|
我们时刻都面临着网络安全问题,每天都要防止恶意邮件的入侵,还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外,还要考虑各种各样来自内部的威胁,比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。
面对如此压力,我们应该采取什么样的举措才能让2007年成为安全的一年?我们要防止重蹈过去的覆辙,不能把时间浪费在处理病毒泛滥带来的可怕后果上,不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。
在这里我不会深入介绍近来在网络安全领域中的一些概念,比如“unified threat management”或者“network admission control”,这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如,我认为加密解密的应用是一项重要的举措,而不是把它当作一种工具来进行介绍。我只是介绍这种措施,相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具,无论是商业工具还是开源工具都很多。
下面是我所列出的七项举措,按照重要的程度进行排列。
1) 制定实施企业安全政策
2) 开展安全意识培训
3) 经常开展信息安全自我评估
4) 进行有规律的公司自我评估
5) 在全公司范围能应用加密解密技术
6) 估计、保护、管理和跟踪所有公司资产
7) 考察和测试公司业务连续性和应急规划
上面列出的这些举措并不是全部,还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除,如果你一一实施了这七项措施,那么很快就能看见自己的系统在网络中安全性的提高。
下面对这七项举措进行详细地说明。
1) 制定实施企业安全政策
如果你的公司目前还没有任何安全政策,那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用,大多数这样的模式都是免费的,部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和 ISO27001/17799模式。前者是应用于电子商务领域的PCI模式,后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的开端,只要当你开始使用这些模式,但是很快你就会发现自己需要对它们进行具体化,扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而言,公司中的大部分都不是信息安全方面的专家,因此需要制定一套通俗易懂的政策,这些政策要考虑到公司中每一个部门的具体情况,而且要让所有人都可以理解和执行。例如,如果是对于IT公司来说,把标准模式具体化,需要你的CIO来协助制定一套网络安全政策。
如果觉得这些标准的模式对于你而言太纷繁复杂了,那么可以考虑从公司已有的安全政策开始。但是有一个原则,那就是这个政策必须覆盖所有可能的行为,哪怕刚开始的时候这些政策总共只有一页纸的内容,那么作为大纲它也必须包含基本的规则,让所有的行为都有所依据。基本的规则需要包括类似于权限控制,密码管理,灾备恢复等等。举个例子,你必须有一条政策来说明在突然事故中如何备份商业数据和客户私人数据,如何为系统建立镜像等等。
制定了安全政策之后还需要做哪些工作呢?你还需要同政策的执行者一起考虑这样的问题,就是如果有人违反了这些政策该怎么办?违反安全政策的行为是恶意的吗?例如,政策中规定数据库中数据是只允许察看的,如果有一个员工违反了这个政策,把数据库中的记载雇员情况的数据拷贝出来,并且张贴在公共网站上。如果遇到这样的问题,你该怎么办?事实上类似这样事件的发生,并不一定是源于恶意的泄漏机密,而是源自政策制定的不完整,没有让所有员工都了解这一政策,或者是没有明确地规定违反政策所应该采取的措施。你应该让所有的员工都了解这一政策并且明确规定违反这一政策的后果。
2) 开展安全意识培训
我们无数次地看见这样的事情,很多内部员工在不知情的情况下受到网络上其他人的攻击,比如网络钓鱼等,由此导致了公司内部数据的泄漏。比如一些员工喜欢浏览各种新闻网页,或者使用即时消息工具聊天,他们都有可能成为受到攻击的目标。他们可能不了解密码的设置需要注意些什么,不知道为什么不能打开未知地址发来的邮件中的附件。你需要对公司员工进行这方面的培训,指导他们正确使用公司的资源,保护公司的信息安全。
共3页: 上一页 1 [2] [3] 下一页
|
