計世獨家：謹(jǐn)防安全策略五大基本錯誤

申請免費試用、咨詢電話：400-8352-114

【計世獨家】企業(yè)在編寫及實施安全策略時，通常會犯以下五個基本錯誤。

安全策略旨在提供三大作用：一是保護(hù)數(shù)據(jù)、客戶、員工和技術(shù)系統(tǒng)；二是定義公司在安全方面的立場；三是盡量減小公司內(nèi)外的風(fēng)險，并且萬一出現(xiàn)泄密后，盡量減小給公眾留下的不利影響。制訂及發(fā)布安全策略不僅僅是個好主意，美國的有關(guān)法律還規(guī)定公司必須這么做，這些法規(guī)包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI）、《健康保險可攜性及責(zé)任性法案》（HIPAA）以及《聯(lián)邦信息安全管理法案》（FISMA）等。

但企業(yè)在編寫及實施安全策略時，通常會犯以下五個基本錯誤。盡管其中一些錯誤聽上去很可笑，但它們還是會頻頻發(fā)生，這會給許多企業(yè)帶來重大影響。

錯誤一

沒有制訂安全策略

這是一個最大的基本錯誤。實際情況是，很多企業(yè)根本沒有任何安全策略，有的只是制訂了“含蓄策略”——所謂的“含蓄策略”指雖然經(jīng)過管理班子的正式討論，但是沒有正式成文，也沒有發(fā)布給任何人。

這種粗心大意的做法不但留下了安全弱點，企業(yè)還有可能違反了法律要求，因為有些法規(guī)明確要求公司合理編寫及發(fā)布安全策略。

當(dāng)然，一旦策略正式制訂完畢，企業(yè)常常會發(fā)現(xiàn)自己的系統(tǒng)在很多地方都違反了策略。這沒有什么好奇怪的，這表明安全策略并不是完全圍繞當(dāng)前的IT運營標(biāo)準(zhǔn)來制訂的。這就意味著，除了安全策略外，公司還必須把當(dāng)前系統(tǒng)存在的缺陷記入文檔，并且評估改正這些缺陷以便讓系統(tǒng)符合新策略要求所需的成本。

錯誤二

沒有更新安全策略

假設(shè)你沒有犯前面第一個錯誤，就要留意這個關(guān)鍵的第二點了：單單擁有精心編寫的安全策略還不足以改善安全狀況。

公司網(wǎng)絡(luò)和業(yè)務(wù)流程將來會出現(xiàn)一些變動，這是不可避免的。安全風(fēng)險和法規(guī)遵從要求也會發(fā)生變化。所以，隨著安全威脅和企業(yè)環(huán)境不斷變化，安全策略也要隨之變化。

更新安全策略的理由有：部署了新技術(shù)（或者處置過期的軟件或硬件）；出現(xiàn)新的法規(guī)要求或者法規(guī)要求內(nèi)容有所更新；公司不斷發(fā)展；企業(yè)合并或重組給系統(tǒng)帶來了新的數(shù)據(jù)和用戶；出現(xiàn)了新的業(yè)務(wù)系列或者商業(yè)慣例……實際上，只要公司安全策略保護(hù)的各環(huán)節(jié)出現(xiàn)了任何變化，都要更新安全策略。

如果出現(xiàn)諸如此類的變化后，公司卻沒有定期評估及更新安全策略，它們的威脅狀況就有可能出現(xiàn)門戶大開的情況，成了安全方面容易遭到攻擊的對象；就算擁有“全新”的安全策略文檔，也是如此。

錯誤三

沒有跟蹤執(zhí)行情況

如果你已經(jīng)落實了安全策略，并且定期更新了策略，這表明你已往理想的安全策略邁出了重要的兩步。但你還是會犯其他錯誤！

如果公司沒有跟蹤安全策略是否得到了執(zhí)行，甚至沒有跟蹤員工是不是意識到策略規(guī)定的條文，那么安全策略實際上是沒有用的，有時甚至從法律上來說是沒有用的。首先，為了能執(zhí)行安全策略，企業(yè)必須確保安全策略發(fā)布給了所有員工，并且定期進(jìn)行安全意識培訓(xùn)，特別是在策略加以更新的時候。另外為了確保策略的實用性，日常的監(jiān)控活動必不可少。

通過日志恐怕是跟蹤安全策略執(zhí)行情況最有效的方法。搜集和分析日志數(shù)據(jù)將有助于了解IT環(huán)境中出現(xiàn)的情況。如果一名員工把與工作有關(guān)的電子郵件發(fā)送到個人賬戶，或者試圖訪問不在權(quán)限范圍之內(nèi)的數(shù)據(jù)，或者企業(yè)外面的黑客屢次企圖登錄企業(yè)服務(wù)器，但都未得逞……這些事件都會一一被記錄到日志中。通過日志跟蹤用戶和系統(tǒng)的活動，并將這些數(shù)據(jù)與安全策略規(guī)定的條文進(jìn)行對比，這才是客觀地評估日常安全策略執(zhí)行情況的最佳方法。