在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
副标题:放弃成见,制定符合实践的安全策略 % y1 y5 _9 W# r- k( C+ m% g / A# G- z" m: w4 m. I" { 作者: Al Berg1 w' R; u: x$ P0 [8 C* Z$ ? $ [; M4 Q8 ], x( g" r% Z* c 6 j. L0 m |$ J$ d' y" s V% _. c2 u3 t 作为公司信息安全部的技术主管,我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后,我才发现自己是多么的渺小,原来的看法是多么的可笑。) U6 O7 L; v9 C" D7 @ / {( ^# G7 a7 [ ) u# B7 B/ W% V7 j! Q3 C9 P2 Y w: h $ U( T, U6 Y9 I: j6 W ' A" u' S1 s4 ]7 {' x/ G0 H. s& _ 1 }$ R1 W( l z6 s# E * P$ H: O! k9 e5 W' U " w2 }. `% O) b) U/ s$ N' X 7 c7 V! Z) E; P7 Z: f% w& ? & B& q2 C; q7 W& h# W . v% G/ U- X: ~ B $ C* q8 k0 G. d5 p 在学习小组这段信息安全策略学习期间,我学会了许多新的东西,现在我把它称之为信息安全策略的六个神话。9 g" Z s1 B* [ 2 e& e& t& |7 w- m9 }1 w7 h4 f ! O/ _7 u) S5 G+ U% c. ]# O0 A $ U; w3 V5 F6 e$ ] Ø 偏见1: 信息安全策略是信息安全的重要基础) A2 H3 A6 F' V( n8 P0 {- j; o4 {+ j 3 ?& `$ y4 T) X9 k : z' h2 S0 y) t 0 I% a) y9 W5 T1 Y1 p+ C; S+ K; G, F 首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。0 ^3 f e$ W& v m) x 6 `: F/ a. O/ i/ J* T, w: Q/ U " b! o& g, B' Z5 J* z $ s& j% C' w# m% v , B) {( B! \. s, f , o5 Z6 l6 `# D: ~1 t+ x ) _0 |- K+ O2 m. j% G3 d % o* c3 z ]- K: u- w0 ]7 Z# C 信息安全风险评估任务繁重,但是完成后您将可以了解:& G' m' R$ j- g1 M$ p- \ - Y# R9 f$ d+ {- o7 V * 贵公司的信息资源;0 w) E; L3 f' E& w9 g: m% C ' Q8 a/ s4 M: f, O+ W7 x ' R% D; A: n w Y( F" v- F' t ( p$ i V# z- P1 e% l 0 `( U" c2 z3 _ % a1 D6 g' G9 h+ ^( ` ; W& W, Y8 w7 J$ a6 J8 N 1 U: U9 y" O1 a) T; _- J9 p / A8 x5 z# q' U5 p 1 L. w& M; Z1 i6 N / k1 s1 j* t* c7 M6 v9 H: d3 d& @4 n 6 [" S/ u4 E' n0 i: x Ø 偏见2:信息安全是个技术问题。$ q0 G6 L! V: g% | 7 u" M$ t. F* X+ Z ; s2 e9 v6 W$ o+ X6 B: E; t, \ 7 P+ d1 g+ j1 b' j2 Y; n# E 您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。" i9 u1 d/ y+ | : H' j G; g. P" D" g2 t " L1 r4 \7 D' P; F& b 5 L! K8 f! F# }+ u 信息安全策略能够反映贵公司维护信息安全的手段,是公司管理层对下级的指示。# w" x7 r2 {" I) c9 V* `3 N! s 6 y0 @+ w% c- C ) e" F3 W! Q; b$ q) D/ u - q n" e# r4 M6 y4 o+ i. S+ W 9 U$ A% k" C- a* N) ~ 7 A% d* Z" e* K1 P# |( ^ - ], B/ }. A: @6 T 0 x- q% H5 m0 c; Y/ C) @2 N ! G8 P5 n3 S; g$ U( \! O : l3 z6 |8 O9 \( ^. b . L9 C! a0 q1 l# J B+ V ' w/ [9 @) i6 N _; _ ' a+ a5 B3 a; D0 n , G* k0 w3 M+ o! u9 P ' ~1 ?9 n4 W: f+ V . p, G( T5 a/ ~ * 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。 Q5 n/ W1 R, w& c* Z ) H2 M- z- v, H % l/ x3 Z" @/ g' O. c4 l & L! q0 @1 l. N4 L2 v 在这里您可以把信息安全的策略看做是国家的宪法。宪法并没有从细节上规定停车规则和建筑规则。但是,从中央政府到地方政府的所有法律都可以溯源到国家宪法。如同国家宪法一样,信息安全策略提供了维护网络信息系统安全日常规则的总体框架。 P2 k+ Z# |" e9 h; u 3 |& ~+ i8 M* L/ h3 q3 X6 M, M" [ 3 N7 z3 i. P4 { 3 ?% Q0 T& _6 B* Y/ Q& u& F " |, H- e i R; z) Q% }1 ]- v 6 r' h1 | D( O6 ~ ' d( v. n0 |" j9 @! b1 i % k( [# F- z& u; O 不要因为您在制定这些策略上投入了大量的时间和精力,就认为你的同事也同样会而且愿意投入大量的时间和精力。这里我要对你说:让你和同事的生活轻松一些吧。一旦您的安全策略确定了,要制定一套标准向有关人员和部门解释如何才能遵守这些策略。例如,《便携式计算机加密标准》,用来支持上面讨论过的策略,里面可能包含下列信息:+ A- |! B: Z' \# @# Y ' I- x" y: @) p- T3 } ; a) _" F2 t! o: F . d7 @! M) j5 \' H* x) | * 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。" A5 y" `8 R) A+ _ & F C2 P6 e8 Z; | * 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。3 t3 A* I, E* z9 o' t' h; C8 u O0 F+ v3 F2 W1 ^" q * 网络支持部门要保管EFS密码,以便从便携式计算机上重新获得数据。密码必须保存在安全的地方,保证仅网络支持部门的负责人和内部检查负责人可以获得。) Q/ _: s0 V- B( _& e + `2 O/ p+ [6 |5 H" g & `/ h) @* R0 {- i2 |5 B) A* k, \ " m! B: ?5 A- r 其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:7 Y: o# @; S% A0 ~: P. o & s; O, C) x$ v; @& D2 I! u9 X3 U8 E 1 G/ |. p5 R/ O9 ]+ E7 x! r: Y* X 5 K$ l$ K5 z+ J0 K + u* K$ f5 b3 [ E) v 1 q6 r Y" d, E! C, }4 G7 @ * 可以解决不同部门具体办事方式不同的问题。只要制定的标准可以同策略相符合,这些标准就可以从不同部门的实际层面上来制定。如在文档加密这个问题,战略规划部门的信息一般都是绝密的,整个用来保存的硬盘可能都要加密。如果这样,战略规划部门的加密标准就可以以此为准。1 l9 h! r/ D3 m* x ) ~8 r) Q1 {' L- K b 6 X) {5 L$ e+ Q) j# X ( s O! c' h- h1 r 2 G: o: J# ]4 i+ E: H3 B , U$ ?# G3 d4 C2 { S3 n7 f& v ( Y) \* o5 P) ~# L/ Y 2 o& x7 t( Y, A9 W/ e Ø 偏见4:新的策略的制定实施会遇到新的麻烦+ F8 t$ c7 A6 I 1 D L" H& }/ V3 E2 w5 m7 R 7 H& x1 I/ ~/ D+ @$ I 2 a- T9 I7 W: l! B 您在公司的内部网一公布新的公司信息安全策略,您的收件箱可能就会出现大量的消息,它们都来自您的同事,他们对您新公布的策略感到焦急、迷惑甚至愤怒,觉得您的“大作”是个"大灾难"。他们考虑的都是执行这些策略时他们必须做的额外的工作和增加的预算。- ^: Z) `# A, s7 w9 \: H7 g 2 N/ S1 _) l5 t. l( h5 V& X$ f* Y+ Q / b- e' ^9 O" u6 m M4 C 2 Q) ~5 t7 R% ?# U6 c; g 新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。9 x. Y4 I) r, R, ?, } 7 @1 C# E# s6 f , o' D; u. M9 f- B& ?8 Z 5 O( i. q& r! {3 U. g; g* Z 尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者,并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会,可以同业务部门联络,保证安全措施同主要的业务部门相适应。( s6 m- i( \1 q * G3 S' f+ ?; u! a# \* W & J; A! `% v0 u% q$ Q! W" l * y. h& L6 u7 H* t0 E" m% \ 3 T7 f9 ~ ^0 ]% H8 t" c / V1 g c: R8 x. p ( `- F0 h7 D1 i! W0 y - y C: p9 q/ }% b, t0 R1 H( t' ?; s 7 q1 b) z. t& f5 R; }! U) `( B . Y4 C- y+ D/ J8 o7 K& Q. j+ ? " F/ a4 g2 J: v2 ]4 M# x 1 ~5 l& m& P& Z8 \: @' c 5 O2 ?- y' R' q% R! f 8 _2 W* Q9 v& x8 ] 2 Y1 P7 v. ~" U+ g0 E* ` 8 l6 I9 d/ u5 G9 i8 U+ \ & H. p& W& m3 w2 L, A; f 6 A4 ]' c: q% H4 H" ]# J1 [. Y0 l % @) H. q) N" U4 m' ] ! b# O# C7 \4 D7 x. v 本公司的管理层几年前就知道信息安全优先的必要性,而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里,他们:8 v/ b. H- k1 P+ Q& s + Q5 z: N$ W8 {( C$ q, A0 @4 B ( O3 m; u; p5 Q$ K! { + F7 E0 e: n( e" s% {" c * 用浅显、幽默的语言写一份信息安全策略基本手册,分发给员工,人手一份。: V4 q# R8 {* U $ B5 R9 V4 v0 r- x1 O. J ! }& i0 `, M" Y: V' ~: h- n& \ * d7 r3 M- T1 E" C% | 8 T6 G9 U- T% Z% R, ] 8 Y# ^5 B4 U: b+ g! _ * 建立一个内部网站,作为信息安全的交流中心,其中包括所有的策略和标准。. O3 y; W) u9 W 6 s) D# _: U& C2 G 就算您的公司不大,而且管理层没有意识到信息安全的重要性,你还是可以做到让人们了解到信息安全的重要性。以下是本人建议的几个方法:3 x3 {9 _! B. ?0 c. k 7 s3 y0 O/ f* e7 v8 d4 y ' x% V K: U" Y( C ~0 s& Z 2 }* g8 m: D2 ? * 在自助餐厅和休息室的布告板上张贴信息安全注意事项。/ B; {+ r& K% M( O. n8 D " G4 L% H. r9 Q ; [# m4 k/ z; ^2 l4 g% Z$ y # d3 H+ o2 n* B9 X/ d; J; [ * 设立一个“安全热线”,使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。* J2 v( W9 D/ ~: T0 q( {/ H8 K, A 4 `2 P8 ]( B3 { r * 有对员工的疑问、报告有所反映,让他们很容易得到问题的解决办案。: F: Z! F k7 L0 G 4 {8 h6 N# @; g . e( k0 v! o% w; R ! d3 D" w4 G4 W! b$ g& Q! S+ U 修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新,用户需要得到指导,以便了解这些标准。要对遵守情况进行评估,我们的信息安全部门经常不得不对同事进行一些指导,以便让他们不犯错误。: P# X( z) s5 ~2 R " A0 Z# U3 X& p% r . d! t+ S% l7 L4 P$ K @ , {' X. D) G% u1 S& _4 O1 _6 I 但是,针对性太强并且太过于严格的信息安全策略却会使公司将精力都花费在安全问题上,而影响正常的商务活动。这一点,我们的安全组和公司其他部门的同事都深有体会。) S3 Y+ v0 V. i- q % o& d' _/ I5 w) }% j: ~ 4 T# {4 M; s1 l/ T4 q4 M 1 x8 s2 V8 g8 S5 [9 R$ \; { , W1 f% I$ }7 k8 ~2 [# U , |$ |* u( {# q - M' d! i0 |% T* z" c. `( u * B) a( r+ C$ m$ W AL BERG,CISSP,《信息安全》投稿编辑,某金融领域数据处理服务公司信息安全部门技术负责人。
zan
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
