信息安全管理的二十条军规

 

 

棱镜门事件至少告诉了我们一个事实，那就是NSA的安全技术和管理水平领先业界至少3-5年。

企业今天面临空前的安全威胁，犯罪集团、黑客散客、竞争对手、内部员工…如果没有周密的安全管理体系，再好的安全技术也不能发挥作用。

近日NSA发布了一份安全报告《企业信息安全控制二十大关键问题》，

指出每个企业都应当在安全审计时回答上述问题，最大限度弥补可能被黑客利用的安全短板，我们姑且称之为企业信息安全管理的二十条军规（如果NSA能够严格执行这些军规的话，估计斯诺登同学也就没啥露脸的机会了）：

一、你是否登记了所有授权和未授权设备？

二、是否登记了所有授权和未授权应用？

三、是否为所有硬件、软件和移动设备创建了标准化的安全配置的镜像？

四、是否持续进行漏洞评估和整改工作？

五、恶意软件防护是否得到及时更新和升级？

六、应用软件是否安全？

七、无线安全边界的防护是否到位？

八、是否具备快速数据恢复的能力？

九、是否经常进行员工安全技能评估和培训？

十、是否在所有网络设备商都建立了安全配置？

十一、是否限制了对网络端口、协议和服务的访问？

十二、是否对管理员权限有足够的掌控？

十三、是否确定对网络边界进行了保护？

十四、是否紧密关注审计日志？

十五、你是否对安全状况了如指掌？

十六、你是否对假冒用户有足够的警惕？

十七、你能否防止网络攻击导致的数据丢失？

十八、你是否有一个快速高效的事件响应计划？

十九、你的网络设计是否强健到足以吓阻攻击者？

二十、是否定期进行入侵测试？