計(jì)世獨(dú)家：謹(jǐn)防安全策略五大基本錯(cuò)誤

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

【計(jì)世獨(dú)家】企業(yè)在編寫及實(shí)施安全策略時(shí)，通常會(huì)犯以下五個(gè)基本錯(cuò)誤。

安全策略旨在提供三大作用：一是保護(hù)數(shù)據(jù)、客戶、員工和技術(shù)系統(tǒng)；二是定義公司在安全方面的立場(chǎng)；三是盡量減小公司內(nèi)外的風(fēng)險(xiǎn)，并且萬一出現(xiàn)泄密后，盡量減小給公眾留下的不利影響。制訂及發(fā)布安全策略不僅僅是個(gè)好主意，美國(guó)的有關(guān)法律還規(guī)定公司必須這么做，這些法規(guī)包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI）、《健康保險(xiǎn)可攜性及責(zé)任性法案》（HIPAA）以及《聯(lián)邦信息安全管理法案》（FISMA）等。

但企業(yè)在編寫及實(shí)施安全策略時(shí)，通常會(huì)犯以下五個(gè)基本錯(cuò)誤。盡管其中一些錯(cuò)誤聽上去很可笑，但它們還是會(huì)頻頻發(fā)生，這會(huì)給許多企業(yè)帶來重大影響。

錯(cuò)誤一

沒有制訂安全策略

這是一個(gè)最大的基本錯(cuò)誤。實(shí)際情況是，很多企業(yè)根本沒有任何安全策略，有的只是制訂了“含蓄策略”——所謂的“含蓄策略”指雖然經(jīng)過管理班子的正式討論，但是沒有正式成文，也沒有發(fā)布給任何人。

這種粗心大意的做法不但留下了安全弱點(diǎn)，企業(yè)還有可能違反了法律要求，因?yàn)橛行┓ㄒ?guī)明確要求公司合理編寫及發(fā)布安全策略。

當(dāng)然，一旦策略正式制訂完畢，企業(yè)常常會(huì)發(fā)現(xiàn)自己的系統(tǒng)在很多地方都違反了策略。這沒有什么好奇怪的，這表明安全策略并不是完全圍繞當(dāng)前的IT運(yùn)營(yíng)標(biāo)準(zhǔn)來制訂的。這就意味著，除了安全策略外，公司還必須把當(dāng)前系統(tǒng)存在的缺陷記入文檔，并且評(píng)估改正這些缺陷以便讓系統(tǒng)符合新策略要求所需的成本。

錯(cuò)誤二

沒有更新安全策略

假設(shè)你沒有犯前面第一個(gè)錯(cuò)誤，就要留意這個(gè)關(guān)鍵的第二點(diǎn)了：?jiǎn)螁螕碛芯木帉懙陌踩呗赃€不足以改善安全狀況。

公司網(wǎng)絡(luò)和業(yè)務(wù)流程將來會(huì)出現(xiàn)一些變動(dòng)，這是不可避免的。安全風(fēng)險(xiǎn)和法規(guī)遵從要求也會(huì)發(fā)生變化。所以，隨著安全威脅和企業(yè)環(huán)境不斷變化，安全策略也要隨之變化。

更新安全策略的理由有：部署了新技術(shù)（或者處置過期的軟件或硬件）；出現(xiàn)新的法規(guī)要求或者法規(guī)要求內(nèi)容有所更新；公司不斷發(fā)展；企業(yè)合并或重組給系統(tǒng)帶來了新的數(shù)據(jù)和用戶；出現(xiàn)了新的業(yè)務(wù)系列或者商業(yè)慣例……實(shí)際上，只要公司安全策略保護(hù)的各環(huán)節(jié)出現(xiàn)了任何變化，都要更新安全策略。

如果出現(xiàn)諸如此類的變化后，公司卻沒有定期評(píng)估及更新安全策略，它們的威脅狀況就有可能出現(xiàn)門戶大開的情況，成了安全方面容易遭到攻擊的對(duì)象；就算擁有“全新”的安全策略文檔，也是如此。

錯(cuò)誤三

沒有跟蹤執(zhí)行情況

如果你已經(jīng)落實(shí)了安全策略，并且定期更新了策略，這表明你已往理想的安全策略邁出了重要的兩步。但你還是會(huì)犯其他錯(cuò)誤！

如果公司沒有跟蹤安全策略是否得到了執(zhí)行，甚至沒有跟蹤員工是不是意識(shí)到策略規(guī)定的條文，那么安全策略實(shí)際上是沒有用的，有時(shí)甚至從法律上來說是沒有用的。首先，為了能執(zhí)行安全策略，企業(yè)必須確保安全策略發(fā)布給了所有員工，并且定期進(jìn)行安全意識(shí)培訓(xùn)，特別是在策略加以更新的時(shí)候。另外為了確保策略的實(shí)用性，日常的監(jiān)控活動(dòng)必不可少。

通過日志恐怕是跟蹤安全策略執(zhí)行情況最有效的方法。搜集和分析日志數(shù)據(jù)將有助于了解IT環(huán)境中出現(xiàn)的情況。如果一名員工把與工作有關(guān)的電子郵件發(fā)送到個(gè)人賬戶，或者試圖訪問不在權(quán)限范圍之內(nèi)的數(shù)據(jù)，或者企業(yè)外面的黑客屢次企圖登錄企業(yè)服務(wù)器，但都未得逞……這些事件都會(huì)一一被記錄到日志中。通過日志跟蹤用戶和系統(tǒng)的活動(dòng)，并將這些數(shù)據(jù)與安全策略規(guī)定的條文進(jìn)行對(duì)比，這才是客觀地評(píng)估日常安全策略執(zhí)行情況的最佳方法。