诊治企业安全政策中存在的五大常见错误

日期: 2008-03-03 作者:Anton Chuvakin 来源:TechTarget中国

  
  【IT专家网独家】安全政策主要用于:保护数据、客户、员工、技术系统;定义公司的安全立场;最大限度减少内部和外部泄密以及由于安全突破造成的公开泄密的风险。安全政策的创建和发布不仅是一个好主意,而且这两项任务都是由一系列企业法规决定的。这些法规包括PCI(支付卡行业数据安全标准)、HIPAA(健康保险流通与责任法案)和FISMA(联邦信息安全管理法案)。

  本文介绍企业在编写和实施安全政策时通常容易犯的五个错误。由于这些错误非常容易出现,因此,这些错误足以对企业的盈亏底线产生严重的破坏作用。

  1.没有一个安全政策

  同安全政策错误一样,没有安全政策是一个最大的错误。这个错误包括实际上根本没有任何安全政策和只有“含蓄的政策”。所谓含蓄的政策是指管理层正式讨论过,但是,没有形成文字并且没有向任何人发布。

  这种粗心大意的方法不仅会留下安全弱点和造成承担法律责任后果,而且还会违反有关法规。安全法规要求企业明确地执行一种书面和发布的安全政策。

  当然,政策一旦正式建立,企业通常会发现他们的系统大部分都违反了政策。这并不使人感到意外。因为这种情况表明,这个政策不是围绕企业当前的IT运营标准制定的。这就意味着,除了安全政策之外,企业还必须用文件证明当前系统的缺陷、分析这些风险和评估弥补这些缺陷的成本,以便用新的政策使这些缺陷符合法规的要求。

  2.没有更新安全政策

  假设你不是第一个错误的受害者,你将了解一个重要的安全要点:简单地拥有一个良好的书面政策并不足以改善安全状况。

  企业网络和商务流程不可避免地将发生一些变化。安全风险和遵守法规的要求也将变化。随着威胁和企业环境的变化,安全政策也必须随之变化。

  更新安全政策的理由包括:新技术的发展(或者报废过期的软件或者硬件)、新的或者更新的管理规定、企业增长、给系统带来新的数据和用户的合并或者重组、新的商业线或者做法。实际上,现有的安全政策保护的任何要素发生改变都需要更新安全政策。

  发生这样或者那样变化之后,没有定期评估和升级安全政策的企业会有发生安全漏洞和成为攻击目标的危险,尽管这些企业拥有“新的”安全政策文件。

  3.没有使用安全政策跟踪遵守政策的情况

  如果你有一个安全政策并且定期更新这个安全政策,你已经朝着政策的极乐世界迈出了重要的两步。但是,你还会犯其它错误!

  除非一家企业跟踪这个安全政策是否执行或者员工是否了解这些安全政策,否则,这个安全政策在实践上和法律上都是没有用的。首先,要能够强制执行安全政策,一家公司必须保证这个安全政策发布给每一个员工并且定期举行熟悉这个政策的培训,特别是在政策更新的时候。接下来要保证政策的有用性,对进行之中的行动进行监视是很重的。

  也许跟踪遵守政策状况最有效的方法就是记录。搜集和分析记录数据有助于了解在IT环境中发生的事情。如果一名员工把工作电子邮件发送到一个个人账户或者试图访问其权限以外的数据或者一个外部黑客试图登录一台服务器的几次企图,这些事件都将在记录数据中。通过记录跟踪用户和系统并且把这些数据与安全政策进行对比。这种做法是客观地评估你的安全政策遵守情况的最佳方法。

  4.拥有一个“仅涉及技术”的政策

  假如你避开了上述三个错误,在安全政策的重点方面还有一种常见的错误。

  仅包含技术安全(如、口令的复杂性、防火墙规则、IPS报警、杀毒软件更新等)并且没有讨论人员及其活动的安全政策将使企业容易受到“软弱的”威胁攻击。这些软弱的威胁包括:内部权限滥用和个人使用计算资源等。虽然说明技术保护措施是重要的,但是,安全政策必须要包括“人、流程和技术”这三个重要的方面。

  记录数据在这里也是非常重要的,因为系统活动都在记录数据中,能够对照安全政策进行检查并且能够作为违反和遵守安全政策的证据。

  5.有一个大而灵活的政策

  简单地说,一个安全政策要以需要遵守这个政策的人容易理解的方式编写。

  如果一个安全政策以法律文书的形式编写并且长达130页,大多数员工甚至都不会去设法理解它说了什么,违反政策的行为肯定会随后发生。同样,政策太严格,禁止大多数员工完成日常工作所需要做的事情,可能会使大多数员工都不遵守这个政策。在政策制定之前要进行教育工作。因此,从一开始就建立一个明确的和容易理解的政策将提高未来遵守这个政策的水平。

  总的来说,我们研究了五个常见的安全政策错误。对于一个要达到自己的目的安全政策,这个安全政策必须写明白并且根据需要更新。这个安全政策必须包括技术和非技术领域。最后,必须要监视遵守这个政策的情况。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 实用易上手的五大Android安全政策

    对于正试图改善Android安全性的企业来说,他们也许会认为这是一项不可能完成的任务。在这个音频中,Phifer探讨了企业可部署及实施的五大Android安全政策,以帮助缓解最突出的Android威胁。

  • Scott Charney:微软的安全政策和集体防御

    本视频中,微软可信赖计算部副总裁Scott Charney,将与我们一起讨论集体防御以及微软确保互联网上消费者的电脑安全的一些策略。

  • 如何寻求管理层对执行安全政策的支持

    公司最近发生了一次安全事件,一名员工将敏感数据下载到个人USB记忆棒中。但管理层却决定放他一马。作为安全专业人士,如何寻求管理层对执行安全政策的支持呢?

  • 对卫星网络及内容的安全防护措施

    多年来卫星网络一般不与外部世界相互连接,对卫星网络及内容实时入侵的安全防护相对容易,卫星网络因其独特性而获得了安全性,目前这一状况不再如此……