當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

快速制定有效的企業(yè)安全策略方案

http://www.yibo1263.com　2009/4/14 7:57:35 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　衡量一家單位的安全性是不是從其是否擁有健全的UTM、防火墻等設(shè)備著手呢？答案是否定的，我們應(yīng)當(dāng)先考查其安全策略。

　　單位應(yīng)如何制定一套高效的安全策略

　　安全策略是一套可以影響單位人員行為的文檔資料、計(jì)劃或指南。安全策略很重要，原因在于它是任何一個(gè)單位的防火墻、UTM、IPS等系統(tǒng)的基礎(chǔ)，或者說(shuō)任何其它設(shè)備或服務(wù)的安全規(guī)則、要求、規(guī)范等都是由該單位的總體安全策略所決定的。

　　何謂策略？策略是能夠創(chuàng)建出來(lái)用以增強(qiáng)特定規(guī)則或規(guī)范的某種形式的文檔資料，其目的是為了讓一個(gè)機(jī)構(gòu)按照要求的程序動(dòng)作。而一個(gè)單位的所有安全項(xiàng)目都是在安全策略的總體框架下制定出來(lái)的。可以這樣比方，安全策略如同骨架，而安全設(shè)備、安全軟件等安全系統(tǒng)就是覆蓋在其上的血肉。安全策略的設(shè)計(jì)目的是為了管理單位的資源，并有助于加強(qiáng)授權(quán)用戶(hù)和資源的安全性，防止資源被濫用。所以安全策略問(wèn)題是一個(gè)根本問(wèn)題。

　　安全策略的編制要與單位的目標(biāo)保持一致，并符合IT管理目標(biāo)的要求。而且安全策略并不能特立獨(dú)行，它需要支持文檔來(lái)指明一些指南和過(guò)程。這種文檔要定義所期望的用戶(hù)行為，所以需要清楚地寫(xiě)明且不會(huì)產(chǎn)生歧義。要知道，一套策略的目的是為了影響全體用戶(hù)，規(guī)范其行為。一套編制優(yōu)良的安全策略可有助于應(yīng)對(duì)目前的安全挑戰(zhàn)。

　　單位面臨的挑戰(zhàn)

　　許多安全策略并沒(méi)有什么著落，這也就是說(shuō)如果策略遭受了損害，卻無(wú)法采取什么懲戒性的行動(dòng)。這主要是因?yàn)槿狈芾碇С�。所以管理部門(mén)采取措施使得現(xiàn)有的安全策略文檔得以強(qiáng)化是很重要的。但首先要保證策略的可行性，即可以實(shí)施。我們經(jīng)�？吹揭恍┎呗噪y以理解，也找不到相關(guān)的解釋。關(guān)鍵是編寫(xiě)一種有著很好基礎(chǔ)的策略，要求它清楚易懂、可實(shí)施，便于閱讀。有些單位以一種不太現(xiàn)實(shí)的方式編制策略和管理控制，并不能真正地解決單位所面臨的挑戰(zhàn)。

　　一套有效的策略應(yīng)當(dāng)是簡(jiǎn)明扼要而意味深長(zhǎng)。相關(guān)文檔的生命周期應(yīng)當(dāng)在三到五年之內(nèi)甚至更短，而且需要每年都進(jìn)行檢查以確保其一致性，并與企業(yè)的戰(zhàn)略保持一致。

　　一個(gè)最大的困難或挑戰(zhàn)是很少有安全專(zhuān)業(yè)人士深諳此道，很多單位從其它單位拷貝文檔用于本單位，雖然這些策略談到了最佳的方法，但在實(shí)施技術(shù)控制時(shí)卻離本單位的現(xiàn)實(shí)目標(biāo)有相當(dāng)大的差距。

　　職權(quán)

　　這種策略應(yīng)當(dāng)?shù)玫礁呒?jí)管理部門(mén)或企業(yè)老總的授權(quán)，如果沒(méi)有這種支持安全策略就無(wú)法實(shí)施，或?qū)⒊蔀橐患埧瘴摹Ｒ宄仃U明制定策略的原因，所有的人員都應(yīng)當(dāng)清楚不遵循安全要求的結(jié)果。

　　在沒(méi)有得到認(rèn)可的情況下增加安全要求將導(dǎo)致有關(guān)部門(mén)增加技術(shù)控制的預(yù)算。技術(shù)控制需要花錢(qián)，因此對(duì)于策略的認(rèn)可是至關(guān)重要的。

　　框架

　　要知道，隨著時(shí)間的推移，用戶(hù)需要不斷地增加策略，因?yàn)槠髽I(yè)目標(biāo)的改變，也需要考慮策略的采用問(wèn)題，而用戶(hù)的行為也會(huì)改變。使全體員工遠(yuǎn)離不安全的途徑是我們應(yīng)當(dāng)考慮的主要問(wèn)題，保護(hù)公司的信息資產(chǎn)至關(guān)重要。

　　將單位的預(yù)算牢記心頭，要考慮到單位對(duì)技術(shù)控制的計(jì)劃。如果策略建議了某種行為要求，但卻沒(méi)有技術(shù)來(lái)強(qiáng)化這種策略，那么用戶(hù)將無(wú)法執(zhí)行策略。

　　不要試圖減輕全部可能的風(fēng)險(xiǎn)，安全策略應(yīng)當(dāng)清晰，應(yīng)當(dāng)讓人看出應(yīng)當(dāng)做什么，不應(yīng)當(dāng)做什么。要在細(xì)節(jié)上下工夫，而不要輕描淡寫(xiě)。

　　一套全面的安全策略要求涉及到所有的業(yè)務(wù)單元，仔細(xì)地整理策略將有助于減少暴露的程度。一味地跟從其它單位的文檔不利于排除安全風(fēng)險(xiǎn)。

　　一定要運(yùn)用最少特權(quán)的規(guī)則。這會(huì)使得暴露的攻擊面最小化，暴露得越少則風(fēng)險(xiǎn)越小。

　　要對(duì)策略的強(qiáng)制要求部分重點(diǎn)強(qiáng)調(diào)。如果你沒(méi)有清楚地表明，那么用戶(hù)們會(huì)感覺(jué)到這些東西是可選項(xiàng)而不是必選項(xiàng)。必要時(shí)對(duì)這些要求用專(zhuān)門(mén)的顏色強(qiáng)調(diào)，而對(duì)可選項(xiàng)部分可用斜體表述。

　　有一些策略可能會(huì)排除某些用戶(hù)，這些排除部分不應(yīng)當(dāng)位于文檔的主體部分而應(yīng)當(dāng)位于附錄中，否則容易引起混淆。

　　有的單位將安全策略分割為若干部分，這樣其不同部分就可以一種更有限制性的方式適用于不同的部門(mén)。這可能會(huì)極大地增加策略的復(fù)雜性，總體的安全策略也將會(huì)過(guò)于松散并會(huì)增加暴露程度。為此，最好將更多的細(xì)節(jié)交給每一個(gè)部門(mén)，，人力資源部門(mén)可在明確策略要素方面起到自己的作用。雖然不同的部門(mén)擁有不同的安全狀況，但這種方法適用于任何一家單位。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费