评估厂商安全策略:你应该关注这五个问题

日期:2017-9-28作者:赵长林

【TechTarget中国原创】

网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。安全策略是企业对付可能发生危害的最佳防御,并且有助于在危害发生后恢复网络和信息。在发生用户滥用网络事件或网络遭受攻击时,安全策略有助于企业确定应当做什么。

随着企业购买和采用安全服务来保障通信和数据安全,找到最佳和最安全的厂商成为一个并不轻松的问题。为确保领先于威胁,企业在评估厂商时,应关注如下五个问题:

实现了数据保护标准?

为满足市场竞争,企业应当遵循安全标准。不管企业是喜欢ISO 27001的证书,还是SSAE16认证,对于企业的厂商来说,这些安全标准必然都非常重要,因为企业对于外部实体拥有的控制更少。

认证和实施由厂商们定义的ISO 27001及其它标准可以提供一种战略性的信息安全框架,从而有助于企业教育员工保护有价值的数据。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

  • 在云中添加安全管理控制层

    企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。

  • 802.11ax如何防御IoT安全漏洞?

    IEEE 802.11ax将更好地支持物联网(IoT)。那么,它是否会改善IoT安全性?IEEE 802.11ax是否可防御像最近的Netgear路由器漏洞这样的问题?

  • 主动防御:拥抱数字化转型的安全未来

    “主动防御”的安全新思路应用到越来越多的企业中。瑞数信息与IDC携手发布数字化转型安全白皮书,帮助用户在确保关键业务得到安全保护的同时,能够更加从容地利用数字化转型优势,驾驭数字的力量。

  • 云栖大会前夕:阿里云安全来了场神秘发布

    国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……

相关推荐

  • 将平板电脑用于工作合适吗?安全问题怎么解决?

    平板电脑是不是不如笔记本电脑安全呢?我在为我的公司制定设备安全策略,是否应该禁用平板?或者采取特定的平板安全策略来限制特定厂商/OS的平板设备的使用?

  • 手把手教你实现有效的漏洞评估

    要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。

  • 做好灾备 为你的数据中心留条后路

    在进行数据中心容灾规划时要考虑到从主体设备到辅助硬件的方方面面,任何一个层面出了问题都可能影响业务连续性运行……

  • 网络透明是企业实现更高安全性的诀窍

    更大更多样化的网络意味着攻击者有了更大的攻击面。对此,现在的网络专业人士必须更新其安全政策来应对新的漏洞以及响应不可避免的攻击。但首先,他们需要对其网络有着清晰的视图。

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。安全策略是企业对付可能发生危害的最佳防御,并且有助于在危害发生后恢复网络和信息。在发生用户滥用网络事件或网络遭受攻击时,安全策略有助于企业确定应当做什么。

随着企业购买和采用安全服务来保障通信和数据安全,找到最佳和最安全的厂商成为一个并不轻松的问题。为确保领先于威胁,企业在评估厂商时,应关注如下五个问题:

实现了数据保护标准?

为满足市场竞争,企业应当遵循安全标准。不管企业是喜欢ISO 27001的证书,还是SSAE16认证,对于企业的厂商来说,这些安全标准必然都非常重要,因为企业对于外部实体拥有的控制更少。

认证和实施由厂商们定义的ISO 27001及其它标准可以提供一种战略性的信息安全框架,从而有助于企业教育员工保护有价值的数据。

如何评估雇员对安全的理解?

这个问题有助于企业知道雇员是如何对待安全问题的。如果在雇员回答时提出了其安全意识项目的一种详细而明确的过程,就是不错的表现。否则,人为错误会影响到几乎所有重大的安全问题。

如果一个厂商并不能够提供足够可靠的安全意识培训,那它将不值得企业进一步咨询和探讨,而应另请高明。

是否将客户数据从主要基础架构中分离?

如果企业的服务商提供了关于具体方法的详细信息,例如,加密数据和安全传输的方法,那将是非常理想的情况。同样地,客户数据和关键基础架构的分离也是不错的选择,因为通过将敏感的客户数据存放到不同的地方而不是放到供应厂商的网站上,很多危害都可以轻松避免,或者至少可减少其影响。

不将数据库从Web服务器中分离是厂商的最大错误,这是因为黑客可以更容易地访问。所以,数据库应存放到防火墙后的独立服务器上,而不是与Web服务器一起位于DMZ中。虽然由此导致设置更复杂,但为安全利益这是值得的。

开发和测试团队得到了哪些安全培训?

此问题针对的是为企业提供软件解决方案的厂商,它有助于企业评估厂商是否能够确保数据安全。厂商们如果忽视了安全的程序设计,就会为疯狂的攻击手段和自动攻击创造安全基础架构的巨大漏洞。因而,员工们能够获得相关的安全培训,以使其安全地完成其任务是至关重要的。

灾难恢复计划怎样?

这个问题很重要,这是因为它可以揭示厂商是否能够保持数据安全和灾难恢复计划的有效实施。厂商的回答可以表明在面临困境时是否保持警惕。在需要分享相关的威胁数据和为技术故障而制定详细确切的计划时,积极而专业的信息安全团队可能起到非常关键的作用。