5 i6 k4 H$ Q7 Y& t" _# _# E& r" R, R3 j8 m! U
; \' F9 o2 ^7 U, R+ x& L" ?, r
* 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。& O0 u' z5 \1 x2 V* f/ Y2 b
8 B+ H, e, s6 E# R
* 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。 , m8 y9 U8 Y9 |6 M1 z3 T3 Z1 d7 s; B) C8 w1 w5 }- s
* 网络支持部门要保管EFS密码,以便从便携式计算机上重新获得数据。密码必须保存在安全的地方,保证仅网络支持部门的负责人和内部检查负责人可以获得。 - d4 z7 q! w0 t' z' I m/ ?- R . b6 R, J- O# r; b Q; p b- N7 K& v' N) @/ x1 z7 [- Q. j
: ~0 S. c0 Y: o9 {* M0 o其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:- F& t" G% c9 h
) ]# X. e- j: m9 J p! B* O" o0 F. v& G6 }) G' J& V; |2 L
5 u5 v( G5 y3 i8 Y$ E
* 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住,策略仅仅表明的是公司的目标和方向,不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。% N3 _. y) l9 {2 Q5 f }
7 N5 I5 J1 w) {9 v, E8 b( `! V% X1 J' C
* 可以解决不同部门具体办事方式不同的问题。只要制定的标准可以同策略相符合,这些标准就可以从不同部门的实际层面上来制定。如在文档加密这个问题,战略规划部门的信息一般都是绝密的,整个用来保存的硬盘可能都要加密。如果这样,战略规划部门的加密标准就可以以此为准。% x4 Y- \0 {! R
1 o7 \& i& U2 u4 S% n
* 标准要便于理解,当然并不是要让公司所有人都觉得你制定的访问控制,加密算法和防火墙规则设定得让人着迷。要使同事们能够比较容易地找到实际的安全问题解决方法,不要让他们面对的只是大量无用的信息。 & z& R( C3 r0 W8 W; \ 2 t" i' A" d" m4 k; o' H* 时机很重要,因为新的策略发布时,公司里的焦急情绪就会上升。人们都想知道如何做才能符合新的策略的要求。我的建议是在实施之前较长时间就公布这些新的策略,让同事阅读理解,然后制定相应的标准应对最常见、最紧急的问题。这样才是明智的。 * F; W5 Q" C% y3 E- A# t# @ % B2 _9 ], `% t3 b0 G. y ' ~0 A9 G( ~' b( b# m! G# d/ q2 Q/ Z' P
Ø 偏见4:新的策略的制定实施会遇到新的麻烦 " D# Z2 z0 Q% N9 t+ |7 L, P) D! B: Z: B. L0 p
& |" l* Y2 Z8 _* i6 `: s i. n1 o6 \) s; |$ I
您在公司的内部网一公布新的公司信息安全策略,您的收件箱可能就会出现大量的消息,它们都来自您的同事,他们对您新公布的策略感到焦急、迷惑甚至愤怒,觉得您的“大作”是个"大灾难"。他们考虑的都是执行这些策略时他们必须做的额外的工作和增加的预算。: I1 Z$ f' F/ r. L/ _2 r% a: K
+ w. W3 Z' G' s; H0 C3 Q5 D1 I
- g# ~$ ^( D) M: u$ r1 A' D1 {5 a& A2 z3 H: I, S. R, w0 @
新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。- H3 b: T7 b' Z! R# d6 M# F% y
4 |( [- f7 A' [# R% T* ~5 K: a! w4 g( \+ a+ [
+ {; f1 M4 D* w9 H3 u' ^' F0 D" ~尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者,并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会,可以同业务部门联络,保证安全措施同主要的业务部门相适应。 ( I# Q6 l3 h7 ~% d/ J9 X f 7 d8 j; g, G& H3 v3 _ + f; K7 t* n' W2 F& u2 y$ I, C. \, [& Y7 a! c% k+ Q
Ø 偏见5:适当制造一定的安全威胁对新安全策略的推广往往是很有效的。- h& n1 a) O( i; V; y
4 D! \7 s: Z: Z3 L3 ?- \
( x, m9 Z. I2 t# X/ E; m4 {
0 V, w8 I7 _, E k. G
要想赢得人们对新的策略的支持,并且让他们都遵守它是很难的,于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效,但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话,时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静,而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值,并且应该保护信息;制定新策略要在安全需要和工作需要之间找到平衡;要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。 ; E5 |6 ]8 q* t0 }, W$ q# F 1 s& h- g7 d5 B! t5 h* H 0 g# l3 C7 a* E R! Z 6 L2 S% b/ h5 t+ o9 P5 aØ 偏见6:好了,新策略制定完毕,我的活干完了。 ; Q) K" ~4 g3 l- d! {/ q 0 b6 ^; V$ N% f4 A8 h9 k+ W5 _+ R. g4 b9 X9 d* t
+ s6 K `! z! k" r. E4 p如果您今晚失眠,可以找一份典型的信息安全策略来看。马上就是第二天早晨。无论您的新策略多么地深思熟虑,多么地全面,但是如果人们不知道它们仍旧等于白费,建议让公司的高层来宣布新的安全策略。确定您的新策略散发的时候封皮上要有来自CEO的备忘录,备忘录要强调这是管理层的指示。这步完成之后,真正的工作才开始。3 e F& J7 M/ Y+ X5 e, K
& w5 {+ \1 T( b+ q& @% C2 t5 o/ f V* G : D _, q& L8 J! q" A( Y' E' I! Q& @: ?
本公司的管理层几年前就知道信息安全优先的必要性,而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里,他们:# ~2 U4 x+ |/ U7 j% W/ ~7 ]
( ~ T# m8 r) y$ ~3 F/ `
* 印刷日历,日历每个月强调不同的策略,悬挂在多数办公室和隔间里面。 * e2 k: B* X2 ~, e, T* o1 ?) w8 E U7 s" C; w
* 用浅显、幽默的语言写一份信息安全策略基本手册,分发给员工,人手一份。2 S) h& }) ?% M# X& N, [5 G+ P
' V4 b0 M3 b" s* q) Y1 _) {4 k v+ y
* 对所有员工进行时间为90分钟的信息安全培训。% e) |( M2 \' Z' {4 x5 B7 ~1 M
/ d2 T, g$ J, R& A' g6 v
* 举行一系列受欢迎的信息安全知识的游戏比赛,参加者可以获得奖励和表扬。 ! t: L- b6 W5 x. R( `2 h % Q$ ]- R* W! Q& o4 E' _* 建立一个内部网站,作为信息安全的交流中心,其中包括所有的策略和标准。 # ]5 W4 H- ]! j. _/ r6 `4 ]! k$ I( X: h: Q: }& p+ s
就算您的公司不大,而且管理层没有意识到信息安全的重要性,你还是可以做到让人们了解到信息安全的重要性。以下是本人建议的几个方法: 9 V% R0 H4 m* V- f+ n6 @/ P9 n
* 每隔一周或者两周向全公司发送一份电子邮件,告诉大家一个关于安全的小提示。 % }( y3 Y1 [8 ]6 J- {& J9 }7 Y$ F8 g- y* I7 d
* 在自助餐厅和休息室的布告板上张贴信息安全注意事项。3 w% {% |: ]- t* r
& F/ C0 Q1 v+ F* 认可那些为信息安全做出贡献的员工。员工提出了好的建议或者在防止和应对信息安全事故时做出了贡献要大力宣扬,送给他们礼物,并且在公司的通讯封面上表扬他们。9 X( p: m# Y2 K$ U/ B9 T7 T C
0 L' K+ A% y/ ?0 [, A* 设立一个“安全热线”,使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。 # _( A6 t# L* L& \. T ' f) j/ j4 M; |: W2 z2 o* 有对员工的疑问、报告有所反映,让他们很容易得到问题的解决办案。+ o* h- V, `: h6 ~: H
& m2 H: x4 n a5 B . {! }3 D% B3 T* _4 u! O) m4 X1 Q5 U( P- W. N& H7 ?8 s
修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新,用户需要得到指导,以便了解这些标准。要对遵守情况进行评估,我们的信息安全部门经常不得不对同事进行一些指导,以便让他们不犯错误。3 R0 U" ^5 m7 S$ C9 h
% d' o3 _6 n" G! V
4 r, R1 |4 t/ J. w
8 }- Y+ M) M7 N
但是,针对性太强并且太过于严格的信息安全策略却会使公司将精力都花费在安全问题上,而影响正常的商务活动。这一点,我们的安全组和公司其他部门的同事都深有体会。 $ i8 a/ q: @4 O: b q" c" X, Y& p- J! e1 y9 _5 @! ]" l4 y9 ~5 s
! K8 N9 z3 \: u
! n# r% T% G8 z- j
---------------------- ) a6 f5 z# k* L( a W" J* V2 F: t7 f7 G$ V, R3 ]8 c0 w
8 q5 X% c) G2 S3 |
AL BERG,CISSP,《信息安全》投稿编辑,某金融领域数据处理服务公司信息安全部门技术负责人。
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
