迷失方向三:解决问题能力强,但不注重防治。
笔者跟国内很多网络安全管理方面对专业人士交流过,也看过不少的企业安全设计体系,但是,发现有不少的企业信息安全管理人员,犯了一个共同的错误,就是太过与关注事后问题的解决,而缺乏一些必要的防治措施。
如对于邮件管理,很多企业都规定,在接受邮件的时候,若带有附件,而这个附件是WORD等格式的,最好不要打开,因为这种类型的附件中比较容易带有病毒或者木马。但是,企业安全管理人员可能太过于相信自己解决问题的能力,所以,没有从技术上太过于关注这方面的内容。这结果这个制度最终成为了一纸空文,用户收到WORD格式附件的邮件照样打开。到遇到问题了,则我们网络管理员只能干过去救火。
这其实就是我们大部分网络安全管理人员的一个通病,不注重事前的防治。其实,类似的情况,我们完全可以通过各种手段,从技术上事先进行防治,而不是真的等到问题出现了,再去解决。如针对这种限制用户接受WORD格式的附件,我们可以采取多种形式,来减少其的危害性。如我们可以在邮件中取消跟WORD文件的关联。当用户收到WORD格式附件的时候,必须先把邮件中的附件下载下来;然后对于下载的文件进行强制的杀毒;然后在允许用户进行打开。如此的话,就可以避免用户直接从邮件中打开而给了病毒或者木马可乘之机。
所以,笔者认为,我们网络安全管理人员在日常工作中,应该更多的关注事前的防治,而不是问题出现了再去解决。如此的话,我们网络安全管理人员才能够避免老是去做消防员,这也有利于提高我们的工作效率,不要被企业员工拉着鼻子走。
具体的来说,我们可以在以下几个方面,采取一些预防措施。
一是文件的泄密上面。很多企业在做信息安全设计的时候,都是在如何限制用户向外发送邮件;对邮箱服务器进行追踪,看看用户是否非法发邮件,等等。当然这些也是保护企业信息安全的必要手段。但是,其实,我们还可以从文件本身出发,采取一些措施,保护文件本身的安全性。即使内部员工把文件泄露出去,也让其它人看到这个文件而打不开这个文件。如我们可以采用EFS加密技术,限制只有特定的用户或者主机才可以阅读这份文件。如此的话,再结合邮件追踪或者其它安全手段,就可以全方位提高企业信息的安全性。
二是补丁的升级上面。笔者发现很多企业的网络管理人员没有主动升级补丁的习惯,而往往是等到病毒或者木马爆发了,甚至造成部分电脑瘫痪或者局部网络瘫痪的情况下,才会想到赶快给其它未中招的电脑打补丁。这就是一个事后弥补的典型。虽然说亡羊补牢,为时未晚。但是,这毕竟会给企业带来损失。既然我们能够预先通过一定的措施防止这些情况产生,那么我们为什么不及早的采取措施,进行预防呢。
还有很多类似的情形。笔者总的建议就是,能够采取预防措施而避免安全事故的产生,则就要采取积极的预防措施,其实,需要一定的成本支出也是值得的。
迷失方向四:没有统一的安全规划体系。
笔者在一些场合跟一些网络安全管理人员讨论企业信息化安全的话题时,很少有人能够对这个话题提出一个比较全面的安全规划体系。笔者也发现,他们大部分的人都是为了安全而安全。也就是说,都是针对一些特殊的应用而进行安全方面的管理,而缺乏一个统一的安全规划体系。
如上来一个企业资源计划系统,就为此设计一个安全体系;上了一个客户关系管理系统,再为他搞一个安全控制;等等。从来没有从业务角度出发,来为其设计一个比较全面的安全规划体系。针对各个系统来设计安全保障体系的话,最大的缺点就是这些安全保障体系中很多可能是相互矛盾的,或者在某个系统中考虑到了、但是再另外一个系统中却没有考虑。如在CRM系统中,限制了各个销售人员之能够查看自己客户的信息;但是,在ERP系统中,却允许销售人员查看各个客户的订单情况。这就是一个很明显的没有从企业业务出发、没有统一的安全规划体系所造成的安全漏洞。
为此,笔者在设计企业信息化安全体系的时候,喜欢从实际业务出发,来保障企业信息化管理的 安全性。
如在企业信息化安全管理之前,先从业务角度进行考虑相关文件的访问权限。如无论在上ERP系统还是上CRM系统之前,先对企业业务的文件进行整理,看看总共具有哪些文件。然后进行确定,什么文件谁具有查询缺陷,而谁具有修改或者删除权限;甚至对文件中的某个字段,如产品的销售价格,看看谁具有访问权限。先在业务级别上设置好相关信息的访问权限之后,然后,在信息化管理系统实际部署的时候,再一一的按照这个内容进行设计访问权限,如此的话,各个信息化管理系统在一个统一的访问权限上进行访问的限制,就就可以避免各个系统之间相互矛盾的地方,从而提高信息化管理安全方面的保障性。
为此,笔者有如下建议:
1、无论企业上不上信息化管理系统,当企业网络安全管理人员接受企业的网络安全工作的时候,就需要结合各个部门的负责人,制定出一份企业信息安全管理的目标书,并随着企业业务的改变而即使的作出调整。只有如此,我们在后续的安全工作中,才能够有针对性。毕竟,企业信息的安全,是企业网络安全工作中的大头。所以,我觉得网络安全管理人员在部署具体的安全工作之前,先跟各个部门的负责人坐在一起,然后确定各个相关业务文件的安全体系与访问原则。如企业可能有两份跟销售报价相关的文件,一份是财务部门给销售部门的建议售价,其中可能带有成本或者利润率等相关信息。另外一份就是根据一定格式提供给客户的报价确认信息。在信息安全管理目标书的时候,就需要确定这两份文件的访问权限。如第一份文件可能只有企业高层管理人员以及具体的销售人员才能够看,并且,严格限制销售人员把这份表格进行复制或者带到企业外部。如此定义好之后,我们后续的工作才能够做。如我们可以把这份文件对于其它员工来说,只有只读权限,并且限制其复制等功能。从而保障这个文件的安全性。
2、当企业有多个信息化项目,如同时拥有ERP系统与CRM系统,或者同时具有防火墙与访问控制列表时,这些功能可能有相互重合的地方。此时,就需要更多的关注在重合的地方是否有相互矛盾的地方。特别是信息化管理软件上面,这方面更加需要关注。如在ERP系统中,是禁止销售人员看到订单的成本信息,只有销售总监才可以看到。而在CRM系统中,可能也有订单成本相关信息,这个时候,就要特别注意,在这里系统中,这个成本信息的安全性了。一般来说,如果是先设计要业务层次的安全性,然后,再照本宣科的进行系统权限配置的话,一般不怎么会犯这种自相矛盾的错误。而若是根据系统来配置访问权限的话,则在系统的访问规则配置过程中,很可能会有漏掉。所以,这也是笔者一再强调,要以业务为基础进行信息化安全体系设计的出发点。
3、尽量采用同一的信息化安全平台。就如组策略应用来说。现在微软操作系统组成的网络中,组策略有两个级别,一个是单机级别的,也就是说,只有在每个具体的客户段上才能够其作用。另外一个是域级别的,只要在一个用户组或者域上使用某个安全策略,这个安全策略就会在企业内生效。如为了保障企业用户帐户的安全,我们可以设置一个密码策略,要求用户输入的密码必须符合一定的复杂性,如必须六位以上的数字与字符结合的密码,并且,必须每个一个月就修改一次密码。如在单机种配置这种安全策略的话,则必须在每一台主机上进行配置。如此的话,显然一方面工作两巨大,每次安全策略有更改,都要手动的去更改各台主机的配置;另一方面,这也很有可能有漏网之鱼。而若在域级别上,采用统一的安全组策略,则可以很好的防止出现这个问题。因为若采用域的话,则公司各个员工的帐户都可以通过域控制器一台主机来管理。如此的话,就相当于给我们提供了一个统一管理企业员工帐户的平台。当需要在员工帐户上添加什么安全措施的话,则只需要在域或者组上进行设置组策略,然后这个域中的所有帐户都会受到这个组策略的限制。如此的话,就可以实现用户帐户的权限的统一管理。这也就提醒我们,在企业网络安全管理中,我们需要去寻找、去发现类似的统一管理平台。
