预算、时间以及人员限制要求公司有选择性地进行信息安全人力物力的投入。你如何确定哪些地方需要重点进行安全改进呢?具有成熟安全项目的企业可能有一套正式的风险管理过程,来协助完成这项工作。而另一方面,中型企业,他们的决定则更需要有策略性。
下面是评估安全状态的五个步骤,它们已经协助许多中型企业进行了评估工作:
1、确定关键数据流:对于企业来说,了解哪些数据是敏感数据并不容易。然而,解决这一挑战有助于你更好地理解企业的业务过程和优先事项。同时你也可以会见关键人物并听取他们的意见;他们日后也会支持你的安全改进工作。在与他们交谈时,要向他们了解数据从哪来,到哪去,哪个基础设施组件将会处理这些数据。此外,也要了解需要公司进行数据保护的所有规则遵从要求或者合同要求。
2、了解用户的交互:在上一个步骤中你确定的人群是怎样使用数据的?同时还要注意个人的访问权限,我们需要完成以下工作:哪些人只读取数据,哪些人需要有改变数据的权限?这将影响到执行访问控制的授权工作。此外,弄清人们在公司内部,以及与合作伙伴和客户之间是如何分享数据的——脆弱的数据共享实践已经导致了许多数据泄漏事件。在这个阶段,还要评估存在哪些变化控制,以防止人们对基础设施以及其上的数据进行未授权的修改。
3、检查网络周边:当你对数据流和用户的交互有了清楚的了解之后,还需要研究网络的出口路径和入口路径。哪些地方抵抗攻击的能力最差?用来监测和阻止未授权访问的机制有哪些?如果一个外围组件(譬如说防火墙)未能阻止攻击,你的整个系统环境会不会门户大开呢?检查你的互联网连接和那些连向合作伙伴和客户的直接链接。在这个阶段的评估过程中,有线和无线网络都要检查。
4、评估服务器和工作站:在了解了你的网络周边的强弱点之后,请查看一下网络周边的内部系统。你需要查找可以被攻击者用来破解主机、盗窃数据的缺失补丁或者配置错误。从外部组件可以访问的服务器开始。然后再检查你的内部服务器。不要忘记评估你的台式电脑和笔记本电脑的安全状态,因为以客户端软件(比如浏览器和其插件)为目标的攻击很容易成功。
5、查看应用程序:最后,考虑一下第三方以及内部用户可访问的自定义应用程序中可能存在的漏洞。可以让攻击者破解应用程序的安全机制,从而进行未授权访问的漏洞有哪些?要特别注意基于网络的应用程序,近年来它们一直是攻击者喜欢的目标。解决应用程序级别问题并不简单,这也是我们不从这一步开始的原因。然而,重要的是要认识到与易受攻击的应用程序相关的风险,以便对自己的安全状态有一个完整的评估。
你不必在完成上面列出的所有的步骤之后才开始解决你发现的弱点。只要你确定了关键的风险,请尽可能好的解决它们,然后再继续评估。人们很容易在第一个阶段卡壳,因为他们试图用完美的方式解决所有的问题。可以考虑那些对当前而言足够好的状态,然后继续你的评估,以确定其他需要立即关注的关键地方。
业界有一句老话:安全是一个过程。你完成了所有的评估步骤并确定了适当的风险之后,请再次重复这个过程。重复的次数越多,你会感到你所遇到的风险越容易管理。