2010年安全最佳实践汇总手册.pdfVIP

2010 年安全最佳实践汇总手册 2010 年安全最佳实践汇总手册 2010 年即将过去，在这一年中， IT 安全各方面有哪些最佳实践值得大家去关注呢？ 本技术手册将为您总结 2010 年 TT 安全网站受欢迎的安全最佳实践，其中涉及网络安全、 安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给 安全朋友们提供一些帮助。 网络安全最佳实践 要可靠保障无线网络的安全，你必须了解你所面临的威胁。例如，PCI DSS 要求每一 个处理持卡人数据的组织必须对未授权的无线接入点 (AP)所造成的威胁进行评估，包括那 些没有 WLAN 的公司。  无线网络安全的最佳做法  保护企业 FTP 安全的最佳实践  应对微型 botnet 的最佳实践 安全管理最佳实践 合适的日志管理工具能够大幅减轻管理企业系统日志数据的负担。但是，除非组织为 这个工具投入必要的时间和精力，否则再好的工具也会很快变成一个差劲的工具。  日志管理最佳实践：成功的六要诀  安全管理员职责分离的最佳做法  企业 GRC 项目管理基础最佳实践 TT 安全技术专题之 “2010 年安全最佳实践汇总手册” Page 2 of 40 身份认证与管理最佳实践 身份验证和访问管理（IAM）——这种用来管理用户信息和用户、网络以及应用程序 之间关系的技术——最近引起了更多的关注，强大的多重身份认证手段已经成为企业 IAM 战略的核心部分之一。  用户供应最佳实践：访问权限重新认证  身份管理联盟最佳实践  基于风险的多重身份认证的最佳方案  密码加密方案：最佳做法和替代方案  投资管理网站用户账户设置的最佳实践 系统平台安全最佳实践 有些人声称，安全审计是测试 Windows 环境安全性的唯一方式。另外一些人则选择了 漏洞扫描。还有部分人说，渗透测试才是最好的方法。更有甚者交替使用三种方法，这让 人更加摸不着头脑。  微软 IIS 7 安全的最佳做法  为你的 windows 服务器找出最佳的安全测试方案 数据库安全最佳实践 数据库审计工具都有一些特殊的使用技巧，如果不花费时间合理地规划审计流程，使 用这些工具可能会使得数据库运行性能遭受惨重打击。  数据库安全最佳实践：数据库审计工具调优 TT 安全技术专题之 “2010 年安全最佳实践汇总手册” Page 3 of 40 金融安全最佳实践 数据有很多不同的类型，其相应的敏感性程度也大不相同。金融机构内的安全团队应 当如何去保护这些各不相同的数据类型呢？  金融服务领域数据分类的最佳实践 TT 安全技术专题之 “2010 年安全最佳实践汇总手册” Page 4 of 40 无线网络安全的最佳做法 金融服务提供商受到为数众多的客户资料安全保障规则的制约。像 GLBA 法案 (Gramm- Leach-Bliley Act)，涉及面广而且比较抽象，但它要求对所有类型的网络必须进行风险 鉴定和评估，实现安全措施并对其进行监控，这其中就包括无线网。其他一些规定如著名 的支付卡行业数据安全标准（PCI DSS），明确包含了在WLAN 范围内必须执行的标准，例 如检测异常操作，对无线传输的数据进行安全加密。虽然每种规则的具体情况不同，但金 融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础： 1.了解你的敌人 要可靠保障无线网络的安全，你必须了解你所面临的威胁。例如，PCI DSS 要求每一 个处理持卡人数据的组织必须对未授权的无线接入点 (AP)所造成的威胁进行评估，包括那 些没有 WLAN 的公司。你需要从审核无线网络安全威胁着手，找出你业务中可能会遇到的 威胁，并且评估敏感数据（比如个人财务信息，持卡人信息）所面临的风险。 2．了解你自己 许多用于减少无线网络安全威胁的保障措施是否有成效，取决于是否准确理解了网络 的拓扑结构(包括有线和无线)，和识别已验证设备的能力。为了制定WLAN 安全审核和执 行的标准，你