保護資產(Day016)

企業資產所面臨的主要威脅是盜竊、服務中斷、物理損壞、系統和環境完整性受損以及未授權的訪問。實際損失取決於更換被盜項的成本、對生產率的負面影響、對聲譽和客戶信心的負面影響、可能需要引入的顧問費用以及恢復丟失的數據和生產水平的成本。很多時候，公司只是制定他們硬體的庫存清單，並植入了風險分析，以確定如果設備被盜或銷毀，對公司造成成本的損失估值。然而，設備內所保存的信息可能比設備本身更有價值，所以還需要適當的恢復機制和植入了更加現實的風險評估及公正的成本評估的流程。讓我們來看一些我們可以使用的控制措施，以減少我們的數據及其所在介質的風險。

靜態的數據：這種情況下保護數據的簡單且普遍的解決方案就是：加密。

運動中的數據：運動的數據（無論是否在我們的保護網路之內）最佳的保護是強加密（TLS、IPSec）；保護運動中的數據的另一種方法是在關鍵節點之間使用信任的信道。虛擬專用網（VPN）經常用於在遠程用戶和公司資源之間提供安全的連接。

使用中的數據：使用中的數據是指駐留在主存儲設備中數據的術語，例如易失性存儲器（例如RAM）、存儲器高速緩存或CPU寄存器。各種獨立的研究人員已經證明了對於由多個進程共享存儲器的有效側信道攻擊的存在性。側信道攻擊利用的是密碼系統泄漏的信息。那麼，我們如何保護我們使用中的數據呢？目前，我們可以通過確保軟體測試這類攻擊來歸結此問題。顯然，這是一個棘手的命題，因為很難識別和測試每一個可能的軟體缺陷。儘管如此，我們將在第八個中看到，安全開發實踐必須是我們安全努力環節的關鍵組成部分。

數據所有者(也稱為信息所有者)通常是一名管理人員，他負責管理某個業務部門，對特定信息子集的保護和應用負最終責任。數據所有者具有「應盡關注」職責，因此，如果由於任何疏忽行為導致數據訛誤或泄漏，那麼他必須承擔責任。數據所有者決定其負責的數據的分類，如果公司需要，那麼還應改變數據的分類。他還負責確保實施必要的安全控制，定義每種分類的安全需求和備份需求，批准任何泄漏活動，保證應用適當的訪問許可權，以及定義用戶訪問準則。數據所有者有權准許訪問請求，也可以選擇將這一職權委託給業務部門經理。同時，數據所有者還要處理與其所負責數據有關的安全違規行為，以對數據進行保護。如果數據所有者工作繁忙，那麼可以將數據保護機制的日常維護工作委託給數據看管員完成。

這些任務涵蓋了介質的整個生命周期，並且是介質上所保存信息的完整生命周期的一個必要組成部分。

保護移動設備及其數據的保護機制：

• 列出所有移動設備（包括序列號），以便在被盜並恢復時可以正確識別。
• 通過應用安全配置的基線加固操作系統。
• 在筆記本電腦上對BIOS進行密碼保護。
• 將所有設備註冊到其各自的供應商，並在設備被盜時向供應商提交報告。

  如果設備在被盜後發去進行修理，如果你已報告了盜竊，則供應商將標記該設備。

• 飛行時，請勿將移動裝置作為行李託運。總是隨身攜帶。
• 不要任移動設備無人看管，並將其放在一個不起眼的手提箱中。
• 使用符號或數字標記設備以便正確識別。
• 儘可能使用帶電纜的插槽鎖將筆記本電腦連接到固定的物體。
• 將移動設備上的所有數據備份到受組織控制的存儲庫。
• 加密移動設備上的所有數據。
• 使能遠程擦除設備上數據的功能。

保護紙質記錄時要考慮的一些原則：

• 教育員工正確處理紙質記錄。
• 盡量減少紙質記錄的使用。
• 確保工作環境保持整潔，以便易於分辨敏感文件是否暴露在外，並定期審核工作環境，以確保敏感文件不被暴露。
• 在完成後，立即將所有敏感的文件鎖起來。
• 禁止將敏感的文書工作帶回家
• 為所有文書工作標明其分類等級。理想情況是，還應包括其所有者的姓名和處置（例如保留期限）說明。
• 在員工離開辦公室時對員工的包進行隨機搜查，以確保敏感材料不被帶回家。
• 使用十字切碎紙機銷毀不需要的敏感紙張。
• 對於非常敏感的文件，請考慮燒毀它們。

使用保險箱時要考慮的一些原則：

• 如果保險箱有密碼鎖，應定期更改，且應該只有一小部分人可訪問該密碼或鑰匙。
• 保險箱應該放在可見的位置，以使任何與保險箱有關的人都可以看到。 這樣做的目標是發現任何未經授權的訪問嘗試。 一些保險箱具有被動或熱重鎖功能。
• 其中如果保險箱具有被動重鎖功能，它可以檢測到在有人試圖損害它的情況下，其特殊的內部螺栓將落到位，以確保它不會受到攻破。
• 而如果保險箱具有熱重鎖功能，當滿足特定溫度（可能來自鑽孔）時，它將實施特別鎖定，以確保貴重物品得到適當保護。

相關測試、答疑和更多學習資料和活動，請添加微信號 istudy1314 。

推薦閱讀：