来源:CIO时代网
安全策略旨在提供三大作用:一是保护数据、客户、员工和技术系统;二是定义公司在安全方面的立场;三是尽量减小公司内外的风险,并且万一出现泄密后,尽量减小给公众留下的不利影响。制订及发布安全策略不仅仅是个好主意,美国的有关法律还规定公司必须这么做,这些法规包括支付卡行业数据安全标准(PCI)、《健康保险可携性及责任性法案》(HIPAA)以及《联邦信息安全管理法案》(FISMA)等。
但企业在编写及实施安全策略时,通常会犯以下五个基本错误。尽管其中一些错误听上去很可笑,但它们还是会频频发生,这会给许多企业带来重大影响。
错误一:没有制订安全策略
这是一个最大的基本错误。实际情况是,很多企业根本没有任何安全策略,有的只是制订了“含蓄策略”——所谓的“含蓄策略”指虽然经过管理班子的正式讨论,但是没有正式成文,也没有发布给任何人。
这种粗心大意的做法不但留下了安全弱点,企业还有可能违反了法律要求,因为有些法规明确要求公司合理编写及发布安全策略。
当然,一旦策略正式制订完毕,企业常常会发现自己的系统在很多地方都违反了策略。这没有什么好奇怪的,这表明安全策略并不是完全围绕当前的IT运营标准来制订的。这就意味着,除了安全策略外,公司还必须把当前系统存在的缺陷记入文档,并且评估改正这些缺陷以便让系统符合新策略要求所需的成本。
错误二:没有更新安全策略
假设你没有犯前面第一个错误,就要留意这个关键的第二点了:单单拥有精心编写的安全策略还不足以改善安全状况。
公司网络和业务流程将来会出现一些变动,这是不可避免的。安全风险和法规遵从要求也会发生变化。所以,随着安全威胁和企业环境不断变化,安全策略也要随之变化。
更新安全策略的理由有:部署了新技术(或者处置过期的软件或硬件);出现新的法规要求或者法规要求内容有所更新;公司不断发展;企业合并或重组给系统带来了新的数据和用户;出现了新的业务系列或者商业惯例……实际上,只要公司安全策略保护的各环节出现了任何变化,都要更新安全策略。
如果出现诸如此类的变化后,公司却没有定期评估及更新安全策略,它们的威胁状况就有可能出现门户大开的情况,成了安全方面容易遭到攻击的对象;就算拥有“全新”的安全策略文档,也是如此。
错误三:没有跟踪执行情况
如果你已经落实了安全策略,并且定期更新了策略,这表明你已往理想的安全策略迈出了重要的两步。但你还是会犯其他错误!
如果公司没有跟踪安全策略是否得到了执行,甚至没有跟踪员工是不是意识到策略规定的条文,那么安全策略实际上是没有用的,有时甚至从法律上来说是没有用的。首先,为了能执行安全策略,企业必须确保安全策略发布给了所有员工,并且定期进行安全意识培训,特别是在策略加以更新的时候。另外为了确保策略的实用性,日常的监控活动必不可少。
通过日志恐怕是跟踪安全策略执行情况最有效的方法。搜集和分析日志数据将有助于了解IT环境中出现的情况。如果一名员工把与工作有关的电子邮件发送到个人账户,或者试图访问不在权限范围之内的数据,或者企业外面的黑客屡次企图登录企业服务器,但都未得逞……这些事件都会一一被记录到日志中。通过日志跟踪用户和系统的活动,并将这些数据与安全策略规定的条文进行对比,这才是客观地评估日常安全策略执行情况的最佳方法。
错误四:只考虑了技术方面
假设你避开了上面所述的前三个陷阱,另一个常见错误涉及安全策略的重点。
如果某项安全策略仅仅包括技术安全(如密码的复杂性、防火墙规则、IPS警报和反病毒软件更新等),而忽视了人员及其活动方面,公司就很容易遭到“软”威胁的攻击。软威胁包括:内部人员滥用权限、个人擅自使用企业的计算资源等。虽然描述技术保护措施,并确保这些技术措施以安全策略为准绳,而不是临时仓促部署很重要,但安全策略必须同时包括“人员、流程和技术”这三个方面。
另外,日志数据对于这三者之间的平衡关系很重要,因为系统活动(如系统重启动、自动更新及阻止攻击)和用户活动(如日常IT任务和物理安全)都记录在日志当中,可以拿来与安全策略做对照,也可以拿来证明违反还是遵从了安全策略。
错误五:内容冗长难操作
简而言之,编写的安全策略要让必须遵守该策略的那些人容易理解。
如果编写的安全策略满眼是深奥难解的法律术语,而且长达上百页,大多数员工甚至不想了解策略规定的内容,那么,违反策略的情况肯定会随时发生。同样,要是编写的策略过于严格,禁止大多数员工完成日常工作所要做的事情,大多数员工就有可能不遵从这项策略。落实策略之前,需要进行教育工作。因而,一开始就制订内容明确、容易理解的策略,这对将来提高遵从策略的水平有很大的帮助。
总的来说,安全策略要能够达到预期目的,就必须编写清楚,而且根据需要加以更新。安全策略必须包括技术和非技术方面。最后,还应当监控安全策略的执行情况。
