信息安全中最容易被忽略的软资产管理
在企业的信息安全管理中,大多数的管理者都非常注重基础设施的安全,而基础设施中,又特别注重客户端、服务器、防火墙或者IPS等设备的安全管理。但事实上,我们更应该关注信息化过程中,开发系统的安全。今天我将分享几点可以帮助管理者提升安全等级的前提措施。
一、资产识别
我们通常意义上的资产,对大多数人来说,特别是传统管理者来讲,更多的是硬体类、可视的资产。这对企业高层来说,最容易的资产管理方式。但是其实我们还应特别包含软体类的资产。比如开发代码的语言、购买的软体系统、采用的开源技术等。也都应该归纳为资产识别并进行管理。
二、创建和识别资产清单
您的资产清单将有助于确保您的所有资产都得到基于安全视角的关注,并有专人进行管理。比如开发程式运用了微软的visual studio code,那么您应该关注和统一版本,并确保没有开发工程师注册azure 线上服务,将企业代码信息和运用的数据库信息上传到azure服务。
三、掌握数据存储方式和存储位置
所有产生的信息都应该被适当的运用安全的存储方式进行存储,如您的企业运用了很多线上服务,您应该需要确保所有的代码信息不被他人获取,并采用线下存储的方式管理代码。将代码功能作为资产形式列管,并不定期进行检查和确认。团队领导有责任和义务清楚团队开发工程师存储代码的方式,以及是否进行了安全备份。在需要恢复和获取时,团队领导和企业管理者能自动和主动获取到功能代码,并在安全区域进行恢复业务系统。
四、掌握内外部账号
团队成员的开发工程师可能基于博客,github等方式分享代码,管理者也应该清楚和掌握这些账号信息,并确保分享和上传的代码不涉及机密信息,以及涉及机密信息后可以最快速度采取应对措施。团队领导同样有责任和义务宣导和了解成员的开发账号应被安全使用。
五、规划开发语言和技术的周期管理
开发语言和程式的迭代更新非常快,旧有的版本很有可能时时会爆出新的漏洞,或者自身就存在零日漏洞,需要时刻更新至新的版本以尽可能的规避旧版本的漏洞。最佳的情况为定期统一更新旧程式代码和新开发语言和程式的版本为稳定版本或者安全版本。
以Log4j漏洞而言,因为缺乏程式版本列入资产管理,当存在重大漏洞时,开发运维工程师往往疲于奔命寻找哪里有使用Log4j,漏洞修复过程中,可能存在漏网之鱼而被攻击者利用而成为不应该发生的网络安全事件。
六、保留真正需要的资产
在企业的开发进程中,往往有很多旧有的、可替代的代码和程式。这些维护成本可能很高,建议断舍离,用新的技术来取代不仅可以提高安全运维能力,也可以降低运维成本。摒弃一些不需要的旧东西,保留当前最低运维成本的资产也可以帮助企业降低成本。
以上就是个人的一些拙见,希望可以帮助到大家。更多安全知识文章分享:
小型企业如何简单有效防范网络攻击威胁
服务器漏洞修复-检查和关闭勒索病毒传播的SMBv1协议
安全知识普及:如何让您的计算机上网安全,无忧冲浪
OT网络安全-OT客户端安全防护要采取那些措施
安全知识普及:远程办公,员工必须遵守的5大守则
安全知识普及–总结什么是网络安全
安全知识普及-网络攻击常见专业术语
安全知识普及–简单五招为家人提供安全的无线网络
信息安全中最容易被忽略的软资产管理相关推荐
- 视频教程-2020年软考信息安全工程师_基础知识精讲软考视频培训课程-软考
2020年软考信息安全工程师_基础知识精讲软考视频培训课程 河北师范大学软件学院优秀讲师,项目经理资质,担任操作系统原理.软件工程.项目管理等课程教学工作.参与十个以上百万级软件项目管理及系统设计工作 ...
- 《黑天鹅》读书笔记(part2)--我们从重复中学习,但忽略了从未发生过的事件
觉得不错的句子收藏 "我从未想说保守主义者通常很愚蠢,我想说的是愚蠢的人通常很保守" 我们对一则信息的反应不是根据它的逻辑特性,而是根据它的环境,以及它在我们的社会情绪系统中的位置 ...
- client中周期性边界_「微评」增加艺术品在投资组合中的比例 推进国家艺术软实力...
艺术品作为一种兼具收藏属性和投资属性的物品,其最初被人们所接受的是其收藏属性.在进入二十一世纪后,其投资属性才逐渐显现.艺术品的双重属性增加了其投资价值,再叠加显著的顺周期性,艺术品能够在经济向好时为 ...
- 谷歌拼音输入法PinyinIME源码修改----随着Setting中中英文的切换对应改变软键盘中英文输入且字符变换
项目中使用的是Google的输入法:谷歌拼音输入法,即PinyinIME. 客户提出需求:需要在Setting中切换中英文的时候,输入法对应成中英文输入,并且字符也对应成中英文,即Setting中设置 ...
- 使用QE中的ld1.x制作超软赝势
使用QE中的ld1.x制作超软赝势 输入文件 input rlderiv 计算对数导数的半径 config 电子结构.当"lsd"=1时,向上自旋和向下自旋状态可能出现两次,各自占 ...
- 一文读懂信息安全中的恶意代码、病毒、木马、蠕虫......
一文读懂信息安全中的恶意代码.病毒.木马.蠕虫...... 病毒:破坏计算机功能或数据,以破坏为主,传染其他程序的方式是通过修改其他程序来把自身或其变种复制进去完成的,典型的熊猫烧香 蠕虫:通过网络的 ...
- 信息安全中常见的网络知识(一)网络基本概念
文章目录 典型园区网络架构 OSI七层模型 七层 对等层通信 TCP/IP模型 数据封装解封装过程 五元组 常见网络层协议介绍 ARP 报文格式 工作原理 常见ARP应用 ICMP ICMP应用 路由 ...
- 安卓一个方法多处调用_一个隐藏在方法集和方法调用中且易被忽略的小细节
来自公众号:新世界杂货铺 作为一个长期从事Go语言开发的程序猿,笔者不敢说自己是老油条但也勉强算一个小油条.然而就在今天,笔者研究TLS/SSL握手源码的时候,突然灵光一闪,想到了一个和自己认知不符的 ...
- js 调用另一个类的方法_一个隐藏在方法集和方法调用中且易被忽略的小细节
来自公众号:新世界杂货铺 作为一个长期从事Go语言开发的程序猿,笔者不敢说自己是老油条但也勉强算一个小油条.然而就在今天,笔者研究TLS/SSL握手源码的时候,突然灵光一闪,想到了一个和自己认知不符的 ...
- activity中指定一页面动态设置软键盘弹出属性
要在设置的页面拿到对应的activity activity.getWindow().setSoftInputMode(WindowManager.LayoutParams.SOFT_INPUT_ADJ ...
最新文章
- 多线程 阻塞队列中的poll与take区别
- Android设计模式系列(3)--SDK源码之单例模式
- 实战脚本写入注册表,完善WindowsServer自动化运维
- 安义县农业结构调整-农业大健康·林裕豪:从玉农业谋定基地
- 编程之美 求数组中的最长递增子序列
- Spring Android 1.0.0.M3 发布
- 解决 mysql>com.mysql.jdbc.PacketTooBigException: Packet for query is too large (12073681 > 4194304)
- html和url两种录制方式
- Swift - UITableView里的cell底部分割线左侧靠边
- 云原生应用Go语言:你还在考虑的时候,别人已经应用实践
- TortoiseSVN版本管理的注意点
- flutter常用内置动画组件
- jQuery(3)——如何绑定事件
- 网页实现二维码扫描和解析
- 如何用cool edit剪辑拼接音频文件
- iOS开发之--内购、GameCenter、iCloud、Passbook功能开发汇总
- 董文永武汉大学计算机学院,董文永 - 教师简历 CV- Computer School of Wuhan University...
- HDU 1880 魔咒词典(字符串hash)
- 《零边际成本社会》书中的精髓:零边际成本所引发的共享经济,将颠覆资本主义和社会主义。
- Seurat SingleCellExperiment anndata相互转化
热门文章
- 我奋斗了18年,不是为了和你一起喝咖啡
- mysql 分区表 归档_详解 MySQL 数据库冷数据归档
- GitHub网站加速方法
- 标准贴片IC元件的焊接方法(热风枪)
- 参考文献起止页码怎么写_参考文献规范写法
- 数据库一对一、一对多、多对多关系理解(转载)
- excel筛选排序从小到大_(Excel)常用函数公式及操作技巧之三:排名及排序筛选(一)...
- 在iPhone/iPad/iPod touch Home主屏幕界面加快捷方式
- Could not instantiate the executor. Make sure a planner module is on the classpath
- pdf转换html表格没了,PDF转HTML后,表格排版全乱了是怎么回事?