百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

[避锅指南]网络安全人员如何避免成为背锅侠

liuian 2024-12-02 22:19 17 浏览


如今,五花八门的网络安全法规频频出台,各国政府对网络攻击和数据泄露事件的处罚日趋严厉,越来越多的CISO们将开始考虑一个迫切的“安全问题”:

如何避免自己成为替罪羊甚至锒铛入狱。

为了避免成为替罪羊(这也是网络安全专业素养之一),CISO应建立清晰稳固的沟通渠道,将成员纳入网络安全决策过程。

保护企业免受网络攻击的最佳方法是建立强大的安全文化,并将网络安全置于所有决策的中心。这需要整个组织的共同努力,包括高管、员工和安全领导者。

CISO的关键任务之一就是“让网络安全成为所有人的责任。”

网络安全这事正所谓:

口号响亮 啥也不干

请示领导 没有预算

结果可想而知


当然为了减少不必要的麻烦,本着多一事不如少一事的原则,还是技术上尽量减少风险:

1、从传统黑名单转为白名单机制

不知道的端口不开放,能节省90%的合规问题和意外之外风险,到底要放通啥,先把端口备案报上来。

2.运维加强

最重要的就是堡垒机和相关VPN开启双因子认证,切记放绕行策略要做到位。

3.合规要求满足

厂家的坑咱先不管,先保证180天日志到手,特征库在期,J尽管查。

4.制定上线要求

1.系统账户的鉴权信息需对密码复杂度做限制,要求至少8位以上,包括三类字符(数字、字符、大小写字母等);

2.应用系统账户需对密码有效期做限制,要求最长使用期限不超过1年,强制密码历史记录为至少1次;

3.应强制用户首次登录时修改初始口令;

4.需要有账户登录失败处理;(如限制非法登录次数超5次后,账户锁定15分钟或者程序自动退出等处理方式);

5.系统正式应用时,应禁用默认账户或测试账户,删除多余账户;

6.系统需提供安全审计功能;(即对用户的操作行为进行日志记录,审计要素包括日期、时间、发起者信息、类型、描述、结果。审计内容覆盖登录、注销、添加删除用户、重要变更、重要业务操作等);

7.业务审计日志不能被手动删除,并日志定期备份;

8.审计日志应至少保留180天;

9.应用系统用户端与服务器端之间进行通信时,应对会话过程(例如用户登录信息或其他敏感字段)进行加密传输(例如SSL加密或其他类似加密算法的传输方式);

10.应用系统的鉴别信息(如密码、个人生物特征信息)和重要业务数据及个人敏感信息(如身份证号、手机号、银行卡号等)在数据库中应加密存储,且使用健壮的加密算法。(可采用国际的AES、DES、RSA、SHA-512结合添加SALT随机字符串的方式,以及国产SM4算法;应避免直接采用MD5算法。);

11.通信双方中的一方若在至多30分钟内未做任何响应,另一方应能够自动结束会话,即实现用户登出处理操作;

12.应用系统管理员权限应分离,如业务操作员、系统管理员、安全审计员权限分离;

13.应用系统的输入处应进行严格的格式、长度校验,如:URL、登录输入、文本输入、文件上传等处应有数据格式、数据长度、数据类型等方面的限制;

14.应用系统根据业务需要设臵最大并发连接数;应用系统与数据库连接时,应支持使用非数据库默认账户

15.定期备份数据和系统,设置定时备份计划,确保在信息系统遭到攻击或发生故障时能够快速恢复数据?

16.信息系统上线前需完成定级备案,报送相关报告和备案表。定级为二级的新建信息系统,建设单位需完成等级保护测评工作,符合安全要求后才能上线使用。?

相关推荐

GANs为何引爆机器学习?这篇基于TensorFlow的实例教程为你解惑!

「机器人圈导览」:生成对抗网络无疑是机器学习领域近三年来最火爆的研究领域,相关论文层出不求,各种领域的应用层出不穷。那么,GAN到底如何实践?本文编译自Medium,该文作者以一朵玫瑰花为例,详细阐...

高丽大学等机构联合发布StarGAN:可自定义表情和面部特征

原文来源:arXiv、GitHub作者:YunjeyChoi、MinjeChoi、MunyoungKim、Jung-WooHa、SungKim、JaegulChoo「雷克世界」编译:嗯~...

TensorFlow和PyTorch相继发布最新版,有何变化

原文来源:GitHub「机器人圈」编译:嗯~阿童木呀、多啦A亮Tensorflow主要特征和改进在Tensorflow库中添加封装评估量。所添加的评估量列表如下:1.深度神经网络分类器(DNNCl...

「2022 年」崔庆才 Python3 爬虫教程 - 深度学习识别滑动验证码缺口

上一节我们使用OpenCV识别了图形验证码躯壳欧。这时候就有朋友可能会说了,现在深度学习不是对图像识别很准吗?那深度学习可以用在识别滑动验证码缺口位置吗?当然也是可以的,本节我们就来了解下使用深度...

20K star!搞定 LLM 微调的开源利器

LLM(大语言模型)微调一直都是老大难问题,不仅因为微调需要大量的计算资源,而且微调的方法也很多,要去尝试每种方法的效果,需要安装大量的第三方库和依赖,甚至要接入一些框架,可能在还没开始微调就已经因为...

大模型DeepSeek本地部署后如何进行自定义调整?

1.理解模型架构a)查看深度求索官方文档或提供的源代码文件,了解模型的结构、输入输出格式以及支持的功能。模型是否为预训练权重?如果是,可以在预训练的基础上进行微调(Fine-tuning)。是否需要...

因配置不当,约5000个AI模型与数据集在公网暴露

除了可访问机器学习模型外,暴露的数据还可能包括训练数据集、超参数,甚至是用于构建模型的原始数据。前情回顾·人工智能安全动态向ChatGPT植入恶意“长期记忆”,持续窃取用户输入数据多模态大语言模型的致...

基于pytorch的深度学习人员重识别

基于pytorch的深度学习人员重识别Torchreid是一个库。基于pytorch的深度学习人员重识别。特点:支持多GPU训练支持图像的人员重识别与视频的人员重识别端到端的训练与评估简单的re...

DeepSeek本地部署:轻松训练你的AI模型

引言:为什么选择本地部署?在AI技术飞速发展的今天,越来越多的企业和个人希望将AI技术应用于实际场景中。然而,对于一些对数据隐私和计算资源有特殊需求的用户来说,云端部署可能并不是最佳选择。此时,本地部...

谷歌今天又开源了,这次是Sketch-RNN

前不久,谷歌公布了一项最新技术,可以教机器画画。今天,谷歌开源了代码。在我们研究其代码之前,首先先按要求设置Magenta环境。(https://github.com/tensorflow/magen...

Tensorflow 使用预训练模型训练的完整流程

前面已经介绍了深度学习框架Tensorflow的图像的标注和训练数据的准备工作,本文介绍一下使用预训练模型完成训练并导出训练的模型。1.选择预训练模型1.1下载预训练模型首先需要在Tensorf...

30天大模型调优学习计划(30分钟训练大模型)

30天大模型调优学习计划,结合Unsloth和Lora进行大模型微调,掌握大模型基础知识和调优方法,熟练应用。第1周:基础入门目标:了解大模型基础并熟悉Unsloth等工具的基本使用。Day1:大模...

python爬取喜马拉雅音频,json参数解析

一.抓包分析json,获取加密方式1.抓包获取音频界面f12打开抓包工具,播放一个(非vip)视频,点击“媒体”单击打开可以复制URL,发现就是我们要的音频。复制“CKwRIJEEXn-cABa0Tg...

五、JSONPath使用(Python)(json数据python)

1.安装方法pipinstalljsonpath2.jsonpath与Xpath下面表格是jsonpath语法与Xpath的完整概述和比较。Xpathjsonpath概述/$根节点.@当前节点...

Python网络爬虫的时候json=就是让你少写个json.dumps()

大家好,我是皮皮。一、前言前几天在Python白银交流群【空翼】问了一个Python网络爬虫的问题,提问截图如下:登录请求地址是这个:二、实现过程这里【甯同学】给了一个提示,如下所示:估计很多小伙伴和...

一周热门
最近发表
标签列表