| 操作系统 办公 实用知识 设计 开发 WEB开发 移动开发 数据库 软件工程 网管 安全 管理 信息化 答疑 渠道 |
企业关键数据保护的十项访问控制措施美国的支付卡行业数据安全标准(PCI DSS)是一系列规定最低限度安全的指南,旨在保护敏感的信用卡数据。使用工具来确保持续性监控、识别、报告和调查审计线索并进行风险分析的公司正采取正确的步骤来保护其关键数据。 数据清理:检测和治理流垃圾帐号和权限。Garg说,一个有效的安全计划始于数据清除。与访问和身份识别相关的数据必须进行清理,以避免重复信息,清除解约的雇员,开始干净的数据。 访问控制策略:确定策略和程序确保它们运用于应用程序和数据中心。Garg说,这通常是一个很难解决的领域。商业和IT角色以及所有终端用户的角色需要被确立,以明确谁有访问某些应用和修改某些应用的权限。 访问控制过程:审阅帐号和特权,发现谁有访问敏感信息或者进行某些商业程序的权限。 物理安全:研究决定公司的访问权证手续。将此程序整合为一个全面的安全指导方针。 密码管理:确认当前的密码程序,尽可能地部署一种单独的登记技术。开发一个密码计划,让用户更容易记住他们的密码,从而避免还需要手写记录。 基于风险的适应性认证:应采用双因素认证。这样让终端用户采用两种认证方法。一种通常是物理令牌,例如卡;另一种通常是必须记住的,比如安全码。Garg说,这有助于阻止来自潜在入侵者的访问,并向管理员通报欺骗性行为。 审计线索:通过收集和保持正确的审计线索,调查人员能够获得系统活动具体时间点的快照(Snapshot),这对公司非常有利,Garg称。例如,管理员能够查看一年前谁有访问某个应用程序的权限,以此来决定可疑欺骗性行为的来源。 报告:通过保留系统日志报告和审阅这些日志,公司能够将风险降低到可接受的水平,Garg说。 证明:与用于遵从萨克斯班法案的证明很相似,通过强制实行对用户访问权限进行周期性的审阅,提供证明,符合PCI访问控制标准。公司可以设置一个一个自动审阅的过程,让合适的管理者证明或者拒绝他们部门雇员的访问权限。这使得访问数据保持干净并剔除重复和过时的信息。 风险分析:和金融公司实行商业智能解决方案相类似,采用工具来分析审计线索。找到关键基础架构和应用的弱点。
今日推荐
|
重点推荐
领军企业技术文库
+更多领军技术文库
最新专题
电子杂志订阅
| ||||||||