对网络安全采取分层的方法

每个基金经理都知道，网络攻击影响他们开展业务的风险正呈指数级增长。对于某些管理人员而言，在可用资源和预算的限制范围内了解适当的网络安全方法会感到迷失方向。

为了克服这个问题，最好建议公司考虑采用分层方法来建立强大的网络安全态势。Eze Castle Integration涉及三个层次，第0层代表最基本的必备保护措施。下一级别，即第1层，是一个基于第0层的基础的标准框架，并结合了其他增强功能和员工安全意识培训；目前，这是大多数投资经理都适合的地方。

第三层，即第2层，被认为是高级层，具有最先进的渐进工具，下一代防火墙，并使管理人员能够与机构投资者充分接触。

金字塔的每一层都包含许多基金经理必须采取的应对网络攻击的措施。这些可以分为四个部分：

1.周边与网络安全

等级0：

为了使任何基金经理有机会抵御网络攻击，他们将需要确保已安装防火墙以及防病毒软件和软件修补程序。软件补丁应该是公司正在进行的IT管理的一部分。最佳做法是，这将防止威胁者潜在地利用软件漏洞。

这些工具将以某种方式保护公司的外围免受低级攻击并防止垃圾邮件。

第1层：

通过引入更大的网络访问控制，从而超越了对标准防火墙和防病毒软件的依赖，从而提高了方法1的安全性。它还关注增强的电子邮件安全功能，以保护敏感信息。这些功能通常包括针对性的攻击防护，附件扫描和加密。

2级：

希望展示其对最佳和最先进安全措施的承诺的中型和大型资产管理公司发现，通过IT外包，寻求全面管理保护的小型管理人员也是如此。

Tier 2 Perimeter＆Network Security建立在防病毒软件和补丁管理软件，增强的电子邮件安全性以及网络访问控制的基础上，还将利用下一代防火墙，使公司可以按应用程序过滤网络流量并实施其他安全协议以保持有害流量在海湾。

下一代防火墙的一些优势包括：

•多合一功能•更大的可见度和控制力•简化管理•更好的安全性•降低总拥有成本

2.访问控制措施

等级0：

随着员工越来越多地从家中或在旅途中进行远程工作，外围设备的安全性已超出了办公室的四面墙。因此，人们访问数据的方式必须尽可能安全。Eze Castle建议Citrix作为在移动中使用工作应用程序时进行安全远程访问的工具。另一个选择是使用虚拟专用网络（VPN），为员工提供“远程桌面”，使他们可以使用工作计算机服务器上的任何应用程序。

第1层：

安全性的下一层是采用移动设备管理（MDM）解决方案。这将确保管理员能够根据员工对智能手机和其他移动设备上的公司/投资者信息的访问级别来设置和控制协议和准则。对于使用“自带设备”策略的资产管理者而言，这一点尤其重要。

2级：

基于以上因素的多因素身份验证可为公司提供顶级访问控制。这种方式越来越受欢迎，尤其是那些希望控制员工如何访问云上信息的人。多因素身份验证要求最终用户验证凭据并证明其身份。正如Eze Castle指出的那样，存在三种类型的多因素身份验证：

•基于知识（例如安全性问题）•基于所有权（例如，加密卡，移动设备上的身份验证应用）•基于固有性（例如指纹，生物特征扫描）

除多因素身份验证外，第2层公司可能会尝试使用许多先进技术。这些通常包括入侵检测和防御系统，该系统使用静止数据加密工具来监视网络并防止威胁被抓住，还包括数据丢失防御软件以防止敏感信息被发送到网络外围。

3.政策与程序

等级0：

尽管政策往往被认为过于枯燥乏味，但就网络安全而言，它们是公司网络风险管理计划的中枢神经系统。作为基本要求，即使资产经理没有其他策略，它也应该为员工建立关于网络访问，系统登录，Internet使用等方面的可接受使用策略。

埃兹城堡还建议采用“最低特权原则”。简而言之，这表明只有那些需要访问某些系统和数据的用户才被授予这种访问权限。

第1层：

除了具有可接受的使用策略和最低特权主体之外，第1层公司还将拥有各种策略文件，包括书面信息安全策略（WISP），业务连续性计划（BCP）和事件响应策略。WISP记录了公司拥有的数据，存储在哪里以及谁可以访问这些数据，而BCP概述了在发生网络漏洞的情况下公司将如何保持日常业务的立场。

《事件响应政策》应说明公司将采取哪些措施来缓解这种情况，关键人员将是谁以及他们的作用是什么。它还应详细说明如何以及何时通知投资者和主要服务提供商。

4.员工/用户行为

等级0：

无论预算多么有限，都可以通过应用强大的密码强制功能轻松实现简单的网络安全防御态势。无论采用何种技术和流程，人员通常都是最薄弱的环节。理想情况下，基金经理应提示员工每90天使用大小写字母和特殊字符的组合来更改密码。建议限制使用密码中的个人信息。

第1层：

基于强密码使用的最佳实践，安全资产管理器可以应用于网络准备工作的下一层是培训和教育。这将有助于他们及时了解新的网络威胁，并且重要的是，在发生攻击时了解公司的政策和程序。对正在进行的培训的承诺可以对保持尽可能高的安全性产生重大影响。

2级：

确保将公司的信息从不法之徒手中夺走的第三层考虑因素是进行定期的网络钓鱼模拟练习。这些将有助于测试和培训员工，以识别进入网络的潜在有害电子邮件威胁并采取行动。这些练习是建立在培训和教育方面的好方法，并且运行起来相对便宜。此外，通过随机进行这些练习，可以使员工保持警惕，使公司可以使用一系列不同的模拟方法来衡量员工的工作效率。

以上示例表明，不必为获得网络安全的费用和复杂性所困扰。从基本层面开始，基金经理可以随着业务的增长和潜在威胁的增长而发展其技术工具和政策。一直以来，这向投资者表明，他们致力于在可能的情况下建立最佳实践。