人妻无码av中文系列免费,日产精品一卡2卡三卡网站,狠狠五月深爱婷婷,免费的黄a片在线观看网址

行業(yè)資訊

剛達(dá)飛被網(wǎng)絡(luò)勒索兩周后完全恢復(fù),附最航運(yùn)全面網(wǎng)絡(luò)安全計(jì)劃!

2020-10-12 11:13:06
行業(yè)好消息,CMA CGM在網(wǎng)絡(luò)攻擊14天后完全恢復(fù)運(yùn)行,這對(duì)達(dá)飛員工和客戶來說都是極限壓力與緊張的兩周。

由于包括四大航司,馬士基、地中海航運(yùn)、中遠(yuǎn)海運(yùn)集運(yùn)和達(dá)飛輪船以及DB Schenker、Toll、Fedex/TNT、GEFCO、IMO等在過去三年中都受到了不同程度的網(wǎng)絡(luò)攻擊,現(xiàn)在應(yīng)該沒有任何一家港航物流公司或組織,無論大小,去懷疑網(wǎng)絡(luò)安全威脅的持續(xù)增加。

在當(dāng)今的數(shù)字世界,網(wǎng)絡(luò)安全是保護(hù)公司最寶貴資產(chǎn)的關(guān)鍵——包括知識(shí)產(chǎn)權(quán)、客戶信息、金融和貿(mào)易數(shù)據(jù)以及員工記錄等。隨著互聯(lián)網(wǎng)連接的增加,各公司信息系統(tǒng)有被破壞的高風(fēng)險(xiǎn)。這種威脅涉及所有類型和規(guī)模的企業(yè)。確保公司信息技術(shù)(IT)和數(shù)據(jù)的措施至關(guān)重要,最航運(yùn)根據(jù)C-TPAT所列出的標(biāo)準(zhǔn)為讀者企業(yè)提供全面的網(wǎng)絡(luò)安全計(jì)劃包含13項(xiàng)細(xì)則如下:




1必須有全面的書面網(wǎng)絡(luò)安全政策和/或程序,以保護(hù)信息技術(shù)系統(tǒng)。書面的信息技術(shù)政策,至少必須涵蓋所有的個(gè)人網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

鼓勵(lì)遵守基于公認(rèn)行業(yè)框架/標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。

如國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)就是這樣一個(gè)提供網(wǎng)絡(luò)安全框架的組織https://www.nist.gov/
剛達(dá)飛被網(wǎng)絡(luò)勒索兩周后完全恢復(fù),附最航運(yùn)全面網(wǎng)絡(luò)安全計(jì)劃!(圖1)
提供基于現(xiàn)有標(biāo)準(zhǔn)、指南和實(shí)踐的自愿指導(dǎo),以幫助管理和降低內(nèi)部和外部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它可以用來幫助識(shí)別和優(yōu)先考慮降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的行動(dòng),它是一個(gè)調(diào)整政策、業(yè)務(wù)和技術(shù)方法的工具管理風(fēng)險(xiǎn)??梢詤⒖荚摽蚣苎a(bǔ)充組織的風(fēng)險(xiǎn)管理流程和網(wǎng)絡(luò)安全計(jì)劃。或者,沒有現(xiàn)有網(wǎng)絡(luò)安全計(jì)劃的組織可以使用該框架作為建立網(wǎng)絡(luò)安全計(jì)劃的參考。

2為了保護(hù)信息技術(shù)(IT)系統(tǒng)免受常見的網(wǎng)絡(luò)安全威脅,公司必須在計(jì)算機(jī)系統(tǒng)中安裝足夠的軟件/硬件保護(hù),以防惡意軟件(病毒、間諜軟件、蠕蟲、木馬等)和內(nèi)部/外部入侵(防火墻)。必須確保安全軟件是最新的并定期接收安全更新。必須制定政策和程序,以防止通過社會(huì)工程學(xué)進(jìn)行攻擊。如果發(fā)生數(shù)據(jù)泄露或其他不可見事件導(dǎo)致數(shù)據(jù)和/或設(shè)備丟失,程序必須包括恢復(fù)(或更換)IT系統(tǒng)和/或數(shù)據(jù)。

3使用網(wǎng)絡(luò)系統(tǒng)的CTPAT成員必須定期測(cè)試其IT基礎(chǔ)設(shè)施的安全性。如果發(fā)現(xiàn)漏洞,必須盡快采取糾正措施。

安全的計(jì)算機(jī)網(wǎng)絡(luò)對(duì)業(yè)務(wù)至關(guān)重要,并確保它受到保護(hù),需要定期進(jìn)行測(cè)試。這可以通過安排漏洞掃描來完成。就像一個(gè)保安檢查一家企業(yè)的門窗一樣,漏洞掃描(VS)可以識(shí)別出你的電腦(開放端口和IP地址)、它們的操作系統(tǒng)和軟件上的漏洞,黑客可以通過這些漏洞進(jìn)入公司的IT系統(tǒng)。VS通過將掃描結(jié)果與已知漏洞的數(shù)據(jù)庫(kù)進(jìn)行比較來實(shí)現(xiàn)這一點(diǎn),并生成一份更正報(bào)告供業(yè)務(wù)部門采取行動(dòng)。有許多免費(fèi)和商業(yè)版本的漏洞掃描器可用。測(cè)試的頻率將取決于各種因素,包括公司的商業(yè)模式和風(fēng)險(xiǎn)水平。例如,當(dāng)企業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)生變化時(shí),他們應(yīng)該運(yùn)行這些測(cè)試。然而,網(wǎng)絡(luò)攻擊在所有規(guī)模的企業(yè)中都在增加,這需要在設(shè)計(jì)測(cè)試計(jì)劃時(shí)加以考慮。

4網(wǎng)絡(luò)安全政策應(yīng)解決會(huì)員國(guó)如何與政府和其他商業(yè)伙伴分享有關(guān)網(wǎng)絡(luò)安全威脅的信息。

鼓勵(lì)會(huì)員與政府及供應(yīng)鏈內(nèi)的商業(yè)伙伴分享有關(guān)網(wǎng)絡(luò)安全威脅的資訊。信息共享是國(guó)土安全部(Department of Homeland Security)創(chuàng)建惡意網(wǎng)絡(luò)活動(dòng)共享態(tài)勢(shì)感知的關(guān)鍵部分。CTPAT成員可能希望加入國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC-https://www.us-cert.gov/nccic). NCCIC在公共和私營(yíng)部門合作伙伴之間共享信息,以提高對(duì)脆弱性、事故和緩解措施的認(rèn)識(shí)。網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)用戶可以免費(fèi)訂閱信息產(chǎn)品、訂閱源和服務(wù)。
剛達(dá)飛被網(wǎng)絡(luò)勒索兩周后完全恢復(fù),附最航運(yùn)全面網(wǎng)絡(luò)安全計(jì)劃!(圖2)



5必須建立一個(gè)系統(tǒng),以識(shí)別未經(jīng)授權(quán)訪問IT系統(tǒng)/數(shù)據(jù)或?yàn)E用政策和程序,包括員工或承包商不當(dāng)訪問內(nèi)部系統(tǒng)或外部網(wǎng)站以及篡改或更改業(yè)務(wù)數(shù)據(jù)。所有違反者必須受到適當(dāng)?shù)募o(jì)律處分。

6網(wǎng)絡(luò)安全政策和程序必須每年審查一次,或者根據(jù)風(fēng)險(xiǎn)或情況的需要更頻繁地進(jìn)行審查。審查后,如有必要,必須更新政策和程序

網(wǎng)絡(luò)攻擊就是一個(gè)很好的例子,它要求政策更新比每年都快。從這次襲擊中吸取的教訓(xùn)將有助于加強(qiáng)成員的網(wǎng)絡(luò)安全政策。

7必須根據(jù)工作描述或分配的職責(zé)限制用戶訪問。必須定期審查授權(quán)訪問,以確保根據(jù)工作要求訪問敏感系統(tǒng)。員工離職后,必須移除計(jì)算機(jī)和網(wǎng)絡(luò)訪問。

8有權(quán)使用信息技術(shù)(IT)系統(tǒng)的個(gè)人必須使用單獨(dú)指定的賬戶。必須通過使用強(qiáng)密碼、密碼短語或其他形式的身份驗(yàn)證來保護(hù)對(duì)IT系統(tǒng)的訪問不受滲透,并且必須保護(hù)用戶對(duì)IT系統(tǒng)的訪問。

為了防止IT系統(tǒng)的滲透,必須通過認(rèn)證過程來保護(hù)用戶的訪問。復(fù)雜的登錄密碼或密碼、生物識(shí)別技術(shù)和電子身份證是三種不同類型的身份驗(yàn)證過程。首選使用多個(gè)度量的過程。



這些被稱為雙因素認(rèn)證(2FA)或多因素認(rèn)證(MFA)。MFA是最安全的,因?yàn)樗笥脩粼诘卿涍^程中提供兩個(gè)或多個(gè)證據(jù)(憑證)來驗(yàn)證用戶的身份。



MFA可以幫助關(guān)閉由弱密碼或被盜憑證利用的網(wǎng)絡(luò)入侵。MFA可以幫助關(guān)閉這些攻擊載體,要求個(gè)人增加密碼或密碼短語(你知道的東西),你擁有的東西,如令牌,或你的一個(gè)物理特征-生物特征。如果使用密碼,它們需要很復(fù)雜。國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)NIST特別出版物800-63B:數(shù)字身份指南,包括密碼指南(https://pages.nist.gov/800-63-3/sp800-63b.html).
剛達(dá)飛被網(wǎng)絡(luò)勒索兩周后完全恢復(fù),附最航運(yùn)全面網(wǎng)絡(luò)安全計(jì)劃!(圖3)
它建議使用長(zhǎng)的、容易記住的密碼短語,而不是帶有特殊字符的單詞。這些較長(zhǎng)的密碼短語(NIST建議最多允許64個(gè)字符的長(zhǎng)度)被認(rèn)為更難實(shí)現(xiàn)破解是因?yàn)樗鼈兪怯梢粋€(gè)容易記憶的句子或短語組成的。

9

允許用戶遠(yuǎn)程連接到網(wǎng)絡(luò)的成員必須采用安全技術(shù),如虛擬專用網(wǎng)絡(luò)(VPN),以便員工在辦公室外安全地訪問公司的內(nèi)部網(wǎng)。成員還必須制定防止未經(jīng)授權(quán)的用戶進(jìn)行遠(yuǎn)程訪問的程序。VPN不是保護(hù)網(wǎng)絡(luò)遠(yuǎn)程訪問的唯一選擇。多因素認(rèn)證(MFA)是另一種方法。多因素身份驗(yàn)證的一個(gè)例子是帶有動(dòng)態(tài)安全代碼的令牌,員工必須輸入該代碼才能訪問網(wǎng)絡(luò)。

10

如果會(huì)員允許員工使用個(gè)人設(shè)備進(jìn)行公司工作,所有此類設(shè)備必須遵守公司的網(wǎng)絡(luò)安全政策和程序,包括定期安全更新和安全訪問公司網(wǎng)絡(luò)的方法。

個(gè)人設(shè)備包括CD、DVD和USB閃存驅(qū)動(dòng)器等存儲(chǔ)介質(zhì)。如果允許員工將個(gè)人媒介連接到各個(gè)系統(tǒng),則應(yīng)小心,因?yàn)檫@些數(shù)據(jù)存儲(chǔ)設(shè)備可能會(huì)感染惡意軟件,這些惡意軟件可能會(huì)使用公司的網(wǎng)絡(luò)傳播。

11

網(wǎng)絡(luò)安全政策和程序應(yīng)包括防止使用假冒或許可不當(dāng)?shù)募夹g(shù)產(chǎn)品的措施。

計(jì)算機(jī)軟件是由創(chuàng)造它的實(shí)體擁有的知識(shí)產(chǎn)權(quán)(IP)。未經(jīng)制造商或發(fā)行商的明確許可,安裝軟件是非法的,無論是如何獲得的。

這種許可幾乎總是以發(fā)布者的許可證的形式存在,許可證隨軟件的授權(quán)副本一起提供。

未經(jīng)許可的軟件更容易因無法更新而失敗。它更容易包含惡意軟件,使計(jì)算機(jī)及其信息變得無用。對(duì)未經(jīng)授權(quán)的軟件不提供任何擔(dān)?;蛑С?,讓您的公司自行處理故障。無證軟件也有法律后果,包括嚴(yán)厲的民事處罰和刑事起訴。軟件盜版增加了合法授權(quán)軟件用戶的成本,減少了用于新軟件研發(fā)的資金投入。

會(huì)員可能希望制定一項(xiàng)政策,要求在購(gòu)買新媒介時(shí)保留產(chǎn)品密鑰標(biāo)簽和真實(shí)性證書。CD、DVD和USB介質(zhì)包括全息安全功能,以確保您收到正品,并防止假冒。

12

數(shù)據(jù)應(yīng)每周備份一次或視情況而定。所有敏感和機(jī)密數(shù)據(jù)應(yīng)以加密格式存儲(chǔ)。

如果生產(chǎn)或共享服務(wù)器受到破壞/丟失數(shù)據(jù),則可能需要每天備份,因?yàn)閿?shù)據(jù)丟失可能會(huì)對(duì)多個(gè)人員造成影響。根據(jù)所涉及的信息類型,單個(gè)系統(tǒng)可能需要不太頻繁的備份。

用于存儲(chǔ)備份的介質(zhì)最好存儲(chǔ)在場(chǎng)外設(shè)施中。用于備份數(shù)據(jù)的設(shè)備不應(yīng)與用于生產(chǎn)工作的設(shè)備位于同一網(wǎng)絡(luò)上。將數(shù)據(jù)備份到云是可以接受的“異地”設(shè)施。

13

所有包含有關(guān)進(jìn)出口過程敏感信息的介質(zhì)、硬件或其他IT設(shè)備必須通過定期庫(kù)存進(jìn)行核算。處理時(shí),必須按照美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的介質(zhì)消毒指南或其他適當(dāng)?shù)男袠I(yè)指南對(duì)其進(jìn)行適當(dāng)?shù)南竞?或銷毀。

有些類型的計(jì)算機(jī)媒介是硬盤驅(qū)動(dòng)器、可移動(dòng)驅(qū)動(dòng)器、CD-ROM或CD-R光盤、DVD或USB驅(qū)動(dòng)器。

美國(guó)國(guó)家系統(tǒng)與技術(shù)研究所(NIST)制定了政府的數(shù)據(jù)媒介銷毀標(biāo)準(zhǔn)。成員們可能想咨詢NIST關(guān)于IT設(shè)備和介質(zhì)的衛(wèi)生和銷毀標(biāo)準(zhǔn)。

硬盤驅(qū)動(dòng)器銷毀:

http://ewastesecurity.com/nist-800-88-hard-drive-destroyment/



來源: 最航運(yùn)