在20世纪80年代, 美国空军创造了“网络安全”一词来描述对计算机网络的保护. 1985年,空军发表了一篇关于该主题的论文,在一个公共论坛上首次使用了这个词.1
在20世纪90年代, 随着互联网的普及, 美国政府成立了国家标准与技术研究院(NIST)来制定网络安全标准. In 1997, NIST发布了其关于信息系统安全控制的特别出版物(SP) 800-53的第一版.2
因为近年来网络攻击变得越来越频繁和复杂, 网络安全一词现在用来描述对计算机系统和网络的各个方面的保护, 包括硬件, 软件, 数据和人.
随着越来越多的日常生活转移到网上, 个人和财务信息越来越有可能成为网络攻击的目标. 因此,网络安全正成为澳门赌场官方下载、政府和个人的一个关键问题. 他们必须采取措施保护他们的系统和网络,降低网络攻击的风险. 第一步是进行网络安全审计.
网络安全审计使各种规模的组织能够帮助识别和减轻网络安全风险. 它是对组织信息安全控制的系统检查,以确定它们是否有效地保护敏感数据和系统.
审计网络安全对于澳门赌场官方下载实现以下6个业务目标至关重要:
- 识别和减轻风险-网络安全审计可用于帮助组织识别安全漏洞和风险. 这包括确定需要保护的资产, 可能对这些资产构成风险的威胁以及可能被攻击者利用的漏洞. 通过识别和处理这种风险,组织可以减少被攻击的可能性.
- 保护敏感信息组织可以使用网络安全审计来实现保护敏感信息的目标. 这包括确保敏感数据被加密, 只有经过授权的人员才能访问敏感数据, 并且安全程序已经到位,以保护敏感数据免遭未经授权的访问, 使用, 信息披露, 中断, 修改或销毁.
- 遵守法规-定期进行网络安全审计, 澳门赌场官方下载对自己没有违反任何安全法规更有信心. 网络审计有助于确保组织符合特定行业的法规,例如支付卡行业数据安全标准(PCI DSS)或美国健康保险流通与责任法案(HIPAA)。. 通过遵守这些规定, 澳门赌场官方下载可以降低被监管机构处罚的风险.
- 改善安全态势-网络安全审计可以帮助组织确定如何改善其安全状况. 审计可以帮助识别安全控制中的漏洞, 过时的安全政策或缺乏员工培训. 通过改进他们的安全姿态, 澳门赌场官方下载可以降低遭受网络攻击的风险.
- 赢得客户信任-客户越来越关注个人资料的安全. 因此,网络安全审计可以帮助组织获得客户的信任. 通过定期进行网络安全审计, 组织可以向他们的客户证明他们的安全是被认真对待的.
- 保持业务连续性-网络安全审计确保组织的关键系统和数据受到保护, 降低因网络事件而导致业务运营中断的风险.
通过定期进行网络安全审计, 组织可以向他们的客户证明他们的安全是被认真对待的.
帮助组织保护其数字资产免受网络攻击, 网络安全审计必须考虑到信息资产的分类方式. 信息资产的重要性因其分类而异. 具有高度重要性的资产需要更严格的控制,并进一步保证这种控制的有效性和效率.
理解和执行网络安全审计
网络安全审计是对组织的IT基础设施进行的系统检查,旨在识别和, 最终, 用于降低安全风险. 网络安全审计的范围可以根据组织的规模和复杂程度而变化. 然而,所有网络安全审计通常涵盖以下领域:
- 信息安全政策和程序审核员必须审查组织的信息安全政策和程序,以确保它们是最新的, 全面有效实施.
- 物理安全审核员应评估组织的物理安全控制,如访问控制, 周边安保和视频监控.
- 网络安全-还必须评估组织的网络安全控制. 这些可能包括防火墙、入侵检测系统(IDS)和漏洞扫描.
- App 保护-应用程序安全控制,如输入验证, 输出编码, 会话管理, 身份和访问管理(IAM)应包括在审计中.
- 用户安全审核员必须评估组织的用户安全控制(如.g.、密码管理、培训、意识).
除了, 审核员还可以审查组织的事件响应计划, 灾难恢复计划和业务连续性计划.
执行网络安全审计的步骤
网络安全审计通常包括6个步骤:
- 计划和确定审核范围. 审核员应该清楚地了解组织的IT环境, 进行审计前的目标和风险. 对于审计师来说,了解网络安全框架和最佳实践也很重要.
- 收集信息、观察和数据. 这可以使用:
- 风险评估-评估组织的IT基础设施,以识别潜在的安全风险. 这包括确定需要保护的资产, 可能对这些资产构成风险的威胁以及可能被攻击者利用的漏洞.
- 漏洞扫描工具-可用于识别组织IT基础设施中的任何安全漏洞. 这包括操作系统、应用程序和网络基础设施中的漏洞.
- 渗透测试-可以用来模拟对组织IT基础设施的真实攻击. 这有助于识别可能被攻击者利用的任何安全漏洞.
- 评估组织网络安全控制的有效性. 要评估的控制可能包括访问、加密和事件响应控制.
- 检查已收集的数据,以识别任何潜在的安全漏洞或风险. 审核员还应评估组织在减轻这些漏洞和风险因素方面的安全控制的有效性.
- 将审计结果记录在报告中,并提出改进建议. 报告应当清晰、简明、易懂. 该报告还应包括组织可以实施的改进建议,以改善其安全状况.
- 跟踪审核结果,确保组织实施改进建议. 审核员应跟踪组织安全状况的进展,并根据需要提出进一步改进的建议.
网络安全审计的结果通常记录在审计报告中. 审计报告确定在审计期间确定的任何安全风险因素,并可用于就如何减轻这些风险来源提出建议.
结论
定期的网络安全审计对于确保组织的安全控制是最新的至关重要, 识别并解决漏洞, 数据也得到了适当的保护. 网络安全 audits are performed by planning and scoping the audit; gathering information, observations and data; evaluating the effectiveness of the organization's cyber安全 控制s; reviewing data to identify potential 安全 vulnerabilities or risk; documenting findings; and making recommendations for improvement. 通过投资于定期的网络安全审计, 组织可以降低网络攻击和数据泄露的风险, 改善他们的安全姿势, 并增加客户的信心和信任.
尾注
1 斯奈德,D.; J.D. Powers; E. Bodine-Baron; B. Fox; L. Kendrick; M. H. 鲍威尔; 提高美国空军军事系统整个生命周期的网络安全,兰德,2015
2 美国国家标准与技术研究院, NIST SP 800-53修订5 信息系统和组织的安全和隐私控制2020年,美国
Osman Azab, CISA, CISM, CRISC, CGEIT, CSAC
是信息系统审计吗, 安全, 控制, 拥有超过38年经验的风险和治理专家. 他是公认的审计、保证和治理主题的领导者 ISACA® 参与 平台,并多次参与ISACA审核手册和工作实践审核.