在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
副标题:放弃成见,制定符合实践的安全策略 G9 O: C$ [, P3 g) B( T: z . e3 m! ^' B! F9 A! `* _5 C , |) P4 M* Q* ~# p g " l! z- W/ v; d . y. ^) a6 r& e/ I8 }# L+ E ' n- h! ~* n! k: d8 N 作为公司信息安全部的技术主管,我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后,我才发现自己是多么的渺小,原来的看法是多么的可笑。& Z& f$ } e+ i# K v9 t ; K" y# n8 d) M4 n2 h, g 3 S0 Z! t, R6 M$ e. J; ?! l " X2 l" V2 b! ^& r5 B- p. } 在1995年期间,我们和商业伙伴之间的通讯方式还是除了书信外,就是通过电话联系,彼此之间几乎都是孤立的。在当时,因特网对我们来说只是听说过,却从来没有接触过的非常时尚的事物。) e% T3 y3 ~* `3 ]0 Q 2 m" A! f( o4 S8 T" h4 I 3 b3 c8 }! [; t% x W5 | " r2 _# P. ^ C8 V( ~; s 转眼间就到了2001年. 我们和商业伙伴之间都通过租借的专用网络或英特网互相传递重要的信息,电子邮件变得和电话一样重要,几乎所有的交易也都是在网上进行。这时我们周围的世界已经变得越来越复杂,老一套的安全策略已经无法适应时代的发展而急需更新。8 ^5 }. I$ f7 |2 z3 T0 m8 ^ 0 `2 l, D: ?! _0 `+ t3 G9 d+ ?+ ~ % ^+ N4 V3 ?: E# f * ^# Y: Q) @' k0 P 在学习小组这段信息安全策略学习期间,我学会了许多新的东西,现在我把它称之为信息安全策略的六个神话。8 W7 O2 M {: s7 W4 |* w0 o - y# h2 D3 n6 l4 S2 X4 @ 0 M. C& P- J |$ V' L 6 {6 |& s8 P0 f# H& P Ø 偏见1: 信息安全策略是信息安全的重要基础) p! X) \5 ~* L. \3 K5 r8 }3 E ; ~( P' y8 r% j 3 `7 z" M) ]% c% u) n 8 Q6 Q j- w9 V& f% X# u# P. G 首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。- }5 z, [2 a( ^ 6 H& K! E8 L/ T* G3 r3 M) J " A, w+ | B" a+ L ' t5 a* ]- D6 n; T9 F( R 在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。$ @5 ?+ c0 H7 m. b6 ? & Y1 G1 e9 i; x . N0 t5 r+ I- O ' G* g4 ]" q D3 i; I2 b 2 i) Z& p: t9 r: o' S k6 K) \8 W8 v 6 ^/ A( B3 J# h0 @- t- `5 ` # G( J0 A( D+ m+ Y ; b3 ?+ _3 F/ i2 y( h# z( l 3 {% p: {- a* M% B4 I3 d' p * 贵公司要防范的风险。9 ]. I/ D7 y8 K0 T& G 9 a9 A# p6 J4 p. U + o9 \' \6 _, w 0 a# I* K' C) [% e, m$ D$ m9 _ # G& R* t6 P! r0 x+ ^5 x * u) G" f h! Y# F( R1 S - i1 y) H: G, K & T q5 L% B* z' Q+ O% H 0 K3 A2 Y" p; l) L0 k+ p6 g7 n! ` % f& b* o4 }% ?, a- J: k" Z " B8 ~4 Q9 b- k/ E; j( Q 5 T2 X! S! v4 X2 K8 A . J0 b1 ?( w5 Z: @1 Y# Z9 a1 E 1 ~3 E' s8 Q7 Z g2 r ] $ I7 o5 m7 R' B. _# D3 G( R 7 q* i. o2 ~' I : B# f7 k( `! M* H4 t $ f1 s5 L" t6 ]4 y Y. i+ ]: M 8 e: B# ^$ {. G9 `/ ` % x/ w/ _' y4 w! b 4 {7 l& t9 v, u & H: v2 B- g1 _, T. r$ l, D " P0 U9 ~/ v9 ^8 V* E9 ~ " w" p! L1 m3 a, C' s2 L5 ~ 3 q- u; e/ p: v( W/ j: g / M% U6 Y4 |& A/ i9 K* k; E3 r2 J * 它申明了要达到的目标和为达到这个目标公司高层的因素。9 U' d. o3 K8 G! k7 o * \3 l9 C7 g0 | 3 [' q1 X: @ q: Z U8 s+ O E, z3 \/ o 2 w- D, \7 P1 r! \* Q7 b - [7 ^6 c9 m9 p9 w * 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。- Y8 s* H3 m: x1 L6 I, R & H: b) C6 z& c6 b+ X 3 T5 k, a7 a7 _! d4 D: R+ P" ^% j/ I 0 A& t3 l$ v. a1 F : r& w- `* R6 C6 f ! ]; f3 |" ~% V; t( H3 F 3 Z7 u- E7 m N9 P * Q5 p' S: L8 ^1 N) [7 u5 M Ø 偏见3:为支持信息安全策略,您的安全策略需要多层次的文档支持。; H3 I6 N: J# l" O4 M' W 9 C! A/ t- O R0 c y 8 [& u+ N* Y% F* ] ! B5 h5 @0 G" `' R6 a+ O+ X& h & U3 b6 a- g( ?, l+ G! v 1 x5 P! q3 {. n' U . V; |( M+ X( f' h6 c, i * P: n8 c0 H, T- ^ * 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。# U6 U+ b. O# L 6 F$ x& ^- z& G8 B( r% Q ! ?8 w% {- x0 `0 X+ T2 k " [ d3 A8 ?: H: h& M3 n2 v 1 T7 x% z' t* b3 b3 y0 v* b6 ] 2 e) a. |2 d5 b: C7 v$ G2 F 3 ^' e7 ~( s' p" j' C K+ u+ t * V. ]$ s. e' m1 r% W 其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:- d$ [8 r/ n$ b* i 5 n5 D( l" Y3 }! y1 |3 ?7 g7 E6 ` / }- U0 |0 e) g$ B* ~* F+ } ( h6 B& w. e3 C3 @: { * 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住,策略仅仅表明的是公司的目标和方向,不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。. V: F$ a2 ]9 P g 7 r9 r6 K8 k! A# S- C W * 可以解决不同部门具体办事方式不同的问题。只要制定的标准可以同策略相符合,这些标准就可以从不同部门的实际层面上来制定。如在文档加密这个问题,战略规划部门的信息一般都是绝密的,整个用来保存的硬盘可能都要加密。如果这样,战略规划部门的加密标准就可以以此为准。/ D" K8 V, h c/ H# \7 t; }' O & A1 _- ~) N) Z% L6 C n! Z, _8 P * 标准要便于理解,当然并不是要让公司所有人都觉得你制定的访问控制,加密算法和防火墙规则设定得让人着迷。要使同事们能够比较容易地找到实际的安全问题解决方法,不要让他们面对的只是大量无用的信息。 Z+ g0 B" O( N$ T( s$ L - e* P/ Z; D6 }" T% Q; P9 c. Y * 时机很重要,因为新的策略发布时,公司里的焦急情绪就会上升。人们都想知道如何做才能符合新的策略的要求。我的建议是在实施之前较长时间就公布这些新的策略,让同事阅读理解,然后制定相应的标准应对最常见、最紧急的问题。这样才是明智的。4 U3 C+ B% G5 n% o( ]: Y$ I+ b . o( F) z9 K- R2 ], n/ r & G+ W7 y7 Q v" j) X- Y" v 7 K8 T5 h# y- m: J W Ø 偏见4:新的策略的制定实施会遇到新的麻烦$ w0 |/ R; c; I/ r2 y 7 x, g1 F- {1 A; o1 ] {; X4 ~( I2 Z/ |% w- C ' |4 _: r% N, S! ` - i$ O! ^- K6 w0 O( y 7 T* V% a7 {" p% B' T# r $ L2 K1 Y; v# W & C! w: z# N7 Z* Y6 ?4 h+ @9 Z 新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。& t- Y7 ]: _( M3 P' H! H; A * G+ q' D8 H g& V3 @; t8 t ( Z3 i" l: {1 Y. h 5 ]4 f# c: y$ A; N; A. l+ g" f 尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者,并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会,可以同业务部门联络,保证安全措施同主要的业务部门相适应。 H, d6 [4 f( b- o. o' P / G$ j, L# O/ j# N3 I" [ : J. Q' H4 |% ~ 9 H: o2 f7 N9 w5 _: c# p ( C9 C! ~0 }8 J 3 H! p0 C4 }: t9 W! l/ _5 U 4 Y0 O. \" |. p$ [/ V & S& B8 W Z1 V2 C# P7 P 要想赢得人们对新的策略的支持,并且让他们都遵守它是很难的,于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效,但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话,时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静,而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值,并且应该保护信息;制定新策略要在安全需要和工作需要之间找到平衡;要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。! ^* F1 a3 A9 N( Q, @7 ?% D - n1 n h; I( g ) P0 r9 W3 G3 _8 f6 R' c* s - f# J( t5 u8 r9 D: Y3 i 4 H9 R6 h; \4 T" U% F1 i! g ' m: S5 a5 S9 I( m# x 4 \+ @0 g9 V) M; _* ~4 W 7 m6 _2 f) C. i 8 s( U: ]- _) x: z! x ( \+ I. H# ~" @- k, U4 h# C$ |$ f / t3 v/ G" J, w3 R 3 U, {4 a5 r3 @! { " K9 h( H& Y& L0 ?5 v( \ - d( M8 h, k9 I. [# K" y # S0 i; u# W8 x" P7 f, m2 s, ] 2 V* Q- J/ f: I+ S4 X) x: C. u4 U H" i' B2 w5 w- p: Y7 `+ t! E 6 |/ S) C) o+ ~ $ e4 ~; `5 ]/ y ' l1 d8 I- }1 e3 P' ^* O, R * 举行一系列受欢迎的信息安全知识的游戏比赛,参加者可以获得奖励和表扬。, F& ]3 b' H ?+ Y& X. G0 ~; a ) t5 k9 b9 \6 c9 a3 b) p * 建立一个内部网站,作为信息安全的交流中心,其中包括所有的策略和标准。% ]5 @1 S" S) w( R3 i # F# F" M% Q. j* S6 I1 y0 V7 h4 e) P # m, M# e* j* v & r! x0 \* k! s# K z3 y [ * 每隔一周或者两周向全公司发送一份电子邮件,告诉大家一个关于安全的小提示。0 v6 ` L4 y$ N* m1 \4 F; U " D3 B+ S; m( F* t' h1 u2 I * 在自助餐厅和休息室的布告板上张贴信息安全注意事项。) G& y1 I% ]4 C ) o. Q7 E# W2 r) I1 Q( N" e * 认可那些为信息安全做出贡献的员工。员工提出了好的建议或者在防止和应对信息安全事故时做出了贡献要大力宣扬,送给他们礼物,并且在公司的通讯封面上表扬他们。7 `" u. s6 _6 j0 { c4 T# { # T' R4 ^* @/ |% @4 k; {3 N$ F, b * 设立一个“安全热线”,使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。8 ^8 k; t/ q" P$ h0 g/ d2 E: T ( q6 I, N( D! y+ I. [. H * 有对员工的疑问、报告有所反映,让他们很容易得到问题的解决办案。( ~& k6 E, B; K. ]$ J7 a, A( X $ f9 I0 j2 L Y* R* M 0 O+ n9 b& C4 {$ k( ^. M + W! H+ I% b4 `5 G9 ^3 Z- f 修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新,用户需要得到指导,以便了解这些标准。要对遵守情况进行评估,我们的信息安全部门经常不得不对同事进行一些指导,以便让他们不犯错误。. N( N! a# L7 \% ^ 2 m+ m' E0 ?# E Z7 {# r% ^4 k8 Q / F+ K! _. C7 N% p) m7 a) G 5 k9 t3 L2 j5 N/ e1 q* { 但是,针对性太强并且太过于严格的信息安全策略却会使公司将精力都花费在安全问题上,而影响正常的商务活动。这一点,我们的安全组和公司其他部门的同事都深有体会。/ }& v* L- p- E- P( i- I 1 k" r" x' B F! r6 A, o* p 7 R ^/ ?( g V; u( G 1 _, \6 k4 D/ o9 W+ s' u% J , _; ?/ v4 Z8 y3 t5 u7 h ] $ c5 h P% J0 k. V 7 U; c. S* g' g F6 r 4 C/ p1 d) [4 E8 f9 Q AL BERG,CISSP,《信息安全》投稿编辑,某金融领域数据处理服务公司信息安全部门技术负责人。
zan
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
