构建网络和IT安全基础

码)和他们拥有的东西(物理设备，例如安全令牌生成器或电话)。其他机制还依靠生物识别等因素。

短信验证已成为2FA的流行机制。在登录期间，通过短信或电话将安全代码发送到手机。用户输入安全代码以完成登录验证。如果攻击者接管手机账户或号码，这种类型的验证可能受到攻击，因此不适合高度安全的帐户。

步骤2.基于角色的访问控制

部署基于角色的访问控制，仅当某个人的职能或角色必须访问资源时，才提供访问权限。例如，人力资源员工将不需要访问会计功能。通过限制访问权限，受攻击的员工帐户将无法访问该角色所需范围之外的功能和数据。

随着IT安全变得越来越重要，几乎所有产品都具有基于角色的访问安全控制。这应该是产品选择的关键标准。美国国家标准协会还有这方面的标准，在《ANSI InterNational Committee for Information Technology Standards 359-2004》和《INCITS 359-2012》中有详细说明。

步骤3. 允许列表应用

网络曾经是开放的，唯一执行的过滤是拒绝某些连接。而允许列表颠覆了这种模式。仅允许应用程序功能所需的那些连接和数据流;而阻止所有其他连接。这里的目的是减少安全泄漏事故在整个企业中横向传播的机会。

安全团队应配置过滤系统，以记录或日志记录建立连接的失败尝试。应将这些警报视为陷阱绊线，可能将团队引诱到受感染的帐户或系统。安全信息和事件管理可以帮助管理来自过滤系统的大量事件。

二、NetCraftsmen的安全步骤

步骤4.修复漏洞和解决办法

安全团队必须努力修复已知漏洞，并部署解决办法。正如NSA所提到的，零日攻击很少发生，大多数网络安全漏洞是由于未打补丁的系统而引起。企业必须对应用程序、服务器操作系统和网络基础结构进行定期更新。安全团队将需要流程和人员来跟踪更新，并需要配置管理系统来推动更新。

步骤5.网络分段

网络分段的目的是防止自动化恶意软件在业务功能之间横向扩散。企业可将网络根据功能进行分段，各段之间的访问受限。例如，设施基础设施网络没有理由访问HR或会计等业务功能。对于业务分段之间的任何访问，安全团队应使用应用程序允许列表(请参见上面的第3步)。

步骤6.系统备份

最常见的入侵是勒索软件，而成功的广泛攻击可能会严重打击企业。系统备份可以降低这种攻击的大部分风险，但前提是确保备份本身不会受到攻击。安全团队必须精心设计其备份系统以确保安全，因为攻击者在触发企业数据加密前，会监视IT系统长达数周。

与勒索软件攻击一样，自然灾难同样具有破坏性，并且备份应存储在不同位置，而不会遭受同一自然灾害影响。企业可以研究其他企业如何处理自然灾

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!