衡量一家單位的安全性是不是從其是否擁有健全的UTM、防火墻等設(shè)備著手呢?答案是否定的,我們應(yīng)當(dāng)先考查其安全策略。
單位應(yīng)如何制定一套高效的安全策略
安全策略是一套可以影響單位人員行為的文檔資料、計(jì)劃或指南。安全策略很重要,原因在于它是任何一個(gè)單位的防火墻、UTM、IPS等系統(tǒng)的基礎(chǔ),或者說(shuō)任何其它設(shè)備或服務(wù)的安全規(guī)則、要求、規(guī)范等都是由該單位的總體安全策略所決定的。
何謂策略?策略是能夠創(chuàng)建出來(lái)用以增強(qiáng)特定規(guī)則或規(guī)范的某種形式的文檔資料,其目的是為了讓一個(gè)機(jī)構(gòu)按照要求的程序動(dòng)作。而一個(gè)單位的所有安全項(xiàng)目都是在安全策略的總體框架下制定出來(lái)的。可以這樣比方,安全策略如同骨架,而安全設(shè)備、安全軟件等安全系統(tǒng)就是覆蓋在其上的血肉。安全策略的設(shè)計(jì)目的是為了管理單位的資源,并有助于加強(qiáng)授權(quán)用戶和資源的安全性,防止資源被濫用。所以安全策略問(wèn)題是一個(gè)根本問(wèn)題。
安全策略的編制要與單位的目標(biāo)保持一致,并符合IT管理目標(biāo)的要求。而且安全策略并不能特立獨(dú)行,它需要支持文檔來(lái)指明一些指南和過(guò)程。這種文檔要定義所期望的用戶行為,所以需要清楚地寫明且不會(huì)產(chǎn)生歧義。要知道,一套策略的目的是為了影響全體用戶,規(guī)范其行為。一套編制優(yōu)良的安全策略可有助于應(yīng)對(duì)目前的安全挑戰(zhàn)。
單位面臨的挑戰(zhàn)
許多安全策略并沒(méi)有什么著落,這也就是說(shuō)如果策略遭受了損害,卻無(wú)法采取什么懲戒性的行動(dòng)。這主要是因?yàn)槿狈芾碇С帧K怨芾聿块T采取措施使得現(xiàn)有的安全策略文檔得以強(qiáng)化是很重要的。但首先要保證策略的可行性,即可以實(shí)施。我們經(jīng)常看到一些策略難以理解,也找不到相關(guān)的解釋。關(guān)鍵是編寫一種有著很好基礎(chǔ)的策略,要求它清楚易懂、可實(shí)施,便于閱讀。有些單位以一種不太現(xiàn)實(shí)的方式編制策略和管理控制,并不能真正地解決單位所面臨的挑戰(zhàn)。
一套有效的策略應(yīng)當(dāng)是簡(jiǎn)明扼要而意味深長(zhǎng)。相關(guān)文檔的生命周期應(yīng)當(dāng)在三到五年之內(nèi)甚至更短,而且需要每年都進(jìn)行檢查以確保其一致性,并與企業(yè)的戰(zhàn)略保持一致。
一個(gè)最大的困難或挑戰(zhàn)是很少有安全專業(yè)人士深諳此道,很多單位從其它單位拷貝文檔用于本單位,雖然這些策略談到了最佳的方法,但在實(shí)施技術(shù)控制時(shí)卻離本單位的現(xiàn)實(shí)目標(biāo)有相當(dāng)大的差距。
職權(quán)
這種策略應(yīng)當(dāng)?shù)玫礁呒?jí)管理部門或企業(yè)老總的授權(quán),如果沒(méi)有這種支持安全策略就無(wú)法實(shí)施,或?qū)⒊蔀橐患埧瘴摹R宄仃U明制定策略的原因,所有的人員都應(yīng)當(dāng)清楚不遵循安全要求的結(jié)果。
在沒(méi)有得到認(rèn)可的情況下增加安全要求將導(dǎo)致有關(guān)部門增加技術(shù)控制的預(yù)算。技術(shù)控制需要花錢,因此對(duì)于策略的認(rèn)可是至關(guān)重要的。
框架
要知道,隨著時(shí)間的推移,用戶需要不斷地增加策略,因?yàn)槠髽I(yè)目標(biāo)的改變,也需要考慮策略的采用問(wèn)題,而用戶的行為也會(huì)改變。使全體員工遠(yuǎn)離不安全的途徑是我們應(yīng)當(dāng)考慮的主要問(wèn)題,保護(hù)公司的信息資產(chǎn)至關(guān)重要。
將單位的預(yù)算牢記心頭,要考慮到單位對(duì)技術(shù)控制的計(jì)劃。如果策略建議了某種行為要求,但卻沒(méi)有技術(shù)來(lái)強(qiáng)化這種策略,那么用戶將無(wú)法執(zhí)行策略。
不要試圖減輕全部可能的風(fēng)險(xiǎn),安全策略應(yīng)當(dāng)清晰,應(yīng)當(dāng)讓人看出應(yīng)當(dāng)做什么,不應(yīng)當(dāng)做什么。要在細(xì)節(jié)上下工夫,而不要輕描淡寫。
一套全面的安全策略要求涉及到所有的業(yè)務(wù)單元,仔細(xì)地整理策略將有助于減少暴露的程度。一味地跟從其它單位的文檔不利于排除安全風(fēng)險(xiǎn)。
一定要運(yùn)用最少特權(quán)的規(guī)則。這會(huì)使得暴露的攻擊面最小化,暴露得越少則風(fēng)險(xiǎn)越小。
要對(duì)策略的強(qiáng)制要求部分重點(diǎn)強(qiáng)調(diào)。如果你沒(méi)有清楚地表明,那么用戶們會(huì)感覺(jué)到這些東西是可選項(xiàng)而不是必選項(xiàng)。必要時(shí)對(duì)這些要求用專門的顏色強(qiáng)調(diào),而對(duì)可選項(xiàng)部分可用斜體表述。
有一些策略可能會(huì)排除某些用戶,這些排除部分不應(yīng)當(dāng)位于文檔的主體部分而應(yīng)當(dāng)位于附錄中,否則容易引起混淆。
有的單位將安全策略分割為若干部分,這樣其不同部分就可以一種更有限制性的方式適用于不同的部門。這可能會(huì)極大地增加策略的復(fù)雜性,總體的安全策略也將會(huì)過(guò)于松散并會(huì)增加暴露程度。為此,最好將更多的細(xì)節(jié)交給每一個(gè)部門,,人力資源部門可在明確策略要素方面起到自己的作用。雖然不同的部門擁有不同的安全狀況,但這種方法適用于任何一家單位。
安全策略應(yīng)適合單位的實(shí)際情況,否則用戶們有可能對(duì)其掉以輕心。而且策略應(yīng)當(dāng)遵循法律法規(guī)和一致性要求,這會(huì)使得策略更有權(quán)威性。
策略應(yīng)當(dāng)適用于哪些人?
安全策略應(yīng)當(dāng)適用于單位所有機(jī)構(gòu)的任何用戶。其中也包括顧問(wèn)和外國(guó)的實(shí)體,而不管這些用戶是本地的還是遠(yuǎn)程的。沒(méi)有考慮到某個(gè)用戶將導(dǎo)致暴露公司資源的后果,因此在任何實(shí)體使用單位的設(shè)施之前都要保證其閱讀并同意了安全策略,這一點(diǎn)很重要。
技術(shù)控制
如今,反病毒、備份、內(nèi)容過(guò)濾、防火墻、端點(diǎn)加密、反惡意軟件工具等技術(shù)控制手段有很多。應(yīng)當(dāng)在安全策略中涉及到這些技術(shù)控制,并應(yīng)當(dāng)描述如何實(shí)施這些控制來(lái)保護(hù)單位的資源。破壞、刪除或變更這種控制的行為應(yīng)當(dāng)給以禁止。舉個(gè)例子,在筆者負(fù)責(zé)審計(jì)一家大型企業(yè)時(shí),發(fā)現(xiàn)一個(gè)安全損害是由于損害了某項(xiàng)技術(shù)控制措施引起的。這種策略如果不提及技術(shù)控制,也不清晰地表明用戶應(yīng)當(dāng)怎樣行動(dòng),它還有什么價(jià)值呢?
策略應(yīng)當(dāng)涉及到用戶個(gè)體應(yīng)當(dāng)如何處理單位的數(shù)據(jù),這包括以一種安全的方式存儲(chǔ)數(shù)據(jù)、傳輸數(shù)據(jù)、處理數(shù)據(jù)。
報(bào)告
對(duì)技術(shù)控制進(jìn)行報(bào)告也是很重要的,因?yàn)檫@會(huì)確保用戶了解哪些是違規(guī)的,也可以保障單位知曉風(fēng)險(xiǎn)和暴露程度。不了解用戶是如何暴露公司的資源等同于單位沒(méi)有安全策略。
小結(jié)
本文探討了在編制高效的安全策略時(shí)需要考慮的幾個(gè)問(wèn)題。應(yīng)當(dāng)指出,一個(gè)安全專業(yè)人士應(yīng)當(dāng)比較各種信息并編制其自己的安全策略。筆者期望本文對(duì)IT管理人員或安全管理人員有益。
