赢了三次官司 却输了人生

尽管从技术上讲，可以在不合规的基础设施之上构建安全的应用程序，但对于客户而言，这样做是不切实际的。因此，对于云基础设施提供商而言，与其客户一样，标准合规性也是一个大问题。实际上，对于大多数组织而言，遵守安全标准是云计算供应商选择过程中的必要先决条件。

符合标准

有许多合规标准，例如支付卡行业数据安全标准(PCIDSS)、ISO/IEC27001：2013、HITRUST和SOC2。PCIDSS由支付卡行业定义，目的是确保信用卡信息安全。PCI需要采取措施，例如加密持卡人数据的传输并使用防火墙对其进行保护。无论大小或处理量如何，任何传输、存储、处理或接受信用卡数据的业务都必须遵守PCI标准。ISO27001是用于数据安全性的更通用的国际标准。HITRUST旨在确保组织可以根据HIPAA法规安全地处理医疗保健信息。对于所有云计算服务提供商而言，最常见的合规性标准也许就是SOC2。SOC2信任服务标准概述了一个控制要求框架，该要求可应用于所有在云中存储客户数据的组织，包括所有SaaS和IaaS公司以及那些使用云存储自己的客户信息。

客户应期望其云基础设施提供商将其年度SOC2Type2审核报告(应由独立的第三方审核公司准备)供审核。SOC2Type2审核是对客户数据安全性、可用性、机密性和隐私性控制措施的操作有效性进行全面评估。他们在对云服务提供商进行风险评估时为客户提供有价值的信息。SOC2审计报告可以向客户保证，云基础设施供应商为关键业务应用程序提供了安全并符合标准的基础。

除了为云基础设施提供商及其客户提供有关安全控制实施的通用语言和理解之外，标准合规性还被视为组织内部安全文化的指示。实际上，某些不需要遵循特定标准(例如PCI)的客户可能仍会要求它(或实现它的路线图)，因为它说明了基础设施提供商的运营效率。

云安全方程式的另一个关键方面是了解共享责任模型。云基础设施提供商通常会明确说明他们负责总体安全框架的哪些方面以及客户必须自己管理的那些方面。一般而言，基础设施提供商负责保护基础设施本身，包括构成托管平台的人员、硬件、软件、网络和物理设施。客户通常负责保护自己的环境，包括来宾操作系统，应用程序和数据。例如，基础设施提供商通常将负责为托管云平台的系统和应用程序实施身份管理，而其客户将负责为其云环境中的系统和应用程序实施身份管理。对于客户来说，了解他们的责任从哪里开始以及基础设施提供商的终点是至关重要的，以防止任何可能导致漏洞的漏洞。

兼容的基础设施使客户更容易构建符合相同标准的安全应用程序。基础设施提供商可以通过自己遵守法规来简化其法规遵从流程，这不仅使数字世界更加安全，而且还可以提供竞争优势。

组织通常会花费大量时间，精力和金钱来实现其自己的应用程序，网络和内部部署基础结构中的标准合规性。对于从事特定行业(例如金融服务)的组织来说，保持符合PCIDSS等标准的负担甚至可能成为云迁移的障碍(以及性能，规模和业务敏捷性的相关优势)。通过提供标准合规性，云基础设施提供商可以降低风险并简化客户迁移到云的过程。
 

SMBv1协议已有30多年的历史，您应该放弃使用了。有多种方法可以从网络中禁用和删除SMBv1协议，例如组策略、PowerShell和注册表键值。

6. 电子邮件保护措施不足

您是否已竭尽所能确保电子邮件(攻击者的关键入口)免受威胁?攻击者经常通过垃圾邮件进入网络。所有组织机构都应使用电子邮件安全服务来扫描和检查进入您网络的信息。在电子邮件服务器前设置一个过滤流程。无论该过滤器是Office 365高级威胁防护(ATP)还是第三方解决方案，在电子邮件之前设置一项服务来评估电子邮件发件人的信誉，扫描链接和检查内容。检查之前已设置的所有电子邮件的安全状况。如果您使用的是Office / Microsoft 365，请查看安全分数和ATP设置。

7. 用户未经培训

最后但并非最不重要的一点是，请确保您的员工拥有足够的认识。即使进行了所有适当的ATP设置，恶意电子邮件也经常进入我的收件箱。稍有偏执和受过良好教育的终端用户可以成为您最后一道防火墙，以确保恶意攻击不会进入您的系统。ATP包含一些测试，以了解您的用户是否会遭受网络钓鱼攻击。

特洛伊·亨特(Troy Hunt)最近写了一篇文章，关于浏览器中使用的字体如何常常让人们难以判断哪一个是好网站和坏网站。他指出，密码管理器将自动验证网站，并只会为那些与您数据库匹配的网站填写密码。

（编辑：衡水站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!