这一定是要问的最广泛的问题,但是多年来,我已经提出了自己的清单,以保护我的服务器,我遵循可以在线收集的明显步骤,例如密码长度、iptables、 /etc/hosts、路由、数据包保护、安全补丁等。
我想知道该行业是否有标准,无论是公共部门还是私营部门,我都可以对我的步骤进行基准测试。我知道那里很少,但是什么可以被认为是标准。
用于保护服务器的企业标准。
信息安全
遵守
服务器
2021-08-12 18:13:45
1个回答
标准是通用的,由高级原则组成。指南侧重于实际安全。清单是最详细的文件。
有多个机构制定安全标准。当今使用最广泛的安全标准之一是始于 1995 年的ISO/IEC 27002。该标准由三个基本部分组成,BS 7799 第 1 部分、第 2 部分和第 3 部分。最近该标准已成为ISO 27001。但它是一个非常高级的标准,不涉及配置细节。它讨论了构建信息安全基础设施(BS 7799 第 1 部分)、信息安全管理系统(BS 7799 第 2 部分)和风险分析和管理(BS 7799 第 3 部分)。
您正在询问指南,美国国家标准与技术研究院(NIST) 已经发布了几本专门针对网络安全的出版物。这是NIST的通用服务器安全指南。本通用文档讨论了保护服务器的必要性,并为选择、实施和维护必要的安全控制提供了建议。
NSA为各种开源软件和专有软件开发和分发安全配置指南。
有关保护某些安装的更详细文档,请遵循 NIST 的国家清单程序库。NCP 安全检查表(或基准)为设置操作系统和应用程序的安全配置提供了详细的低级指导。例如,有用于保护的清单:
其它你可能感兴趣的问题