在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
副标题:放弃成见,制定符合实践的安全策略 $ e" H5 P+ d. g* c9 a # c- ^+ k/ w" ?/ `3 Y" f8 e / v" m; I1 W9 J7 F; N! \/ [ $ @1 k. X1 R+ p2 x 3 e J. }7 P6 f5 J( e5 y ( N- s) o7 g( m9 K+ R5 |9 E 作为公司信息安全部的技术主管,我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后,我才发现自己是多么的渺小,原来的看法是多么的可笑。# k& q' ]5 m5 d; H 4 W' k) \( G9 _$ q8 Z . j1 Q$ w" Z% L5 v& U8 E 8 b2 k/ l/ m7 z: D4 y' [ 在1995年期间,我们和商业伙伴之间的通讯方式还是除了书信外,就是通过电话联系,彼此之间几乎都是孤立的。在当时,因特网对我们来说只是听说过,却从来没有接触过的非常时尚的事物。. K4 i$ r8 a* d " o( p) g1 r2 j. u+ U7 i 8 z8 I2 u: r# a3 l7 a4 t 0 [1 ?# B5 W# u/ d K 4 v* l9 P6 H( ?! e 8 h; ^, n. g4 _* c ) |, |7 L; d( ~$ Q; o 7 Q# e i) ]7 u2 `; ]9 x. s " ^( Z( `2 s1 C& _2 x0 k t 2 ]% e5 \% n( z3 _. e : _2 }: |% W- C/ B 7 P( J9 o# C5 d6 l7 O5 n Ø 偏见1: 信息安全策略是信息安全的重要基础! M6 R2 a5 _: M4 Z; G6 i 2 l0 O: B: d: A! ]' m% x( H ! E9 e, p1 j, ?1 x5 z' x: ^ ; y' l2 c7 j1 \9 M 首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。' f, W9 |. p' G% w( E ; s7 M o( v. n6 x: u0 g # a! S! [& Z w( f; @ ' D" B @7 L( p" C. d 在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。: o5 o0 i- z- z , M& r6 _( V# ^& Z$ x 4 C8 {9 t) g, i6 w h6 c' \ 9 P& _0 ~4 r2 e5 b+ ^: X , O0 o8 n% B8 ]5 K* Y6 ~: ` N- Q, X! D9 ?" M+ ? 8 T3 N9 l0 L0 J% m4 ?' X * R# ]( h. z* T& [+ k0 n+ ^& l3 k1 s $ e( W; m, ]8 V% \/ f! U. h7 b% n 1 ~/ e9 J! V3 W; m * 贵公司要防范的风险。5 A0 a2 U9 L' n' h: F- n H2 a( s0 g * \3 B! t u' }* Q * c b3 X2 E. H0 {. @% N; Q; j 8 S( V. F! C* A0 t ) C1 d3 d4 M# A2 O. b( x y ; S; u' S) v A H O. M0 p" x0 R! c2 Q0 ~4 @ ! x7 Y w9 B) u! A2 P0 [, s( r Ø 偏见2:信息安全是个技术问题。' `1 K4 ]( Z& E p' N & T1 ^2 D9 h4 p! k1 y6 h & e5 [8 B( M% x- i( i 2 R7 Y w+ i3 ?9 ` n0 ]; [3 Q2 N3 g 您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。7 c1 A+ T: t' F* O0 H* C* v ( N! p6 t9 `, j% w 5 v4 x+ F; b% w2 A6 X 5 n/ F( y+ Z# d+ w 5 e4 `9 z& }3 _; g. |/ g5 @ " ~/ n( i( A7 Z4 D4 Q+ O) F+ \& e : C( s* l% Z$ i/ X" o( ] , X2 n) n* W. d& G 当然安全策略是不会具体描述如何去完成某项任务的,它只是大概地指出所要完成的目标是什么。例如,加密敏感信息的安全策略可能只有一句话:“机密或者高度机密的信息在公共网络的计算机上保存和传输时,必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话,您应该注意:, q3 F; L$ n! R& W e ' s% c+ }- H. H* p) Z ! N; y/ n0 ` l# e) v * X8 v5 L5 o+ c$ M4 @ & ]6 V7 u+ I2 i- N 2 M0 X; R" y" J0 G' T/ Y2 }! c # e- B% @% N$ S $ b$ ]8 \# O0 S* p * 它没有具体指出要使用何种技术,如何配置。3 |8 T+ x. `3 e $ q1 H! b5 d) e# H' M: q f * 它是可评估的。当检查的时候,可以对各个部门执行的表现和成绩打分。, p& R8 ?# Y' _2 [ L* @* T$ X* Y; [! \+ b * 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。- w) T1 c; T* u) s # b7 I, z8 K2 T' F . v( O( q. h2 p8 t# l. c% h + O! F: |) v- m' f7 M% ~$ ^# n/ b2 I 8 U }- v* H5 j1 E4 j 3 ]+ x, d) `6 ?8 ~# C . i! ?4 }3 B5 s# J* l: O + e. H( w& K% w3 e2 h 6 e- e3 n/ ^4 c& \. J8 K' Z, M1 h . u4 I! A: B% d" ~. K/ p 2 a; Y5 Y. p2 D6 Q ` 3 \8 }3 }5 W# F1 k0 Q3 s) ?5 ~/ | a/ [: Z" B; y 2 k- x8 \5 E0 `4 k3 O& K : T1 ~ e f6 @ & g: Q* J) k1 U# V * 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。/ L% B7 v M9 ?) N8 e- u! n ( f/ A6 \! |3 w) T+ X 3 {+ C" o0 C2 U& \8 I - I. ?% w7 x6 \+ d3 S3 z ; e* c% \4 Q3 Z * G/ a3 y) z+ `/ X. U3 w7 h8 C7 W+ E# V 1 L# {6 O1 x0 _: [- S1 h ' A6 R! @9 l- N# |6 z$ q - I6 G! A5 C3 T% p. q+ R0 g& s " G: o/ m/ X" e2 F+ B# V 9 Q* y. w3 `: S8 ]( M, o2 o ; ^2 f: m7 S" r) n5 b ) l3 D9 o4 W; L, `' B . s+ ?' {# x0 }5 g* B) s+ @/ x' Q# E & j6 z' {% D- D* l, g/ x / |( t1 A5 V: Y \6 a& B. q * 标准要便于理解,当然并不是要让公司所有人都觉得你制定的访问控制,加密算法和防火墙规则设定得让人着迷。要使同事们能够比较容易地找到实际的安全问题解决方法,不要让他们面对的只是大量无用的信息。* d q2 u; _- ~& h* m: p % O2 ^' t9 ^0 G7 b4 f * [( `6 U, P7 ~ 8 s3 m2 z. r6 {: `9 t+ s$ [7 \ 5 W T6 z. y; o % V4 c4 K7 |$ U& T/ v1 k$ _ Ø 偏见4:新的策略的制定实施会遇到新的麻烦* c* H0 `( k" t! Z. q& k' u 4 L5 V# w8 J6 J) A4 B0 L" y0 H) C, y ) g* r- r$ |6 J+ F : l' w$ O( c/ m ? 8 A4 G4 C( B4 e6 r2 k: W0 l : C! h4 g6 ]6 i( U/ Y 0 c6 s; b% J( ^* V1 i/ @( r, p ) v1 V5 C8 E2 I4 ]( r8 x9 c8 R- T% p 新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。/ _8 w) L3 r# `7 i4 M9 {% y 0 ?! o0 f) l6 j , T" x4 s" ~7 z h , A& B) a2 E3 I9 e; N ! E6 x9 B5 w" V! v9 C/ k4 V 3 t$ d3 \$ R8 A ! j7 a) N# `% {1 g% F 9 b3 L: {2 z4 W: j' w1 K Ø 偏见5:适当制造一定的安全威胁对新安全策略的推广往往是很有效的。4 g0 i0 A# f2 u2 d 1 ?9 j+ C+ p" p# y/ }/ G2 q+ @ 1 p2 d {: R9 x, h ( U5 K9 }! `% Z5 f* c; {0 I! B 要想赢得人们对新的策略的支持,并且让他们都遵守它是很难的,于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效,但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话,时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静,而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值,并且应该保护信息;制定新策略要在安全需要和工作需要之间找到平衡;要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。" W0 }; ?8 f) C, q$ K . \5 f& E& d" d: h/ H; C& y5 _ + R4 U) y9 e( l: J 9 ?% c$ T% `1 t" ~1 } Ø 偏见6:好了,新策略制定完毕,我的活干完了。( ~# p2 T& L8 P6 C1 x. O& j2 ? 1 i, }6 ^; R, B4 x+ _" J ) t- A0 l4 s; S$ r( ^ P' o 3 S# G! B ?4 k3 x2 I$ U; G 如果您今晚失眠,可以找一份典型的信息安全策略来看。马上就是第二天早晨。无论您的新策略多么地深思熟虑,多么地全面,但是如果人们不知道它们仍旧等于白费,建议让公司的高层来宣布新的安全策略。确定您的新策略散发的时候封皮上要有来自CEO的备忘录,备忘录要强调这是管理层的指示。这步完成之后,真正的工作才开始。: V* W6 K! p' y) _6 B- s " W, q" U; T3 F% `' `0 `( t 3 U$ f+ k C* L' y , Q- b) S5 H4 K7 _9 _' b) [ 本公司的管理层几年前就知道信息安全优先的必要性,而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里,他们:# G8 S( Z3 X" V" c/ V2 n$ @! | $ f$ ^" h- l* b; G6 O2 c $ H8 Y1 ? a2 q; k. y- H " ]; k$ P8 R- J H8 C * 用浅显、幽默的语言写一份信息安全策略基本手册,分发给员工,人手一份。# T# }# }7 l1 S, C' a$ @" m 6 [# w. A# v5 B o( n" j' o S ; z q! D7 i0 D # n6 l3 m) \! `7 h * 举行一系列受欢迎的信息安全知识的游戏比赛,参加者可以获得奖励和表扬。; h+ H( U% E/ q) z# ?& Y* D* D & \+ Q6 Z& E/ s * 建立一个内部网站,作为信息安全的交流中心,其中包括所有的策略和标准。9 C" _' t, [4 d3 `- u1 | . h- Y" @, c8 Y; P( ?3 F / [3 u4 T J: X3 t- [ % w4 i2 y5 P/ g: A * 每隔一周或者两周向全公司发送一份电子邮件,告诉大家一个关于安全的小提示。2 w( x# X- H1 S9 E {9 y" y 9 J, T7 s& N: v" b8 Y / g2 V& @5 `. l' [$ T + a q& [7 ?+ c- M. l% v * 认可那些为信息安全做出贡献的员工。员工提出了好的建议或者在防止和应对信息安全事故时做出了贡献要大力宣扬,送给他们礼物,并且在公司的通讯封面上表扬他们。/ o0 L8 q% c, J5 {+ E; D ' D, h1 B1 |! Q3 p1 s9 l8 H * 设立一个“安全热线”,使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。6 J2 V! r% b8 B2 \: j8 L q # ]( M5 }3 B4 a9 z8 q# F1 P * 有对员工的疑问、报告有所反映,让他们很容易得到问题的解决办案。% @" n) u$ W8 `) k8 M3 a( K& V$ ~ 6 Y" {3 M n) ^/ |1 Y% e 3 }- N# C( Q/ I4 |8 O$ @" G0 |1 M ; {+ N- Z8 ~6 ~! M. a " V: U6 }4 B! i0 S( [$ z" c / t0 U- G6 A0 A5 j( [* M" N2 J , t+ j7 B/ r: }3 Y9 g' P. S 4 u0 W% n5 c# r. x! N$ C ; x$ [ o4 x# V0 ` ' d& w# a$ g1 @5 y! c1 | % N, J; u- R+ Y$ a7 L O+ r( U$ H 1 h; D, k/ E, S 5 U4 x, e, _! ^7 c# V w- j% X ( M% P8 _7 r4 m: p6 b& c: w( k # ^- {1 y4 `& S/ o4 S H4 a $ b5 N2 k7 o8 C$ o; W$ W AL BERG,CISSP,《信息安全》投稿编辑,某金融领域数据处理服务公司信息安全部门技术负责人。
zan
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
