當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

快速制定有效的企業(yè)安全策略方案

http://m.yibo1263.com　2009/4/14 7:57:35 　來源:東北IT網(wǎng) 　編輯:葉子

　　衡量一家單位的安全性是不是從其是否擁有健全的UTM、防火墻等設(shè)備著手呢？答案是否定的，我們應(yīng)當(dāng)先考查其安全策略。

　　單位應(yīng)如何制定一套高效的安全策略

　　安全策略是一套可以影響單位人員行為的文檔資料、計劃或指南。安全策略很重要，原因在于它是任何一個單位的防火墻、UTM、IPS等系統(tǒng)的基礎(chǔ)，或者說任何其它設(shè)備或服務(wù)的安全規(guī)則、要求、規(guī)范等都是由該單位的總體安全策略所決定的。

　　何謂策略？策略是能夠創(chuàng)建出來用以增強(qiáng)特定規(guī)則或規(guī)范的某種形式的文檔資料，其目的是為了讓一個機(jī)構(gòu)按照要求的程序動作。而一個單位的所有安全項(xiàng)目都是在安全策略的總體框架下制定出來的�？梢赃@樣比方，安全策略如同骨架，而安全設(shè)備、安全軟件等安全系統(tǒng)就是覆蓋在其上的血肉。安全策略的設(shè)計目的是為了管理單位的資源，并有助于加強(qiáng)授權(quán)用戶和資源的安全性，防止資源被濫用。所以安全策略問題是一個根本問題。

　　安全策略的編制要與單位的目標(biāo)保持一致，并符合IT管理目標(biāo)的要求。而且安全策略并不能特立獨(dú)行，它需要支持文檔來指明一些指南和過程。這種文檔要定義所期望的用戶行為，所以需要清楚地寫明且不會產(chǎn)生歧義。要知道，一套策略的目的是為了影響全體用戶，規(guī)范其行為。一套編制優(yōu)良的安全策略可有助于應(yīng)對目前的安全挑戰(zhàn)。

　　單位面臨的挑戰(zhàn)

　　許多安全策略并沒有什么著落，這也就是說如果策略遭受了損害，卻無法采取什么懲戒性的行動。這主要是因?yàn)槿狈芾碇С�。所以管理部門采取措施使得現(xiàn)有的安全策略文檔得以強(qiáng)化是很重要的。但首先要保證策略的可行性，即可以實(shí)施。我們經(jīng)常看到一些策略難以理解，也找不到相關(guān)的解釋。關(guān)鍵是編寫一種有著很好基礎(chǔ)的策略，要求它清楚易懂、可實(shí)施，便于閱讀。有些單位以一種不太現(xiàn)實(shí)的方式編制策略和管理控制，并不能真正地解決單位所面臨的挑戰(zhàn)。

　　一套有效的策略應(yīng)當(dāng)是簡明扼要而意味深長。相關(guān)文檔的生命周期應(yīng)當(dāng)在三到五年之內(nèi)甚至更短，而且需要每年都進(jìn)行檢查以確保其一致性，并與企業(yè)的戰(zhàn)略保持一致。

　　一個最大的困難或挑戰(zhàn)是很少有安全專業(yè)人士深諳此道，很多單位從其它單位拷貝文檔用于本單位，雖然這些策略談到了最佳的方法，但在實(shí)施技術(shù)控制時卻離本單位的現(xiàn)實(shí)目標(biāo)有相當(dāng)大的差距。

　　職權(quán)

　　這種策略應(yīng)當(dāng)?shù)玫礁呒壒芾聿块T或企業(yè)老總的授權(quán)，如果沒有這種支持安全策略就無法實(shí)施，或?qū)⒊蔀橐患埧瘴�。要清楚地闡明制定策略的原因，所有的人員都應(yīng)當(dāng)清楚不遵循安全要求的結(jié)果。

　　在沒有得到認(rèn)可的情況下增加安全要求將導(dǎo)致有關(guān)部門增加技術(shù)控制的預(yù)算。技術(shù)控制需要花錢，因此對于策略的認(rèn)可是至關(guān)重要的。

　　框架

　　要知道，隨著時間的推移，用戶需要不斷地增加策略，因?yàn)槠髽I(yè)目標(biāo)的改變，也需要考慮策略的采用問題，而用戶的行為也會改變。使全體員工遠(yuǎn)離不安全的途徑是我們應(yīng)當(dāng)考慮的主要問題，保護(hù)公司的信息資產(chǎn)至關(guān)重要。

　　將單位的預(yù)算牢記心頭，要考慮到單位對技術(shù)控制的計劃。如果策略建議了某種行為要求，但卻沒有技術(shù)來強(qiáng)化這種策略，那么用戶將無法執(zhí)行策略。

　　不要試圖減輕全部可能的風(fēng)險，安全策略應(yīng)當(dāng)清晰，應(yīng)當(dāng)讓人看出應(yīng)當(dāng)做什么，不應(yīng)當(dāng)做什么。要在細(xì)節(jié)上下工夫，而不要輕描淡寫。

　　一套全面的安全策略要求涉及到所有的業(yè)務(wù)單元，仔細(xì)地整理策略將有助于減少暴露的程度。一味地跟從其它單位的文檔不利于排除安全風(fēng)險。

　　一定要運(yùn)用最少特權(quán)的規(guī)則。這會使得暴露的攻擊面最小化，暴露得越少則風(fēng)險越小。

　　要對策略的強(qiáng)制要求部分重點(diǎn)強(qiáng)調(diào)。如果你沒有清楚地表明，那么用戶們會感覺到這些東西是可選項(xiàng)而不是必選項(xiàng)。必要時對這些要求用專門的顏色強(qiáng)調(diào)，而對可選項(xiàng)部分可用斜體表述。

　　有一些策略可能會排除某些用戶，這些排除部分不應(yīng)當(dāng)位于文檔的主體部分而應(yīng)當(dāng)位于附錄中，否則容易引起混淆。

　　有的單位將安全策略分割為若干部分，這樣其不同部分就可以一種更有限制性的方式適用于不同的部門。這可能會極大地增加策略的復(fù)雜性，總體的安全策略也將會過于松散并會增加暴露程度。為此，最好將更多的細(xì)節(jié)交給每一個部門，，人力資源部門可在明確策略要素方面起到自己的作用。雖然不同的部門擁有不同的安全狀況，但這種方法適用于任何一家單位。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费