在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
副标题:放弃成见,制定符合实践的安全策略 ' x0 N% A Z% C Y# s: Z9 I$ a( ^6 o3 ~+ S+ B! q- u( p 3 ^$ C8 I6 _. u" W% J 0 _5 m1 l0 H3 y; F/ l7 Q 9 s0 @5 F2 k/ G/ e 9 P0 q! ?, [. ? ( c+ r- ?0 F; I4 `. @+ K ?7 k 7 ~1 _% z1 j) ^9 O* k + f% I$ T5 }- ~* [3 u0 h ; J% m: @$ L: P/ c 在1995年期间,我们和商业伙伴之间的通讯方式还是除了书信外,就是通过电话联系,彼此之间几乎都是孤立的。在当时,因特网对我们来说只是听说过,却从来没有接触过的非常时尚的事物。6 Y0 w" `# }$ j3 M 7 ^$ p6 B! J, q! W4 q5 H3 q) h: U 4 t6 N( m7 ?, c) k% X1 M " N: H: i6 N i- a( ^- n: j" t 转眼间就到了2001年. 我们和商业伙伴之间都通过租借的专用网络或英特网互相传递重要的信息,电子邮件变得和电话一样重要,几乎所有的交易也都是在网上进行。这时我们周围的世界已经变得越来越复杂,老一套的安全策略已经无法适应时代的发展而急需更新。1 l! Z# H: ^' n; ^% I 5 L N g0 e. P8 |: n2 L# u 9 `6 s, @0 \1 }0 ~0 X, e3 R / s+ P b6 V" M/ M" G 9 o& t* l1 d, N# F2 y& _ 7 f/ Y, U) i, d- m }* F6 X# l# ]6 ` , j2 |, q" E& T1 c* N # R+ ^6 V/ Q6 ]( J8 o# Y7 t; O$ Y Ø 偏见1: 信息安全策略是信息安全的重要基础$ I4 ~/ S; \ v & y- {; c, P! g/ U" \/ g4 @! | 5 ?/ M3 S4 @7 g, J! B, K @ * y, _* H T6 g1 g" p" { 首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。8 R, f7 I) T4 j5 J1 {$ t/ c8 y u & O( c4 g& j$ A( G / o' d6 k2 J% H7 z+ e9 N G; r: l1 L5 _8 N4 W) M% L 在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。. {7 i0 c, _+ O9 Z ( c8 H8 B0 ^4 H4 w7 l3 t$ F ' g* ~8 [8 c' O( c; [& F8 n) g ) c2 \2 H. F- B 9 _# x; n. s# [9 U/ O8 a$ i; j3 c ) O1 T O' F+ l1 S f, W: j * 贵公司的信息资源;5 C( @9 B( O' n* J5 |) w) W " D1 e" h/ v- j7 { * A4 i; ~% S' r9 ^ 1 c* u4 p% j+ K6 ^1 M * 贵公司要防范的风险。 B# C3 U/ p- ?0 j H* q C 3 u* o/ g9 ^! L5 ^ 5 t2 k3 k- c- d. K$ u: N; {6 H( q 8 W& y% y4 h6 K. X+ ^/ u 风险评估有几分象网球赛,不可能一个人完成。在多数的公司,所必需的知识和资源分布在公司各个部门。通过对信息安全风险进行恰当的评估,您可以结识公司各部门的人员,了解整个公司到底如何运行。' h" G0 ^' M; w# I 8 N7 r; D5 w9 Q6 k' }: o3 L ; P$ c+ H; l7 R9 h b5 h 4 P2 S! |6 [' H# {( k3 b) r3 ? Ø 偏见2:信息安全是个技术问题。' m6 q+ \: h9 P$ H$ t1 C : ^) K/ } s/ K. @& m. D2 J, c. G- A o A6 e; x4 R$ \. m 5 v& `, `" i8 C. R! Z 您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。 R' a" u5 R. x6 [' g `3 H1 z6 c3 v( _ % ?0 w: _6 |- G9 _, f2 \ 5 E' ~( R" M: b6 Z+ s; n 信息安全策略能够反映贵公司维护信息安全的手段,是公司管理层对下级的指示。7 J9 {* i2 ]0 C" H4 P 7 R( ~& f; V" e. P8 E! w $ v6 a! x: v. N* n$ S6 s ; g# b/ _4 h. W- \6 ~ 当然安全策略是不会具体描述如何去完成某项任务的,它只是大概地指出所要完成的目标是什么。例如,加密敏感信息的安全策略可能只有一句话:“机密或者高度机密的信息在公共网络的计算机上保存和传输时,必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话,您应该注意:4 ]) s# h7 B. L- {6 I , {* V. o+ d+ A8 W& Z 4 U1 `/ n. D+ H; Z( j " G+ d# ]: T. Z9 I( V, I8 B! K * 这段话很简单,不是技术性的,而且就像高级经理要说的那样。这很好,毕竟安全策略本来就应该是公司的总体指导性原则。8 I) W5 \' o' ]; v, X . L2 E, w% w2 P+ `( z* u# Z7 _/ U 2 ]. r+ m& p8 E8 @ ' S' o6 S6 |2 _1 [, ]$ }* [ * 它没有具体指出要使用何种技术,如何配置。9 j) o7 B' y! q9 k- n6 {2 x* w6 B * w% ?1 G3 Y& v. F7 c) F# Y* f- r 8 V1 U6 k; u6 Q ( T7 r: l# |( q, v9 U( W9 E5 c * 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。2 _: b; S$ Y" }- Z, j* x6 h * T+ R# V& Y+ i8 h' i1 k b6 K5 w& h3 C3 _" z3 U2 F , g# w x P, P$ d' m ' T+ H$ W$ J3 |, c! K) G 3 A' G3 C8 b9 J: |6 T " o! U7 ^' o/ E; G7 a: s ; i! k6 ~7 e. i$ q4 w3 R Ø 偏见3:为支持信息安全策略,您的安全策略需要多层次的文档支持。# e3 o' b' C! n# z2 W / X7 F5 ~5 N0 E$ k1 J - S& T) ^0 d9 N9 V0 L0 ]4 R : [- k% U& [1 N% u8 A2 R/ B 不要因为您在制定这些策略上投入了大量的时间和精力,就认为你的同事也同样会而且愿意投入大量的时间和精力。这里我要对你说:让你和同事的生活轻松一些吧。一旦您的安全策略确定了,要制定一套标准向有关人员和部门解释如何才能遵守这些策略。例如,《便携式计算机加密标准》,用来支持上面讨论过的策略,里面可能包含下列信息:- X7 X2 g6 }$ A1 U8 ^: u+ X * ~- |, V8 G8 n1 t. K; F & v1 S! T) }3 Q$ E+ r, i" S 2 y7 X! t# b6 l3 M2 Q1 Y( }6 t1 l0 E& F6 d % _( D, m I" w9 F& ~ ( J/ m4 s t( j5 @ Z * 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。4 r3 `% c7 }) B6 ~% b $ y9 l$ |% J$ H3 v 9 m w" [2 w' ^; X 9 |* W' j& K& o1 \% f ; K- X# R: P# b) @# R 5 l, D- U6 |5 Q7 l5 T) d 其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:! c# F s3 Q# n. Q- K; |- O1 f $ L3 E, B2 u6 M- K$ _; `! s& }" O! n . F# S+ S f0 K 0 X4 j$ S& l9 [% u; U( g" h; m1 P * 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住,策略仅仅表明的是公司的目标和方向,不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。, f' } ?1 a1 ~) x4 `3 M1 u7 i s 8 }/ ]' i1 F- f; J9 r + G4 ?, c! t# E; m 0 i% i- d$ K: d* P % g1 z# g& q1 P; Y2 j( y$ |! q : S/ Q" H! h) T% @" A# s0 [% g4 k" @ * 时机很重要,因为新的策略发布时,公司里的焦急情绪就会上升。人们都想知道如何做才能符合新的策略的要求。我的建议是在实施之前较长时间就公布这些新的策略,让同事阅读理解,然后制定相应的标准应对最常见、最紧急的问题。这样才是明智的。8 ?# ?3 W* ]' v0 @* Z ' V5 U/ Z# W* s 3 X, @- q' s( Y; M 4 B: M- W" k/ ?4 B( J 9 u+ G/ f" E p( c, O, {" _) W+ d ) `* @+ t# y& E, J' J0 V: B ! c) _6 L& ~8 K ' k$ R% i0 _+ A( R+ o4 o 您在公司的内部网一公布新的公司信息安全策略,您的收件箱可能就会出现大量的消息,它们都来自您的同事,他们对您新公布的策略感到焦急、迷惑甚至愤怒,觉得您的“大作”是个"大灾难"。他们考虑的都是执行这些策略时他们必须做的额外的工作和增加的预算。$ b, u& _6 y: S 2 y( s. p& l% T* E # U8 G$ D- |7 S0 `/ n; d / s- g- N. I$ \( U. d 新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。1 { S' |6 A$ c# I$ M0 b 7 v K7 q- l6 ] @# L) t% |/ ` % M; i/ Y/ W1 c/ U' J! l; ?0 f) l * x, s7 G% N* j. k6 ^8 l ( V0 X* Q. A+ x+ ~4 y & E3 j/ K# }9 ]% V+ B ( \! E/ g; D+ U$ D3 v8 U9 R , p/ t0 a1 x1 \# W3 c# z/ l * _1 @' k& b' C1 n 9 h7 K L) m4 {/ u( }# N " Z4 g3 Q& L% x: c- R. V + Q: C! O1 F) ^: ~* P I [% v 要想赢得人们对新的策略的支持,并且让他们都遵守它是很难的,于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效,但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话,时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静,而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值,并且应该保护信息;制定新策略要在安全需要和工作需要之间找到平衡;要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。3 m- \' G4 m9 n4 y 8 _" a. Y. c8 N* A& `1 x $ A1 Z# z( N0 [9 Y) v% {& U& h 6 L) D9 j7 P- o6 C1 L, t; u ! i! M5 {+ A0 b J% z; B, I 4 {$ D2 G& w s& `0 V 6 c# r7 c, a3 Q1 h" V' V 7 c0 F f; o, r7 k3 j % o( H' W7 f# ]6 d ; v, M5 Z7 c7 U. a0 p# u6 ^ 1 a" x: n; \& Q( x . n" A8 w' u7 h9 q4 s 本公司的管理层几年前就知道信息安全优先的必要性,而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里,他们:1 D6 ^6 i8 @, ]. l7 _6 S$ f8 H- e$ } " |$ R; W' | r; q, @/ B& P: | * 印刷日历,日历每个月强调不同的策略,悬挂在多数办公室和隔间里面。9 P x; F/ T5 e _+ x2 u- J" L7 X 5 w& M5 ~# E& d; B * 用浅显、幽默的语言写一份信息安全策略基本手册,分发给员工,人手一份。8 p% L( J7 [; Y 6 `0 b/ z1 b/ o3 c/ s- ] * 对所有员工进行时间为90分钟的信息安全培训。0 w4 b8 t3 O8 C4 f . z$ G6 z! v) X+ s% A. m/ I$ d + d" M# U C' X% } ( p0 \9 ?, ~% |6 x' k * 建立一个内部网站,作为信息安全的交流中心,其中包括所有的策略和标准。; S; H8 U, S! c5 X " J' }! d+ p4 U- p" d; D! m 就算您的公司不大,而且管理层没有意识到信息安全的重要性,你还是可以做到让人们了解到信息安全的重要性。以下是本人建议的几个方法:) L" y4 q: Q+ r6 L/ a! Q# ]/ A . |: ^/ x/ K% l! p& k2 m3 ` * 每隔一周或者两周向全公司发送一份电子邮件,告诉大家一个关于安全的小提示。. G/ y- k& F, m/ q7 ]! C. o ; l3 k: j" }9 p. y + f# K4 H8 j; B. x: M. ?5 @! Y; S * q' b$ o, z' o2 a4 h1 G: T 6 c/ n; n6 N' W 7 l' I# C( U/ H* \ * 设立一个“安全热线”,使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。& l. r/ o: W. X7 R) E' P0 g " j" _; L, z* z5 ?2 P * 有对员工的疑问、报告有所反映,让他们很容易得到问题的解决办案。. D& O }! G- e( q! K+ m 5 x, G$ a+ n2 `3 \9 _ 9 l* }, ] l' g( ` $ A' o2 f5 y; [5 w- M; R3 n 修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新,用户需要得到指导,以便了解这些标准。要对遵守情况进行评估,我们的信息安全部门经常不得不对同事进行一些指导,以便让他们不犯错误。1 N' Z/ ]7 r& G" \; N- b5 J ! X3 _: I5 B. q3 D( @$ @ 4 \5 U3 `1 S! I0 O5 o! Z0 s 5 ?! y( G* `: Z) J ' K# | Q9 v S2 D) T/ i, K" P- f ' o0 V. Q' G* U. p! C T 8 j! ^. B" X" o) \# _ - t8 q8 B r9 \1 I. \& \% { ----------------------& m: x* h3 T q- ]9 h( P$ v $ L/ |/ K# K: R/ ^ . U& j, ~0 N/ X p/ ~ ( P; y8 _, q2 e! ^5 N
zan
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
