完整的安防解决方案:人、制度、技术、做法

 

以边界为中心的安防

预防踩点、扫描,系统硬化、压缩和加密传输、系统状态监控、异常数据报警。

网络链路的安全及连续性保障:双链路连接方式:一、专有光纤线路;二、公网+VPN专线;两条链路分别都具有安全保障,同时可以互为备份,起到高可靠性的保障作用。内部网络也可以采用双链路连接,保障网络的高可用性。

负载均衡:当平台系统业务量巨大,或有发生单点业务量剧增的情况时,增加负载均衡设备,保障系统应对大业务量时的正常运行。

 

以应用为中心的安防

CA认证、Ukey 若干备选方案,在保证信息安全,不泄密的同时,也起到防冒名盗用的作用。

对频申请和取消业务,频繁违规操作或误操作的行为,向监管部门呈报。

针对不同应用的特点,定制差异化的安全策略

 

自动化分级响应系统

能够随时随地面对威胁做出恰当的反应。当前面临的持续增加的攻击速度、攻击频率、受攻击面,使得人工决策不能承载防卫第一线的压力,需要引入具备自动探测、评估和响应能力的自动化分级相应系统。

系统的安全不是只有“处于绝对安全状态”和“处于完全风险状态”两种状态,不同级别的攻击需要不同速度、级别和类型的响应。

 

具备安防意识的系统设计

在系统架构设计伊始即考虑到数据保护和流程规范。

在设计时理解数据处理者(处理他人数据者)与数据控制者的区别,合理设计系统流程,降低在内部和不经意间产生安全问题的隐患。

 

以数据为中心的安防

多个部门多种连接,意味着更大的安全风险。应用数据平台技术可减轻攻击造成的损害。

服务器集群、Raid以及数据平台安全架构

 

数据平台的一些优点:

1.数据平台技术可通过服务提供数据访问与整合。

2.数据平台支持安全系统处理大批量快速变化的数据,规模较传统日志分析方法出现了多个量级的增长。

3.数据平台可以简化非结构化数据类型的管理,进而增加安全分析的应用范围。

4.数据平台可以通过分析类似的网络使用模式,已确定可以员工下载报告的时间是否存在异常,而帮助排除内部威胁。

5.可比较信息包,相同的信息包发往不同的主机可能意味着信息潜在威胁正在窥探信息。

 

其他安全建议

做好安全相关的法律法规知识准备工作,一旦出现问题,能够及时查找有法可依,快速应对。

对来自各方面的,针对攻击嫌疑和事实的投诉,组织好接待、受理和反应机制。

对数据泄露制定正确有效的预案。

员工、用户安全培训和演练。

对于敏感数据,考虑是否原本就应该采集和保存这些数据。