[url]
為了更好地保護資產免受資訊保安風險的威脅,企業需要乙個結合了完善的資訊保安策略和最新技術的安全專案。作為專案核心的安全策略體系先被制定出來後,才開始考慮技術和產品的選擇。
安全策略相當於企業安全專案的靈魂,只有在企業管理層全力支援安全策略的制定和實施,且安全策略規定的保護目標明確可行的前提下,安全專案才有可能被成功實施。
為了更好地保護企業的資訊保安, 我們需要在現有的企業安全策略體系中,增加如何對安全專案實施監控和效能度量的書面文件,並制定相應的安全專案度量標準。這可以分四步來完成。
第一步 定義監控
在安全策略中定義如何對安全專案進行監控,是對監控行為進行授權,使其能夠保持安全專案的良好執行的先決條件。
我們經常可以看到一些企業的安全手冊上規定「沒有經過授權的移動裝置不能連線到公司的內部網路」,卻沒有規定到底由誰來負責檢查,以及如何對違反該條令的人員進行處罰;或者規定「公司的每個網路裝置的流量都應受到監控」,卻沒有規定什麼型別的網路流量應該受到監控。這顯然是毫無用處的,但是類似的條令卻充斥在許多企業的安全手冊裡。
因此,我們首先要在安全策略裡對監控進行合理定義,內容包括:1)安全專案中什麼指標需要進行監控;2)誰來執行該項監控。
在許多場合,尤其在出現嚴重違反安全策略事件的情況下,負責監控安全專案指標的人員常常需要直接向管理層匯報事件的發展情況.。這時,監控人員需要按照一定格式給管理層提交監控報告。為了方便管理監控報告,我們在制定安全策略的監控標準時,應該規定例行的安全專案監控報告的書寫格式。
監控報告應該包括以下一些元素:執行安全監控的日期;監控行為的執行人;執行監控行為的地點,如企業的某個部門、設施或辦公室;安全監控的主題;涉及的人員名字;監控結果和風險區域。
出於對隱私保**律的遵守和對企業員工隱私的尊重,我們在制定監控策略時,還應該在安全策略中事先向企業員工宣告什麼樣的行為會被監控和記錄,以及實施監控的原因。被監控的原因主要有:保證業務處理或業務交易有據可查,為達到法律法規的要求,防止企業系統的未授權操作,為符合培訓或服務標準的要求,防止犯罪行為等。
我們在制定安全策略時,為了節約成本和方便管理,應該對監控範圍進行限制。限制監控範圍的指定有以下幾個原則:
第一,監控敏感資料,而不是網路通訊流量,除非是使用網路過濾技術防止資訊資產的流失;
第二,對系統配置等這樣不經常變化的監控物件,可以用定時檢查代替持續檢查;
第三,重點關注企業的高風險區域。
最後,我們還需要在安全策略中對監控作乙個標準的定義。比如說,監控可以定義為對網路通訊流量的過濾,系統和配置檔案的校驗,資料的日誌、記錄和複審等。
監控的定義還可以以安全策略中的一段文字或者單獨的文件形式出現。比如說,有些企業是這樣定義的:「由於企業必須遵守法律、法規和隱私策略,而且企業有保護私有資產的需求,abc 部門將對本部門的所有網路通訊流量進行監控和記錄,以滿足法律法規的要求,同時有利於發現犯罪行為和未授權的使用及訪問行為,並保護企業私有資產的合理使用。本部門所進行的監控將根據法律法規和業務的要求進行書面記錄。注意監控的行為必須經過管理層的書面授權,沒有經過授權的監控行為都屬於違法行為。」
第二步 制定安全基線
我們在安全策略中增加定義和授權監控的條款後,接下來要做的是制定實施監控時的安全基線。我們知道,基線是用於比較事物的乙個標準,在安全策略中定義安全基線可以為企業的資產保護行為提供乙個有效的度量標準。在確定安全基線之前,我們需要先考慮下面的問題:
· 我們需要收集什麼樣的資訊和資料?為什麼?
· 企業業務運作對所收集資料的需求有哪些?
· 資料應該在什麼時候通過什麼方式收集?
·資料的收集是否允許使用第三方或自開發的工具?這些工具需要滿足什麼樣的要求?
·誰負責資料的收集和對所收集資料的銷毀工作?
· 收集到的資料需要向誰提交?採取什麼樣的格式?
·如何保證提交的資料簡單明瞭?
第三部 安排監控計畫
在制定好安全策略監控所需的安全基線之後,我們必須合理安排安全專案的監控活動時間,還應該做好關於如何進行安全監控的工作說明。這樣,企業的it人員才能以標準化的流程執行企業安全專案中的監控活動,管理層也可以掌握企業資產保護的情況。
企業定期安全監控所產生的監控結果,可以作為現有安全專案是否需要新增其他安全產品和人員的依據,也可以作為企業安全培訓效果的反饋。最重要的是,企業還可以借助對安全專案進行定期監控的結果,了解現有安全專案對企業業務產生的影響,從而進行靈活的調整以適應不斷變化的外部環境和業務需求。
監控計畫的安排根據企業的情況不同而不同,我們可以根據企業當前的it環境和人員情況來確定,並將其寫入安全策略中。
第四步 確定報告制度
安全策略對企業資產保護和安全專案效能的監控及度量結果,最終都會在提交給企業管理層的報告中得到體現。因此,乙個完整的報告制度也應該通過安全策略確定下來。按照所提交的物件和進行報告的目的不同,安全監控和度量報告可以分成操作性和業務性報告兩種。
操作性報告的內容主要包含:按照風險型別劃分的安全策略違反事件次數,違反企業安全配置要求的裝置數量,廢棄的賬戶數量,來自外界針對企業的不同型別的攻擊數量,病毒、蠕蟲和特洛伊木馬被攔截的數量,等等。
業務性報告主要用於在企業業務層次上對安全專案進行評估,主要的內容應該包括:由於失誤或錯誤配置導致的宕機時間和經濟損失、安全專案的超支情況、顯著的或接受的風險列表等。
大多數安全監控和度量報告結合了操作性的和業務性的報告元素。根據企業文化的不同,他們可以通過**、會議演示或白板等不同的格式來展現。我們在編寫安全策略和進行安全專案的時候,也應該根據安全監控和度量報告受眾的不同,預先定義好報告的格式和所要呈現的資訊,並將其寫入安全策略中,從而保證安全監控和度量報告的統一性和有效性。
企業如何選擇OA軟體?簡單四步搞定OA選型
企業如何選擇oa軟體?要解決這個問題,需要先看一下中小企業的需求特點 首先,中小企業電腦數量少,使用者數少,所以不需要特別高階的資料庫,而以適用為主 其次,中小企業工作流簡單,所以不需要特別複雜的功能,而以實用為主 再次,中小企業it人才缺乏,所以需要產品的易用性和維護性俱佳 最後,中小企業資金有限...
四步驟搞定專屬PE系統
如果你是pe高手,當然可以自己製作winpe新番茄花園 系統,但大多數系統愛好者不具備這樣的能力,因此我們完全可以借助網上優秀的winpe資源進行整合,打造屬於自己的winpe系統。系統吧小編就以通用pe工具箱3.3為例進行講解。一 將winpe安裝至u盤 通用pe工具箱3.3有較為完善的安裝嚮導,...
IT跳槽 走好四步
中國首家職業顧問諮詢機構 可銳職業顧問機構的首席職業顧問卞秉彬先生認為 事業發展總有幾個突破性的關口,就像從量到質的突破需要乙個積累,職業發展也如是,當你費了九牛二虎之力仍然沒有突破的時候,你就要考慮方法和方向是否對頭了。在某it公司做普通程式設計師的李先生有著3年的工作經驗,曾面試過不少知名軟體企...