解讀企業(yè)安全策略制定中易存的五點(diǎn)誤解

字號(hào):

企業(yè)的安全策略用來(lái)保護(hù)數(shù)據(jù),客戶技術(shù)系統(tǒng),定義公司的安全狀態(tài),并且將內(nèi)部和外部風(fēng)險(xiǎn)實(shí)現(xiàn)小化。企業(yè)的安全策略如此重要,然而一些公司在編寫(xiě)安全策略的時(shí)候,難免有一些誤解,有時(shí)錯(cuò)誤如此嚴(yán)重,將導(dǎo)致重大的損失。以下將詳細(xì)揭秘安全策略中五大常見(jiàn)錯(cuò)誤。
    沒(méi)有安全策略
    作為一種安全策略錯(cuò)誤,要么是沒(méi)有安全策略,要么只有一個(gè)不成文的只是由幾個(gè)管理人員討論確定下來(lái)的零星的規(guī)定。
    這樣的行為將導(dǎo)致公司面臨很大的安全風(fēng)險(xiǎn)。當(dāng)然了,一旦安全策略策確定下來(lái),企業(yè)發(fā)現(xiàn)很多時(shí)候公司的系統(tǒng)都違反了規(guī)定要求。這并不奇怪,這說(shuō)明安全政策制定與現(xiàn)行的IT操作不相適應(yīng)。這說(shuō)明公司在制定安全政策時(shí)候應(yīng)該對(duì)公司的系統(tǒng)有一個(gè)整體上的了解,分析風(fēng)險(xiǎn),評(píng)估風(fēng)險(xiǎn)帶來(lái)的損失,達(dá)到與新的安全政策的統(tǒng)一。
    安全策略缺少更新
    如果你很幸運(yùn),沒(méi)有成為上述列舉的錯(cuò)誤的受害者,但是你還得面臨另一個(gè)安全問(wèn)題,僅僅有美好的文字策略是遠(yuǎn)遠(yuǎn)不夠應(yīng)對(duì)安全問(wèn)題的。
    不可避免的是,公司的網(wǎng)絡(luò)不斷在變化,相應(yīng)的安全風(fēng)險(xiǎn)和兼容性的問(wèn)題也在變化。很顯然,隨著風(fēng)險(xiǎn)和企業(yè)網(wǎng)絡(luò)的編,安全策略也應(yīng)及時(shí)更新。
    升級(jí)安全策略原因很多,新的技術(shù)的部署,新的管理規(guī)定的出現(xiàn),企業(yè)的增長(zhǎng),合并等帶來(lái)新的數(shù)據(jù)和用戶,新的商業(yè)部門(mén)的成立等等,這些都需要新安全策略的有效保護(hù)。
    那些對(duì)這些變化視而不見(jiàn)的企業(yè)將會(huì)面臨很大的安全風(fēng)險(xiǎn),在這樣一個(gè)網(wǎng)絡(luò)危險(xiǎn)如叢林一樣危險(xiǎn)的時(shí)代,也許就是坐以待斃了。
    不考慮安全政策的兼容性
    如果企業(yè)有了及時(shí)更新的安全策略,那么你已經(jīng)邁出了重要的步驟,然而這還不夠。
    安全策略有效與否很大程度上在于員工是否意識(shí)到其指導(dǎo)或是限制作用。首先,為了執(zhí)行這一策略,企業(yè)應(yīng)該保證文件分發(fā)到所有的員工手上,進(jìn)行必要的安全意識(shí)培訓(xùn),特別是安全策略更新之時(shí)。還有,為了保證政策的有效性,適當(dāng)?shù)谋O(jiān)督是必須的。
    也許有效的跟蹤安全策略有效性的方法是使用日志。搜集和分析日志收據(jù)有助于知道網(wǎng)絡(luò)環(huán)境中發(fā)生了什么。如果一位員工將工作文件發(fā)送給一個(gè)私人帳號(hào)或是準(zhǔn)備訪問(wèn)超出其權(quán)限的數(shù)據(jù)或是黑客進(jìn)行了幾次不成功的對(duì)服務(wù)器的探測(cè),日志中將會(huì)記下所有這些信息。使用日志進(jìn)行用戶和系統(tǒng)活動(dòng)跟蹤分析,然后將其與安全策略進(jìn)行對(duì)比是檢驗(yàn)安全政策有效性的好方法。
    安全策略中只包含技術(shù)
    如果以上三步你都做好了,那么這點(diǎn)你必須特別關(guān)注。
    如果安全策略中只含有技術(shù)安全(密碼復(fù)雜度,防火墻規(guī)則,入侵檢測(cè)警報(bào),殺毒庫(kù)的升級(jí)),然而卻對(duì)人的活動(dòng)不聞不問(wèn),那么企業(yè)將面臨軟威脅:內(nèi)部的特權(quán)被濫用,計(jì)算機(jī)資源的私人使用等等。我們不是否認(rèn)在安全策略中使用技術(shù)性的東西,然而安全策略是一個(gè)三位一體的東西,包括“人,過(guò)程,技術(shù)”。
    再次強(qiáng)調(diào)一下,日志數(shù)據(jù)對(duì)于這三者之間的平衡很重要,正如用戶活動(dòng)和系統(tǒng)活動(dòng)由日志捕捉一樣。
    安全策略撒網(wǎng)太大,過(guò)于寬泛,并且不適用
    安全策略應(yīng)具有針對(duì)性
    如果安全政策中使用了大量的安全術(shù)語(yǔ),有130頁(yè),我想大多數(shù)的都會(huì)望而生畏,那么在工作中違反就很正常了。相似的是,如果政策中的規(guī)章制度與員工在日常中的一些主要操作行為相左的話,就會(huì)造成很大的不便。如果這樣的話,政策還沒(méi)有制定出來(lái)就得進(jìn)行教育。由上可知,一個(gè)簡(jiǎn)明的安全政策將會(huì)創(chuàng)造很大的便利。
    以上我們看完了安全策略中5大應(yīng)該注意的問(wèn)題。對(duì)于有明確目的的安全政策來(lái)說(shuō),清晰的用詞和及時(shí)的更新都是必須的。它應(yīng)該包含技術(shù)和非技術(shù)區(qū)域,后兼容性也應(yīng)該注意。