美国国安局建议的十大信息安全防护策略

美国国安局建议的十大信息安全防护策略

我们尝试简单摘要10点如下，提供各位朋友们参考。

1. Application Whitelisting: 采用应用程式白名单，仅许可的白名单可以执行，以达到主动式的安全防护(例如达友代理的 Sophos 之 Server Protection)

2. Control Administrative Privileges: 针对特殊管理权限(特权帐号) 进行控管 (例如 ANCHOR, Xceedium 等方案)

3. Limit Workstation-to-Workstation Communication: 限制或减少内网电脑对电脑之间的连线

4. Use Anti-Virus File Reputation Services: 利用防毒系统的档案信用评等，例如类似 VirusTotal 的信息安全情资服务

5. Enable Anti-Exploitation Features: 于端点防止恶意程式启动的侦测，例如端点沙箱或其他技术 (Forcepoint/原为Raytheon | Websense 的 SureView Memory Integrity, 或 Sophos 的 Server Protect)

6. Implement Host Intrusion Prevention System (HIPS) Rules: 本机型入侵侦测

7. Set a Secure Baseline Configuration: 制定 Configuarion 管理方法，并制定内部安全配置基准(Baseline)

8. Use Web Domain Name System (DNS) Reputation: 利用网域信用评等服务 (例如 Infoblox 的 DNS Firewall，或 Websense Web Security Gateway)

9. Take Advantage of Software Improvements: 勤于进行作业系统与各种软体的信息安全漏洞修补与管理。

10. Segregate Networks and Functions: 在网路的架构上，或作业流程上，重要的服务考虑将功能或流程进行拆分区隔，以避免一个部分被入侵就全盘被掌控。(可以参考达友代理的 Sophos UTM 进行内部不同风险等级的网路之区隔)