OPSEC 的 5 個(gè)步驟是什么？

構(gòu)成運(yùn)營安全的流程可歸結(jié)為以下五個(gè)步驟：

1. 識別關(guān)鍵信息。第一步是確定如果對手獲得哪些數(shù)據(jù)將對組織特別有害。這包括知識產(chǎn)權(quán)、員工或客戶的個(gè)人身份信息、財(cái)務(wù)報(bào)表、信用卡數(shù)據(jù)和產(chǎn)品研究。

2. 分析威脅。下一步是確定誰對組織的關(guān)鍵信息構(gòu)成威脅?？赡苡性S多對手針對不同的信息，公司必須考慮可能針對這些數(shù)據(jù)的任何競爭對手或黑客。

3.分析漏洞。在漏洞分析階段，組織會檢查保護(hù)關(guān)鍵信息的保護(hù)措施中的潛在弱點(diǎn)，并確定哪些弱點(diǎn)使其容易受到攻擊。此步驟包括查找旨在防范預(yù)定威脅的物理和電子流程中的任何潛在失誤，或發(fā)現(xiàn)缺乏安全意識培訓(xùn)而導(dǎo)致信息容易受到攻擊的領(lǐng)域。

4. 評估風(fēng)險(xiǎn)。下一步是確定與每個(gè)已識別漏洞相關(guān)的威脅級別。公司根據(jù)特定攻擊發(fā)生的可能性以及此類攻擊對運(yùn)營的破壞程度等因素對風(fēng)險(xiǎn)進(jìn)行排名。風(fēng)險(xiǎn)越高，就越迫切需要實(shí)施風(fēng)險(xiǎn)管理

5. 采取適當(dāng)?shù)膶Σ?。最后一步涉及部署可降低風(fēng)險(xiǎn)的 OPSEC 計(jì)劃。最好的起點(diǎn)是對運(yùn)營構(gòu)成最大威脅的風(fēng)險(xiǎn)。潛在的安全改進(jìn)包括實(shí)施額外的硬件和培訓(xùn)以及開發(fā)新的信息治理

運(yùn)營安全最佳實(shí)踐

開發(fā)和實(shí)施端到端運(yùn)營安全計(jì)劃的組織將希望遵循以下最佳實(shí)踐：

• 變更管理流程。公司必須制定變革管理流程，以便員工在對網(wǎng)絡(luò)進(jìn)行調(diào)整時(shí)遵循。
• 限制設(shè)備訪問。組織應(yīng)該只允許設(shè)備訪問絕對必須具有該訪問權(quán)限的網(wǎng)絡(luò)，并且應(yīng)該使用網(wǎng)絡(luò)設(shè)備身份驗(yàn)證。
• 實(shí)施最低特權(quán)訪問。企業(yè)必須為員工分配成功執(zhí)行工作所需的網(wǎng)絡(luò)、數(shù)據(jù)和資源的最低級別的訪問權(quán)限。最小權(quán)限原則確保系統(tǒng)、應(yīng)用程序、進(jìn)程或用戶僅擁有完成其工作或功能所需的最小訪問權(quán)限。
• 部署雙控。公司必須確保負(fù)責(zé)維護(hù)公司網(wǎng)絡(luò)的團(tuán)隊(duì)和個(gè)人與負(fù)責(zé)制定安全策略的團(tuán)隊(duì)和個(gè)人分開。這種方法可以防止利益沖突和其他問題。
• 實(shí)施自動(dòng)化。在企業(yè)安全方面，人員通常是最薄弱的環(huán)節(jié)。人類會無意或有意地犯錯(cuò)誤，導(dǎo)致數(shù)據(jù)最終落入壞人之手，忽視或忘記重要細(xì)節(jié)，并繞過關(guān)鍵流程。自動(dòng)化可以消除這些錯(cuò)誤。
• 制定災(zāi)難恢復(fù)計(jì)劃。任何信息安全防御的一個(gè)關(guān)鍵部分是制定災(zāi)難計(jì)劃并實(shí)施強(qiáng)有力的事件響應(yīng)計(jì)劃。即使功能最齊全的 OPSEC 計(jì)劃也必須附有災(zāi)難計(jì)劃，以識別風(fēng)險(xiǎn)并詳細(xì)說明公司將如何應(yīng)對網(wǎng)絡(luò)攻擊并限制潛在損害。

圖片

美國國家標(biāo)準(zhǔn)與技術(shù)研究院的四個(gè)事件響應(yīng)生命周期階段重點(diǎn)關(guān)注安全事件的檢測和補(bǔ)救，以及組織現(xiàn)有的治理結(jié)構(gòu)。

OPSEC 和風(fēng)險(xiǎn)管理

OPSEC 鼓勵(lì)管理者從外到內(nèi)看待運(yùn)營和項(xiàng)目，即從競爭對手或敵人的角度來識別弱點(diǎn)。如果一個(gè)組織可以在充當(dāng)局外人的同時(shí)輕松提取自己的信息，那么外部對手也很可能可以。完成定期風(fēng)險(xiǎn)評估是識別漏洞的關(guān)鍵。

風(fēng)險(xiǎn)管理包括在漏洞和威脅變成真正問題之前識別它們的能力。OPSEC 迫使管理人員對其運(yùn)營進(jìn)行深入分析，并確定敏感數(shù)據(jù)容易被泄露的地方。通過從不良行為者的角度看待操作，管理人員可以發(fā)現(xiàn)他們可能錯(cuò)過的漏洞，并且可以實(shí)施正確的 OPSEC 流程來保護(hù)敏感信息。

作戰(zhàn)安全培訓(xùn)

美國卓越安全發(fā)展中心 (CDSE) 是國防部國防反情報(bào)和安全局的一部分，為軍事人員以及國防部雇員和承包商提供安全培訓(xùn)。該小組使用基于網(wǎng)絡(luò)的電子學(xué)習(xí)格式來展示其培訓(xùn)計(jì)劃。

CDSE 培訓(xùn)涵蓋的領(lǐng)域包括：

• 定義操作安全；
• 識別關(guān)鍵信息；
• 了解 OPSEC 的五個(gè)步驟；
• 識別潛在威脅以及它們?nèi)绾螌?dǎo)致對手發(fā)現(xiàn)敏感信息；和
• 采取適當(dāng)?shù)膶Σ邅肀Ｗo(hù)關(guān)鍵數(shù)據(jù)。