| 关于安全政策的六个偏见(一) |
| 作者:佚名 来源:www.net130.com 加入时间:2006-3-21 www.cnitrc.com |
|
作为公司信息安全部的技术主管,我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后,我才发现自己是多么的渺小,原来的看法是多么的可笑。
在1995年期间,我们和商业伙伴之间的通讯方式还是除了书信外,就是通过电话联系,彼此之间几乎都是孤立的。在当时,因特网对我们来说只是听说过,却从来没有接触过的非常时尚的事物。
转眼间就到了2001年. 我们和商业伙伴之间都通过租借的专用网络或英特网互相传递重要的信息,电子邮件变得和电话一样重要,几乎所有的交易也都是在网上进行。这时我们周围的世界已经变得越来越复杂,老一套的安全策略已经无法适应时代的发展而急需更新。
在学习小组这段信息安全策略学习期间,我学会了许多新的东西,现在我把它称之为信息安全策略的六个神话。
Ø 偏见1: 信息安全策略是信息安全的重要基础
首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。
在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。
信息安全风险评估任务繁重,但是完成后您将可以了解:
* 贵公司的信息资源;
* 正常运行并盈利的关键信息;
* 贵公司要防范的风险。
风险评估有几分象网球赛,不可能一个人完成。在多数的公司,所必需的知识和资源分布在公司各个部门。通过对信息安全风险进行恰当的评估,您可以结识公司各部门的人员,了解整个公司到底如何运行。
Ø 偏见2:信息安全是个技术问题。
您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。
信息安全策略能够反映贵公司维护信息安全的手段,是公司管理层对下级的指示。
当然安全策略是不会具体描述如何去完成某项任务的,它只是大概地指出所要完成的目标是什么。例如,加密敏感信息的安全策略可能只有一句话:“机密或者高度机密的信息在公共网络的计算机上保存和传输时,必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话,您应该注意:
* 这段话很简单,不是技术性的,而且就像高级经理要说的那样。这很好,毕竟安全策略本来就应该是公司的总体指导性原则。
* 它申明了要达到的目标和为达到这个目标公司高层的因素。
* 它没有具体指出要使用何种技术,如何配置。
* 它是可评估的。当检查的时候,可以对各个部门执行的表现和成绩打分。
* 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。
在这里您可以把信息安全的策略看做是国家的宪法。宪法并没有从细节上规定停车规则和建筑规则。但是,从中央政府到地方政府的所有法律都可以溯源到国家宪法。如同国家宪法一样,信息安全策略提供了维护网络信息系统安全日常规则的总体框架。
Ø 偏见3:为支持信息安全策略,您的安全策略需要多层次的文档支持。
不要因为您在制定这些策略上投入了大量的时间和精力,就认为你的同事也同样会而且愿意投入大量的时间和精力。这里我要对你说:让你和同事的生活轻松一些吧。一旦您的安全策略确定了,要制定一套标准向有关人员和部门解释如何才能遵守这些策略。例如,《便携式计算机加密标准》,用来支持上面讨论过的策略,里面可能包含下列信息:
* 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。
* 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。
* 网络支持部门要保管EFS密码,以便从便携式计算机上重新获得数据。密码必须保存在安全的地方,保证仅网络支持部门的负责人和内部检查负责人可以获得。
其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:
* 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住,策略仅仅表明的是公司的目标和方向,不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。
 |
|
|
未经书面授权严禁转载和复制本站的任何招聘信息和文章