2021年4月29日株洲市公安局天元公安分局网安大队民警对辖区内关键信息基础设施单位进行网络安全检查时,发现该单位存在大量高危风险漏洞,且该单位存在服务器机房没有专业技术人员维护等问题,随后民警依法责令该单位限期整改,2021年5月25日,天元公安分局网安大队民警再次对该单位进行检查时发现该单位仍然存在安全漏洞39个,紧急及高风险漏洞9个,中风险漏洞28个,低风险漏洞2个。根据《中华人民共和国网络安全法》第二十一条、三十四条、五十九条之规定,对该单位予以警告处罚。这是一起典型的管理层安全缺失案例,接下来小编将带着大家一起学习下管理层安全,各位看官跟我来。
什么是管理层安全? 管理层安全 管理层安全主要是加强技术和设备、管理制度、部门与人员的组织规则等管理和建设。 技术和设备管理技术和设备管理主要包括网络设备配置、网络设备管理、终端设备管理、IP地址安全管理、网络安全审计等。  技术和设备安全 网络设备配置:对于网络基础设施路由器、交换机、防火墙等进行安全配置,设置复杂的管理密码,最小化管理权限等; 网络设备管理:对于网络设备修改所有密码,使用堡垒机等设备进行统一管理,禁用非必要的端口及服务; 终端设备管理:终端设备需安装终端防护软件,终端入网要经过严格的审核,终端设备需定期更换密码。 IP地址安全管理:针对网络的不同区域设置不同的IP地址区间,针对IP地址的使用和分配进行严格的台账管理。 网络安全审计:对于网络内各类日志进行统一的采集、分析与管理。
管理制度建设管理制度主要用于指导网络运维人员和网络安全人员日常的工作。安全管理的制度化在网络安全中有着不可忽视的作用。  网络安全管理制度 定期对网络内软硬件设备进行安全检查,并根据检查结果修复漏洞,修改不合规的配置,修改弱密码等; 进出机房需严格登记备案,非授权人员不得进入机房核心区域; 非涉密计算机不得处理涉密内容,不得将办公用机外带,如必须外带,需经过严格审批和检查; 禁止私搭私建WIFI、热点等; 针对网络安全事件需建立应急处置及保障机制; 针对网络设备及软件需定期升级策略及更新功能;
部门与人员组织规则网络安全建设和管理需要设置专门部门,并配备专业的人员,责任明确的部门安全职责、合理的人员角色配置,可以有效地增强网络的安全性。  网络安全部门工作职责 本文仅对管理层安全建设提供指导性、方向性的建议,组织在进行管理层安全建设时,需结合自身安全管理需要及组织结构特点,进行详细规则的设定和落地应用。
|
