡面的

使用安全,使用方式方面的,比如隨意插u盤 -----城市房產**

it安全策略,程式和標準

2樓:法昊

1.it安全策略

管理人員應該審視那些能夠管理特權賬戶(如域管理員賬戶、應用程式管理員賬戶、資料庫管理員)的it安全策略,要保障安全策略的存在,還要清楚存取訪問是如何被處理、驗證、證明的,要確保對這些策略定期進行審查。否則,基本上就不存在管理特權訪問的基礎了。在沒有相關報告的情況下,管理特權賬戶的策略是不完整的。

特權賬戶的口令稽核報告經常要涉及到如下的問題:口令何時更新、更新失敗有哪些,以及在一個共享賬戶下,個別使用者如何執行任務等等。

制定的策略應具有這樣的目標:能夠終止明顯的不可防禦的使用者活動。要確保所有的僱員、訂約人和其它使用者清楚其責任,從而與it的安全策略、方法以及與其角色相適應的相關指導等。

2.「超級使用者」賬戶和訪問

瞭解公司與使用者訪問有關的暴露程度是很重要的。應該決定擁有訪問特權的賬戶和使用者的人員,並獲得對網路、應用程式、資料和管理功能的訪問有較高權力的所有賬戶列表。包括通常被忽視的所有計算機賬戶。

由此,要確保使用者訪問能夠被檢查,並確保其擁有恰當的許可。一個好方法是定期地審查使用者訪問,並決定資料和系統的「所有者」已經得到明確授權。

3.賬戶和口令配置標準

要保證所有的管理員賬戶能夠根據策略更新。在特定裝置上,不應存在預設的口令設定。對那些擁有足夠的預設賬戶和口令資源的使用者來說,其資訊是很豐富的。

有一些安全賬戶,其賬戶名就是口令,這簡直是自尋煩惱。設定口令的期限也是很重要的,禁用某些明顯的臨時賬戶也是很聰明的作法。

4.對口令的受控訪問

對權力有所提升的賬戶和管理員的口令存取要加以管理。其道理可能很明顯,不過對口令的共享訪問並非總能得到控制。離線的記錄或開放性的訪問,如包含口令的電子郵件,就不應當存在。

即使一個加密的口令檔案也是不足取的。在最糟的情形中,口令檔案的口令並沒有得到控制。

5.服務賬戶( 「機器」 賬戶)

伺服器也可以被提升許可權,並用於各種罪惡的目的。這些賬戶典型情況下並不分配給人類使用者,並且也不包括在傳統的認證或口令管理過程中。這些賬戶可被輕易地隱藏。

管理員應該保障服務賬戶只擁有必要的訪問權。這些賬戶應該定期檢查,因為它們經常擁有超級使用者的能力。這種使用者的數量是很多的,而且還有許多不用的賬戶也需要注意。

6.高風險使用者和角色

有一些公司積級地監視某些角色,這些角色對企業會造成極高的風險,企業的監視會發現其潛在的「不可接受」的行為。許多企業擁有一些風險極高的關鍵角色。例如,一位採購經理為謀求一個職位可能會將自己能夠訪問的敏感資料帶到另外一家競爭公司那裡去。

這種情況下,其訪問是被授權的,不過卻存在著濫用的情況。崗位、職責的輪換以及設定任命時間是對付高風險的一個重要方案。注意:

it安全專家通常都屬於高風險角色的範圍。

7.安全知曉專案

任何僱員或使用者都可能造成一種威脅。貫徹執行一個可以處理上述所有要點的安全知曉專案,並能保證其強制實施勢在必行。現在有許多方案能夠確保所有的使用者已經閱讀並同意有關規則和政策。

其中一種工具是在使用者登入時要求其在一個警告訊息上簽名,要求使用者確認其同意並選擇視窗中的「接收」或「同意」核取方塊。

8.背景篩選

背景篩選就是要認真地問僱員一些措詞嚴格的問題,以揭示其特定行為和態度的危險訊號,例如:

·違規的或異常的工作經歷:離開工作的可疑理由、長期未被僱用的原因

·欺詐:在某些事實上(例如教育、以前的僱傭關係)的虛偽陳述

·人格/態度問題:與同事或管理人員的糟糕關係

·挫敗、威信問題、猜疑、無力接受改變等

9.事件記錄

安全事件記錄提供了實時使用和活動的透明度。精確而完整的使用者及其活動的記錄對於事件分析和制定額外的安全措施是至關重要的。獲取訪問的方法、訪問範圍和過去的活動是很重要的。

為保證有充足的記錄,應考慮改善對較高風險領域和服務的記錄利用。

10.證據

管理人員應熟悉所使用的不同儲存裝置,如果有任何可疑跡象,還應具備 「指紋」知識的足夠知識水平。這可以是cookie資料、隱藏的作業系統資料等。從公司系統中獲取關鍵檔案並將其放置到閃速儲存器上是很簡單的事情,這些閃速裝置可被偽裝為數碼相機、個人數字助理(pda)或移動**等。

還有一些調查人員從移動**中收集和分析資訊,因為這種裝置可包含語音郵件、正文訊息、地址檔案、**號碼和許多遺漏**、已接**等。如果有任何可疑的非法活動,就應保留相關證據,直至最終決定其結果。

計算機資訊保安主要是指什麼

3樓:劍信

簡單的說就是資訊在儲存,傳輸的過程中不會遭到惡意的修改,擷取,和破壞。能夠保持資訊的完整性,真實性,正確性。

4樓:匿名使用者

範圍太廣了

入侵檢測,病毒防護,加解密,數字證書, 資訊隱藏與數字水印等

5樓:秦皇小刑警

病毒,木馬,各種入侵行為

中小企業能承受it安全事故的風險嗎

6樓:華森安全

it安全事故風險主要由企業的業務型別和緊急程度決定的, 不在於是中小企業還是大型企業。

中小企業成本管理的內容,中小企業成本管理的內容

中小企業成本控制創新分析 現代中小企業的長遠發展必須依靠成本控制的不斷創新,即引進先進的成本控制理念和科學合理的方法,不斷完善成本控制體系,進一步挖掘降低成本的潛力,才能在激烈的市場競爭中求得生存。中小企業是推動我國社會主義市場經濟發展不可缺少的生力軍,但由於中小企業經營規模較小 資金力量較弱 內部...

中小企業融資的目的和意義中小企業融資的研究背景目的及意義

love中小企業進行融資的目的和意義是什麼 金融危機的時候當時有個資料中國有至少3萬家中小企業破產。而他們破產帶來的直接影響就是他們吸收的勞動力再次成為失業人口,給社會的穩定帶來了負面影響,所以扶持中小企業,讓他們在市場裡存活下來也是對再就業的扶持。而。中小企業上市說的什麼高成長高科技含量等等都暫時...

中小企業在應用ERP需注意事項,中小企業應該怎樣選擇適合的ERP

企業如何選擇適合企業的erp 現在很多中小企業在選擇erp管理軟體時,認為只要是耗資巨大的就一定是好的,才是無所不能的,這個是很多中小企業選擇erp管理軟體時所犯的通病,他們認為花了這麼多錢,erp管理軟體就理所當然的能為企業解決所有的問題。這種不務實的想法,不僅會誤導erp管理軟體的選型,而且給以...