网络安全威胁在每个行业都有所不同。但是，无论你在金融服务、制造业、教育、政府部门还是健康医疗行业工作，某些最佳安全做法都能够帮助你阻止安全威胁使你的业务陷入瘫痪。SearchNetworking.com最近与读者进行了讨论，发现了他们最担心的安全问题。我们编辑了行业和安全专家和作者Michael Gregg对人们普遍担心的问题的一些答复。正如Michael在他的新书《Hack the Stack》(堆栈攻击)中的做法一样，他提供了一步一步的解决方案帮助锁定网络的安全，无论你在什么商业领域。

　　行业：政府部门/军事部门

　　威胁：无线安全

　　IT计划经理Philip Propes说，在我的工作中，主要的威胁时是适当的设置和无线网络的安全。随着移动数据系统目前在本地和国家执法部门的广泛应用，各种类型的数据正在通过无线网络传输。

　　本地执法部门一般都被强制性要求采用增强的信息共享做法。由于仓促提供这些服务，机构通常由于受到时间和资金的限制没有保护这些数据。简言之，信息是以“仅仅可以使用”的方式共享的，而保护数据安全的原则通常被忽略或者降低到了最低的限度。

　　我们为本地、州和联邦政府执法机构提供网络和安全支持服务。我们看到许多部署不当的、大敞四开的无线网络。

　　Michael答复：你提出了一些很好的问题。这里缺少的是总体的控制。

　　这里需要应用的某些类型的结构是克服这些问题。我建议采取下面五个步骤的方法：

　　1.评估。查看这个机构的资源并且确定它们的价值(金钱价值或者非金钱价值)。分析这些可能的威胁并且计算这些威胁实现之后可能产生的后果。最后，检查这些威胁的影响。这个第一个步骤的想法是确定这个机构拥有的这些东西有什么价值，应该采取什么措施保护这些资产。

　　2.政策。拥有了对于具体资产和信息的价值的理解，这个机构现在就可以开始制定政策，规定如何处理这些资产。在你的政策中，要详细说明必须使用什么控制措施保护重要的资产。例如，政策也许会规定你使用加密措施。拥有某些政策指南之后，这个机构就可以采取下一步措施了。

　　3.实施。遵守和实施在你的政策中规定的事情。最好是在你的政策中规定所有的无线接入点必须使用WPA。但是，除非强制执行这些政策，否则这个政策是没有用的。

　　4.培训。需要对雇员进行培训以保证他们理解新的政策。雇员需要进行很好的安全培训。虽然某些人也许会认为事情到此就结束了，但是，实际上还有一个步骤。

　　5.审计/遵守法规。如果用户不遵守，全球最佳的政策也是没有用的。审计是对安全控制方法进行系统的评估以观察这些安全方法与已经建立起来的一套规则是不是一致。

　　我认为，这对你的问题是一个广泛的答案。但是，这里的问题是结构性的问题，需要高级官员的支持。

　　行业：教育

　　威胁：聪明的学生黑客

　　语法学校网络管理员Neil Cross说：在学校中工作，我们每天面临的现实是学生有能力比信息技术通讯技术支持人员和教师更快地吸收最先进的新技术。要跟上黑客迷的安全威胁的步伐是非常困难的。在允许和鼓励学生自由的学习的同时保证网络的安全是一项巨大的挑战。

　　Michael答：与儿童在一起工作是有益的，但是，这也是一个挑战。这类问题的答案是工作人员不断地面临一个熟悉技术又不怕突破障碍的学生用户群的挑战。这里的网络管理员面临一种严峻的环境，因为学生不像成人那样担心法律责任(如失去工作等)。管理员还需要应付有限的预算问题以及没有高级计算机技能的员工的问题。

　　我这里最佳的答案是使用最低权限的原则。这个概念是雇员或者用户只有在他们需要完成分配给他们的任务的时候才有权访问应用程序或者使用资源。如果这个学校是微软的环境，管理员可以使用组策略锁定系统，这样，只能执行一些获得批准的必要活动。如果有必要的话，组策略能够把PC锁定到它不能关闭的一个点。组策略提供许多设置选项，可以根据具体用户的需求和计算机使用的领域使用这些设置选项。

　　对于使用多种操作系统环境的学校来说，或设使用Novell环境的学校来说，防止计算机系统被修改或者防止使用非授权软件的工具也是有价值的。DeepFreeze就是这种工具软件的一个例子。DeepFreeze能够阻止用户对操作系统和应用程序进行永久性的修改。诸如Anti-Executable等其它程序提供了额外的保护功能，帮助限制这种程序的运行和安装。

　　另一个必须采取的步骤是教育和反应。学校应该采取措施反对学生黑客。突破学校的计算机系统是一种犯罪行为，并且要按照犯罪行为进行处理。许多学校正在通过重新评估学生的计算机道德十诫来解决这个问题，并且教育学生计算机犯罪可能遭受的处罚。随着更多的学校向学生提供笔记本电脑，安全教育将变得更加重要。其它能够帮助教师和管理员完成这个任务的资源还包括如下网站CyberCitizenship.org和Education World(教育世界)。

　　行业：金融/保险

　　威胁：决定在什么地方划线

　　技术解决方案经理Mark Woods说，据我观察，任何行业排在第一位的威胁是过分热心的内部数据安全团队。这些人不知道风险与确保安全的计算方法。如果按照他们的方法，他们会把全部硬盘数据全都檫掉以保证环境尽可能地安全。但是，这会给业务造成损失。他们以为自己最了解政策和设置，没有考虑广域网延迟或者实施的任何解决方案的弹性。

　　Michael答：

　　这类问题有趣的事情是在一些人似乎在有关“多大程度的安全是足够的和你如何找到平衡”的争论中站在反对派的一边。

　　要直接解决这个问题，我认为对每一个人都有帮助的事情是让机构进行一次正式的风险评估。这里是需要完成的项目列表。

　　首先是从目录开始并且编辑一个机构资产列表。如果你不知道这个机构有什么资产，你就没有办法保证这个机构的安全。

　　一旦完成这个列表，这家公司应该建立一个风险评估小组。这个小组应该检查所有现有的风险并且对可能影响这个机构的各种危险进行分类。这个小组应该检查飓风等自然灾害、恐怖袭击等人为的威胁以及设备故障等技术威胁。

　　下一步，这个风险小组可以开始考察这些应急事件的每一个事件的成本和发生事件的可能性。这可以使风险小组把高风险和高影响的担心放在列表的前面。这些计算可以通过质量或者数量的方式进行量化。Cramm和RiskWatch等功能可以帮助自动实现这个计算过程。

　　完成上述步骤之后，这个小组应该就什么是最大的风险以及应该采取什么合理的措施保证这些有价值的资产的安全达成一致的意见。总之，这个目标是平衡安全和可用性，在提供成功地完成任务所需要的访问信息的同时保证资源的安全。

　　行业：健康医疗
　
　　威胁：数据安全

　　Bill Woods说，最终用户安全是我们的最大挑战。我们的大多数最终用户在开放的地方都有工作站。同事或者过路的人都能够提取数据或者入侵这个网络。这包括最新发生的黑客入侵我们最近在我们园区的许多层楼中建立的无线网络。

　　Michael答：健康医疗行业明显的担心是数据安全。在这种情况下，最佳的起点是进行隐私影响分析。隐私影响分析的目的是查看通过商务流程处理的不同类型的个人信息。隐私影响分析应该确定在电子系统中收集、维护和发布个人信息的风险和影响。隐私影响分析还应该确保存在适当的隐私控制。应该检查现有的控制措施以验证拥有责任制度，每一次出现新的计划或者流程的时候都要建立遵守这个规定的制度。

　　隐私影响分析与三个项目有关：

　　1.技术。任何时候你增加新的系统或者进行改变，你都需要对这个技术进行评估。

　　2.流程。商务流程变化，即使你的公司可能拥有很好的改变政策，这种变化管理系统也许会忽略个人信息隐私。

　　3.人员。企业改变与他们做生意的雇员。商业合作伙伴、厂商或者服务提供商发生变化的任何时候，都需要重新检查这些变化对隐私的影响。这个问题在健康医疗行业是非常重要的，因为它们要遵守HIPAA(健康保险可移植性和责任法案)法。HIPAA法第1177款规定，如果这个犯法行为是以商业利益、获取个人收益或者恶意伤害为目的销售、转移或者使用个人可以识别的健康医疗信息，犯罪分子最多可被处罚25万美元罚金或者最多10年监禁，或者同时进行这两项处罚。这个处罚足以引起每一个人的注意。

　　行业：制造业/工程行业

　　威胁：内部人员的威胁

　　目前失业的前电信服务工人说：我们最严重的威胁是心怀不满的雇员。系统管理员拥有这个“王国的钥匙”。随着大量的裁员，有些人会离开，大多数是人的离开是违背他们的意愿的。这可能会引起灾难性的后果。

　　Michael答：企业通常仅担心外部的攻击者。这种想法并不是没有道理的。研究表明，内部人员实际上是最大的威胁。

　　这是以一个“MOM”原则为基础的。MOM的含义是：动机、机会和手段。内部人员拥有手段和机会实施内部攻击，而外部人员只有动机。还有一种说法，内部人员拥有实施攻击所需要的三件事情中的两件。解雇或者裁减员工队伍等事件将增强这种威胁。这确实是一个问题。

　　要解决这个问题，企业需要有一个良好的控制措施。这就意味着当雇员被雇用时，他们要签署一个可接受的使用政策协议。这样他们就知道哪些事情是允许做的，哪些事情是不允许做的。工作轮换或者强制休假等控制措施可用来增强安全。此外，应该向员工提供最低限度的访问权限。有趣的是，市场研究公司Gartner曾经报告称，访问速度慢时大多数企业的一个大问题。最后，当雇员离开公司时，包括密钥、徽章和物理访问在内的所有的访问条件都应该终止。仅仅使用一些控制手段就能够极大地提高这个机构的安全。

　　最后，我想说，这确实是一个有趣的竞赛。阅读比赛参加者的文章能够使人们更清楚地了解一件事：我们面临共同的挑战。这些发现强调了沟通的必要。与同一个行业和领域的人谈一谈是找到你的机构能够使用的最佳方法的一个好途径。你可以在每年召开的信息安全决策会议、RSA意义以及其它许多网络和安全会议上遇到这些人。感谢所有参加这次竞赛的人员，祝你们保持安全!