關(guān)于安全政策的六個(gè)偏見(jiàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

作為公司信息安全部的技術(shù)主管，我以前常常自認(rèn)為掌握了所有在實(shí)際工作中需要知道的信息安全策略知識(shí)。但是自從去年我參加了一個(gè)旨在提高一些公司或社團(tuán)內(nèi)信息安全策略的學(xué)習(xí)小組后，我才發(fā)現(xiàn)自己是多么的渺小，原來(lái)的看法是多么的可笑。

在1995年期間，我們和商業(yè)伙伴之間的通訊方式還是除了書(shū)信外，就是通過(guò)電話聯(lián)系，彼此之間幾乎都是孤立的。在當(dāng)時(shí)，因特網(wǎng)對(duì)我們來(lái)說(shuō)只是聽(tīng)說(shuō)過(guò)，卻從來(lái)沒(méi)有接觸過(guò)的非常時(shí)尚的事物。

轉(zhuǎn)眼間就到了2001年. 我們和商業(yè)伙伴之間都通過(guò)租借的專用網(wǎng)絡(luò)或英特網(wǎng)互相傳遞重要的信息，電子郵件變得和電話一樣重要，幾乎所有的交易也都是在網(wǎng)上進(jìn)行。這時(shí)我們周圍的世界已經(jīng)變得越來(lái)越復(fù)雜，老一套的安全策略已經(jīng)無(wú)法適應(yīng)時(shí)代的發(fā)展而急需更新。

在學(xué)習(xí)小組這段信息安全策略學(xué)習(xí)期間，我學(xué)會(huì)了許多新的東西，現(xiàn)在我把它稱之為信息安全策略的六個(gè)神話。

偏見(jiàn)1: 信息安全策略是信息安全的重要基礎(chǔ)

首先聲明，我下面說(shuō)的也許是我個(gè)人的偏見(jiàn)而已，但信息安全策略對(duì)信息安全的重要性這一點(diǎn)是我們誰(shuí)也不可否認(rèn)的。當(dāng)然，并不是任何情況都如我說(shuō)的這樣，我認(rèn)為發(fā)展信息安全策略在實(shí)際信息安全工作中應(yīng)該放在第二步，第一步應(yīng)該是開(kāi)發(fā)出一種能對(duì)企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行正確評(píng)估和量化的方法來(lái)。你應(yīng)該非常明確你需要保護(hù)的是什么，以及保護(hù)的費(fèi)用相對(duì)它本身的價(jià)值是否值得。比如，如果為保護(hù)可口可樂(lè)的秘方，原子彈的發(fā)射公式或其它重要的敏感信息而需要花費(fèi)一百萬(wàn)美元可能就是值得的。

在實(shí)際工作中，你需要能夠?qū)λＷo(hù)的信息系統(tǒng)和數(shù)據(jù)的價(jià)值和保密費(fèi)用作出正確地比較和評(píng)估。

信息安全風(fēng)險(xiǎn)評(píng)估任務(wù)繁重，但是完成后您將可以了解：

* 貴公司的信息資源；

* 正常運(yùn)行并盈利的關(guān)鍵信息；

* 貴公司要防范的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估有幾分象網(wǎng)球賽，不可能一個(gè)人完成。在多數(shù)的公司，所必需的知識(shí)和資源分布在公司各個(gè)部門(mén)。通過(guò)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行恰當(dāng)?shù)脑u(píng)估，您可以結(jié)識(shí)公司各部門(mén)的人員，了解整個(gè)公司到底如何運(yùn)行。

偏見(jiàn)2：信息安全是個(gè)技術(shù)問(wèn)題。

您的加密方針是“所有的數(shù)據(jù)都必須用WhizBang 4.3和128位密鑰加密”嗎？如果是這樣和話，那您就應(yīng)該重新審視一下你的加密策略。我告訴你：策略不是技術(shù)手冊(cè)。

信息安全策略能夠反映貴公司維護(hù)信息安全的手段，是公司管理層對(duì)下級(jí)的指示。當(dāng)然安全策略是不會(huì)具體描述如何去完成某項(xiàng)任務(wù)的，它只是大概地指出所要完成的目標(biāo)是什么。例如，加密敏感信息的安全策略可能只有一句話：“機(jī)密或者高度機(jī)密的信息在公共網(wǎng)絡(luò)的計(jì)算機(jī)上保存和傳輸時(shí)，必須使用公司信息安全部門(mén)認(rèn)可的硬件或者軟件對(duì)信息進(jìn)行加密。”對(duì)于這段話，您應(yīng)該注意：

* 這段話很簡(jiǎn)單，不是技術(shù)性的，而且就像高級(jí)經(jīng)理要說(shuō)的那樣。這很好,畢竟安全策略本來(lái)就應(yīng)該是公司的總體指導(dǎo)性原則。

* 它申明了要達(dá)到的目標(biāo)和為達(dá)到這個(gè)目標(biāo)公司高層的因素。

* 它沒(méi)有具體指出要使用何種技術(shù)，如何配置。

* 它是可評(píng)估的。當(dāng)檢查的時(shí)候，可以對(duì)各個(gè)部門(mén)執(zhí)行的表現(xiàn)和成績(jī)打分。

* 它不會(huì)因?yàn)槟撤N新的加密算法已經(jīng)發(fā)布（或者舊的被廢除），或者您的加密算法提供商破產(chǎn)而修改。

在這里您可以把信息安全的策略看做是國(guó)家的憲法。憲法并沒(méi)有從細(xì)節(jié)上規(guī)定停車規(guī)則和建筑規(guī)則。但是，從中央政府到地方政府的所有法律都可以溯源到國(guó)家憲法。如同國(guó)家憲法一樣，信息安全策略提供了維護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全日常規(guī)則的總體框架。

偏見(jiàn)3：為支持信息安全策略，您的安全策略需要多層次的文檔支持。

不要因?yàn)槟谥贫ㄟ@些策略上投入了大量的時(shí)間和精力，就認(rèn)為你的同事也同樣會(huì)而且愿意投入大量的時(shí)間和精力。這里我要對(duì)你說(shuō)：讓你和同事的生活輕松一些吧。一旦您的安全策略確定了，要制定一套標(biāo)準(zhǔn)向有關(guān)人員和部門(mén)解釋如何才能遵守這些策略。例如，《便攜式計(jì)算機(jī)加密標(biāo)準(zhǔn)》，用來(lái)支持上面討論過(guò)的策略，里面可能包含下列信息：

* 所有運(yùn)行Windows 2000的便攜式計(jì)算機(jī)必須使用內(nèi)置的加密文件系統(tǒng)(Encrypting File System ,EFS)自動(dòng)加密文件、設(shè)置文件夾及其下屬文件。

* 用戶必須將公司的文件和信息保存在硬盤(pán)驅(qū)動(dòng)器的加密部分。

* 網(wǎng)絡(luò)支持部門(mén)要保管EFS密碼，以便從便攜式計(jì)算機(jī)上重新獲得數(shù)據(jù)。密碼必須保存在安全的地方，保證僅網(wǎng)絡(luò)支持部門(mén)的負(fù)責(zé)人和內(nèi)部檢查負(fù)責(zé)人可以獲得。

其他的加密標(biāo)準(zhǔn)可能包括：如何保護(hù)保存在PDA上的信息；什么時(shí)候電子郵件信息必須加密；編譯公司使用的軟件可以用到什么加密產(chǎn)品。簡(jiǎn)練的文檔標(biāo)準(zhǔn)好處很多：

* 不要因?yàn)槌霈F(xiàn)了什么新的技術(shù)而使原來(lái)已經(jīng)制定的安全策略動(dòng)搖。要記住，策略僅僅表明的是公司的目標(biāo)和方向，不能因?yàn)檐浖?jí)或者技術(shù)大改變就變成了過(guò)時(shí)的東西。策略是要經(jīng)過(guò)數(shù)年的實(shí)踐才有效的。

* 可以解決不同部門(mén)具體辦事方式不同的問(wèn)題。只要制定的標(biāo)準(zhǔn)可以同策略相符合，這些標(biāo)準(zhǔn)就可以從不同部門(mén)的實(shí)際層面上來(lái)制定。如在文檔加密這個(gè)問(wèn)題，戰(zhàn)略規(guī)劃部門(mén)的信息一般都是絕密的，整個(gè)用來(lái)保存的硬盤(pán)可能都要加密。如果這樣，戰(zhàn)略規(guī)劃部門(mén)的加密標(biāo)準(zhǔn)就可以以此為準(zhǔn)。

* 標(biāo)準(zhǔn)要便于理解，當(dāng)然并不是要讓公司所有人都覺(jué)得你制定的訪問(wèn)控制，加密算法和防火墻規(guī)則設(shè)定得讓人著迷。要使同事們能夠比較容易地找到實(shí)際的安全問(wèn)題解決方法，不要讓他們面對(duì)的只是大量無(wú)用的信息。

* 時(shí)機(jī)很重要，因?yàn)樾碌牟呗园l(fā)布時(shí)，公司里的焦急情緒就會(huì)上升。人們都想知道如何做才能符合新的策略的要求。我的建議是在實(shí)施之前較長(zhǎng)時(shí)間就公布這些新的策略，讓同事閱讀理解，然后制定相應(yīng)的標(biāo)準(zhǔn)應(yīng)對(duì)最常見(jiàn)、最緊急的問(wèn)題。這樣才是明智的。

偏見(jiàn)4：新的策略的制定實(shí)施會(huì)遇到新的麻煩

您在公司的內(nèi)部網(wǎng)一公布新的公司信息安全策略，您的收件箱可能就會(huì)出現(xiàn)大量的消息，它們都來(lái)自您的同事，他們對(duì)您新公布的策略感到焦急、迷惑甚至憤怒，覺(jué)得您的“大作”是個(gè)"大災(zāi)難"。他們考慮的都是執(zhí)行這些策略時(shí)他們必須做的額外的工作和增加的預(yù)算。

新的信息安全策略不應(yīng)該讓人感到驚訝。制定策略的過(guò)程應(yīng)該是個(gè)集體的活動(dòng)，從一開(kāi)始就要包括來(lái)自公司各個(gè)部門(mén)的人員。起草策略，然后詢問(wèn)同事新的策略對(duì)他們的工作方式會(huì)有什么影響。例如，一開(kāi)始我們的策略拒絕任何非公司的計(jì)算機(jī)連接到公司的網(wǎng)絡(luò)上。但是從我們的公司業(yè)務(wù)部門(mén)了解到，住在公司的一些顧問(wèn)使用自己的膝上型電腦，許多員工將工作帶回家通過(guò)VPN從私人的系統(tǒng)連接到公司的網(wǎng)絡(luò)。預(yù)算中沒(méi)有考慮為這些人購(gòu)買(mǎi)新的計(jì)算機(jī)。于是我們需要回來(lái)修改這屆策略，以在安全和預(yù)算中找到平衡。

盡早讓某些用戶融入新的安全策略可以讓他們成為新策略的受益者，并且讓它們向公司其他員工宣傳這些新的制度。相信需要信息安全的同事對(duì)其他同事的影響力要比IT安全的"職業(yè)妄想狂"大的多。如我公司的顧問(wèn)組就變成了一個(gè)常設(shè)的委員會(huì)，可以同業(yè)務(wù)部門(mén)聯(lián)絡(luò)，保證安全措施同主要的業(yè)務(wù)部門(mén)相適應(yīng)。

偏見(jiàn)5：適當(dāng)制造一定的安全威脅對(duì)新安全策略的推廣往往是很有效的。

要想贏得人們對(duì)新的策略的支持，并且讓他們都遵守它是很難的，于是利用人們的恐懼心理推銷自己新的信息安全策略就很有誘惑力的。盡管警告經(jīng)理和同事們放松安全警惕的嚴(yán)重后果一定程度上有效，但是每一次新病毒產(chǎn)生、每一次IIS有漏洞發(fā)現(xiàn)都發(fā)出警報(bào)的話，時(shí)間長(zhǎng)了就有點(diǎn)像喊“狼來(lái)了”見(jiàn)怪不怪了。在談到信息安全的時(shí)候要冷靜，而且集中于事情本身。讓大家遵守新策略的關(guān)鍵是讓他們相信信息的巨大價(jià)值，并且應(yīng)該保護(hù)信息；制定新策略要在安全需要和工作需要之間找到平衡；要得到公司高層對(duì)新策略的公開(kāi)支持。這也意味著最后一個(gè)神話是至關(guān)重要的。

偏見(jiàn)6：好了，新策略制定完畢，我的活干完了。

如果您今晚失眠，可以找一份典型的信息安全策略來(lái)看。馬上就是第二天早晨。無(wú)論您的新策略多么地深思熟慮，多么地全面，但是如果人們不知道它們?nèi)耘f等于白費(fèi)，建議讓公司的高層來(lái)宣布新的安全策略。確定您的新策略散發(fā)的時(shí)候封皮上要有來(lái)自CEO的備忘錄，備忘錄要強(qiáng)調(diào)這是管理層的指示。這步完成之后，真正的工作才開(kāi)始。

本公司的管理層幾年前就知道信息安全優(yōu)先的必要性，而且建立了一套非常好的了解程序。執(zhí)行這套程序的同事把今年的新的信息安全的策略作為他們工作的中心。過(guò)去幾個(gè)月里，他們：

* 印刷日歷，日歷每個(gè)月強(qiáng)調(diào)不同的策略，懸掛在多數(shù)辦公室和隔間里面。

* 用淺顯、幽默的語(yǔ)言寫(xiě)一份信息安全策略基本手冊(cè)，分發(fā)給員工，人手一份。

* 對(duì)所有員工進(jìn)行時(shí)間為90分鐘的信息安全培訓(xùn)。

* 舉行一系列受歡迎的信息安全知識(shí)的游戲比賽，參加者可以獲得獎(jiǎng)勵(lì)和表?yè)P(yáng)。

* 建立一個(gè)內(nèi)部網(wǎng)站，作為信息安全的交流中心，其中包括所有的策略和標(biāo)準(zhǔn)。

就算您的公司不大，而且管理層沒(méi)有意識(shí)到信息安全的重要性，你還是可以做到讓人們了解到信息安全的重要性。以下是本人建議的幾個(gè)方法：

* 每隔一周或者兩周向全公司發(fā)送一份電子郵件，告訴大家一個(gè)關(guān)于安全的小提示。

* 在自助餐廳和休息室的布告板上張貼信息安全注意事項(xiàng)。

* 認(rèn)可那些為信息安全做出貢獻(xiàn)的員工。員工提出了好的建議或者在防止和應(yīng)對(duì)信息安全事故時(shí)做出了貢獻(xiàn)要大力宣揚(yáng)，送給他們禮物，并且在公司的通訊封面上表?yè)P(yáng)他們。

* 設(shè)立一個(gè)“安全熱線”，使用戶對(duì)新策略有疑問(wèn)或者報(bào)告可能發(fā)生事故的時(shí)候可以打電話或者發(fā)郵件。

* 有對(duì)員工的疑問(wèn)、報(bào)告有所反映，讓他們很容易得到問(wèn)題的解決辦案。

修補(bǔ)我們的信息安全策略是一件很繁重的勞動(dòng)。標(biāo)準(zhǔn)需要制定和更新，用戶需要得到指導(dǎo)，以便了解這些標(biāo)準(zhǔn)。要對(duì)遵守情況進(jìn)行評(píng)估，我們的信息安全部門(mén)經(jīng)常不得不對(duì)同事進(jìn)行一些指導(dǎo)，以便讓他們不犯錯(cuò)誤。

但是，針對(duì)性太強(qiáng)并且太過(guò)于嚴(yán)格的信息安全策略卻會(huì)使公司將精力都花費(fèi)在安全問(wèn)題上，而影響正常的商務(wù)活動(dòng)。這一點(diǎn)，我們的安全組和公司其他部門(mén)的同事都深有體會(huì)。

來(lái)源：cismag