教你快速的制定出一套有效单位安全方案

      衡量一家单位的安全性是不是从其是否拥有健全的UTM、防火墙等设备着手呢?答案是否定的,我们应当先考查其安全策略。

  单位应如何制定一套高效的安全策略

  安全策略是一套可以影响单位人员行为的文档资料、计划或指南。安全策略很重要,原因在于它是任何一个单位的防火墙、UTM、IPS等系统的基础,或者说任何其它设备或服务的安全规则、要求、规范等都是由该单位的总体安全策略所决定的。

  何谓策略?策略是能够创建出来用以增强特定规则或规范的某种形式的文档资料,其目的是为了让一个机构按照要求的程序动作。而一个单位的所有安全项目都是在安全策略的总体框架下制定出来的。可以这样比方,安全策略如同骨架,而安全设备、安全软件等安全系统就是覆盖在其上的血肉。安全策略的设计目的是为了管理单位的资源,并有助于加强授权用户和资源的安全性,防止资源被滥用。所以安全策略问题是一个根本问题。

  安全策略的编制要与单位的目标保持一致,并符合IT管理目标的要求。而且安全策略并不能特立独行,它需要支持文档来指明一些指南和过程。这种文档要定义所期望的用户行为,所以需要清楚地写明且不会产生歧义。要知道,一套策略的目的是为了影响全体用户,规范其行为。一套编制优良的安全策略可有助于应对目前的安全挑战。

  单位面临的挑战

  许多安全策略并没有什么着落,这也就是说如果策略遭受了损害,却无法采取什么惩戒性的行动。这主要是因为缺乏管理支持。所以管理部门采取措施使得现有的安全策略文档得以强化是很重要的。但首先要保证策略的可行性,即可以实施。我们经常看到一些策略难以理解,也找不到相关的解释。关键是编写一种有着很好基础的策略,要求它清楚易懂、可实施,便于阅读。有些单位以一种不太现实的方式编制策略和管理控制,并不能真正地解决单位所面临的挑战。

  一套有效的策略应当是简明扼要而意味深长。相关文档的生命周期应当在三到五年之内甚至更短,而且需要每年都进行检查以确保其一致性,并与企业的战略保持一致。

  一个最大的困难或挑战是很少有安全专业人士深谙此道,很多单位从其它单位拷贝文档用于本单位,虽然这些策略谈到了最佳的方法,但在实施技术控制时却离本单位的现实目标有相当大的差距。

  职权

  这种策略应当得到高级管理部门或企业老总的授权,如果没有这种支持安全策略就无法实施,或将成为一纸空文。要清楚地阐明制定策略的原因,所有的人员都应当清楚不遵循安全要求的结果。

  在没有得到认可的情况下增加安全要求将导致有关部门增加技术控制的预算。技术控制需要花钱,因此对于策略的认可是至关重要的。

  框架

  要知道,随着时间的推移,用户需要不断地增加策略,因为企业目标的改变,也需要考虑策略的采用问题,而用户的行为也会改变。使全体员工远离不安全的途径是我们应当考虑的主要问题,保护公司的信息资产至关重要。

  将单位的预算牢记心头,要考虑到单位对技术控制的计划。如果策略建议了某种行为要求,但却没有技术来强化这种策略,那么用户将无法执行策略。

  不要试图减轻全部可能的风险,安全策略应当清晰,应当让人看出应当做什么,不应当做什么。要在细节上下工夫,而不要轻描淡写。

  一套全面的安全策略要求涉及到所有的业务单元,仔细地整理策略将有助于减少暴露的程度。一味地跟从其它单位的文档不利于排除安全风险。

  一定要运用最少特权的规则。这会使得暴露的攻击面最小化,暴露得越少则风险越小。

  要对策略的强制要求部分重点强调。如果你没有清楚地表明,那么用户们会感觉到这些东西是可选项而不是必选项。必要时对这些要求用专门的颜色强调,而对可选项部分可用斜体表述。

  有一些策略可能会排除某些用户,这些排除部分不应当位于文档的主体部分而应当位于附录中,否则容易引起混淆。

  有的单位将安全策略分割为若干部分,这样其不同部分就可以一种更有限制性的方式适用于不同的部门。这可能会极大地增加策略的复杂性,总体的安全策略也将会过于松散并会增加暴露程度。为此,最好将更多的细节交给每一个部门,,人力资源部门可在明确策略要素方面起到自己的作用。虽然不同的部门拥有不同的安全状况,但这种方法适用于任何一家单位。

  安全策略应适合单位的实际情况,否则用户们有可能对其掉以轻心。而且策略应当遵循法律法规和一致性要求,这会使得策略更有权威性。

  策略应当适用于哪些人?

  安全策略应当适用于单位所有机构的任何用户。其中也包括顾问和外国的实体,而不管这些用户是本地的还是远程的。没有考虑到某个用户将导致暴露公司资源的后果,因此在任何实体使用单位的设施之前都要保证其阅读并同意了安全策略,这一点很重要。

  技术控制

  如今,反病毒、备份、内容过滤、防火墙、端点加密、反恶意软件工具等技术控制手段有很多。应当在安全策略中涉及到这些技术控制,并应当描述如何实施这些控制来保护单位的资源。破坏、删除或变更这种控制的行为应当给以禁止。举个例子,在笔者负责审计一家大型企业时,发现一个安全损害是由于损害了某项技术控制措施引起的。这种策略如果不提及技术控制,也不清晰地表明用户应当怎样行动,它还有什么价值呢?

  策略应当涉及到用户个体应当如何处理单位的数据,这包括以一种安全的方式存储数据、传输数据、处理数据。

  报告

  对技术控制进行报告也是很重要的,因为这会确保用户了解哪些是违规的,也可以保障单位知晓风险和暴露程度。不了解用户是如何暴露公司的资源等同于单位没有安全策略。

  小结

  本文探讨了在编制高效的安全策略时需要考虑的几个问题。应当指出,一个安全专业人士应当比较各种信息并编制其自己的安全策略。笔者期望本文对IT管理人员或安全管理人员有益。