解讀企業(yè)安全策略制定中易存的五點誤解

企業(yè)的安全策略用來保護數(shù)據(jù)，客戶技術(shù)系統(tǒng)，定義公司的安全狀態(tài)，并且將內(nèi)部和外部風險實現(xiàn)小化。企業(yè)的安全策略如此重要，然而一些公司在編寫安全策略的時候，難免有一些誤解，有時錯誤如此嚴重，將導(dǎo)致重大的損失。以下將詳細揭秘安全策略中五大常見錯誤。
    沒有安全策略
    作為一種安全策略錯誤，要么是沒有安全策略，要么只有一個不成文的只是由幾個管理人員討論確定下來的零星的規(guī)定。
    這樣的行為將導(dǎo)致公司面臨很大的安全風險。當然了，一旦安全策略策確定下來，企業(yè)發(fā)現(xiàn)很多時候公司的系統(tǒng)都違反了規(guī)定要求。這并不奇怪，這說明安全政策制定與現(xiàn)行的IT操作不相適應(yīng)。這說明公司在制定安全政策時候應(yīng)該對公司的系統(tǒng)有一個整體上的了解，分析風險，評估風險帶來的損失，達到與新的安全政策的統(tǒng)一。
    安全策略缺少更新
    如果你很幸運，沒有成為上述列舉的錯誤的受害者，但是你還得面臨另一個安全問題，僅僅有美好的文字策略是遠遠不夠應(yīng)對安全問題的。
    不可避免的是，公司的網(wǎng)絡(luò)不斷在變化，相應(yīng)的安全風險和兼容性的問題也在變化。很顯然，隨著風險和企業(yè)網(wǎng)絡(luò)的編，安全策略也應(yīng)及時更新。
    升級安全策略原因很多，新的技術(shù)的部署，新的管理規(guī)定的出現(xiàn)，企業(yè)的增長，合并等帶來新的數(shù)據(jù)和用戶，新的商業(yè)部門的成立等等，這些都需要新安全策略的有效保護。
    那些對這些變化視而不見的企業(yè)將會面臨很大的安全風險，在這樣一個網(wǎng)絡(luò)危險如叢林一樣危險的時代，也許就是坐以待斃了。
    不考慮安全政策的兼容性
    如果企業(yè)有了及時更新的安全策略，那么你已經(jīng)邁出了重要的步驟，然而這還不夠。
    安全策略有效與否很大程度上在于員工是否意識到其指導(dǎo)或是限制作用。首先，為了執(zhí)行這一策略，企業(yè)應(yīng)該保證文件分發(fā)到所有的員工手上，進行必要的安全意識培訓，特別是安全策略更新之時。還有，為了保證政策的有效性，適當?shù)谋O(jiān)督是必須的。
    也許有效的跟蹤安全策略有效性的方法是使用日志。搜集和分析日志收據(jù)有助于知道網(wǎng)絡(luò)環(huán)境中發(fā)生了什么。如果一位員工將工作文件發(fā)送給一個私人帳號或是準備訪問超出其權(quán)限的數(shù)據(jù)或是黑客進行了幾次不成功的對服務(wù)器的探測，日志中將會記下所有這些信息。使用日志進行用戶和系統(tǒng)活動跟蹤分析，然后將其與安全策略進行對比是檢驗安全政策有效性的好方法。
    安全策略中只包含技術(shù)
    如果以上三步你都做好了，那么這點你必須特別關(guān)注。
    如果安全策略中只含有技術(shù)安全(密碼復(fù)雜度，防火墻規(guī)則，入侵檢測警報，殺毒庫的升級)，然而卻對人的活動不聞不問，那么企業(yè)將面臨軟威脅：內(nèi)部的特權(quán)被濫用，計算機資源的私人使用等等。我們不是否認在安全策略中使用技術(shù)性的東西，然而安全策略是一個三位一體的東西，包括“人，過程，技術(shù)”。
    再次強調(diào)一下，日志數(shù)據(jù)對于這三者之間的平衡很重要，正如用戶活動和系統(tǒng)活動由日志捕捉一樣。
    安全策略撒網(wǎng)太大，過于寬泛，并且不適用
    安全策略應(yīng)具有針對性
    如果安全政策中使用了大量的安全術(shù)語，有130頁，我想大多數(shù)的都會望而生畏，那么在工作中違反就很正常了。相似的是，如果政策中的規(guī)章制度與員工在日常中的一些主要操作行為相左的話，就會造成很大的不便。如果這樣的話，政策還沒有制定出來就得進行教育。由上可知，一個簡明的安全政策將會創(chuàng)造很大的便利。
    以上我們看完了安全策略中5大應(yīng)該注意的問題。對于有明確目的的安全政策來說，清晰的用詞和及時的更新都是必須的。它應(yīng)該包含技術(shù)和非技術(shù)區(qū)域，后兼容性也應(yīng)該注意。