當乳臭未干的孩子們說“我不敢做”的時候，媽媽總會在第一時間說“沒事，沒有什么好擔心的”。系統(tǒng)管理員拿著一盒備份磁帶說“幾分鐘就能把所有備份搞定”，有時人們所聽到的第一句話總是正中下懷，不管這話到底在多大程度上是真的。信息安全也一樣，有些話乍聽起來使人非常放心，但是作為安全顧問來講，我發(fā)現(xiàn)這些通常令人放心的事情指的是內部信息資產(chǎn)和技術資源的保安工作，或者是那些與自己責任不大的問題。

“我們已經(jīng)形成了安全文化”

我經(jīng)常從一些這樣的企業(yè)里聽到這樣的話，這些企業(yè)開始很小，可能是家庭作坊，隨著經(jīng)營深入，然后眨眼間發(fā)現(xiàn)自己的公司已經(jīng)發(fā)展為上千人的大企業(yè)，但缺乏管理措施和執(zhí)行策略。報有這種想法的老板可以到安靜的咖啡屋，喝上一杯咖啡，仔細想想有多少工作要做。最簡單的，沒有指導意見、沒有反饋機制如何來建立安全，每個人對安全的理解都不同，還奢談什么文化，與其談“安全文化”還不如提倡“以身作則”文化。如果有規(guī)章制度的話，將其寫下來；如果有落實和監(jiān)督規(guī)章制度的相關技術的話，也將其寫下來；如果有人違反規(guī)章制度的話，嚴格查辦；如果規(guī)章制度阻礙了正常業(yè)務的開展，調整。就這么簡單。

“IT安全在我們這里就是信息安全”

信息安全不等于IT安全，假如信息安全這個術語和IT安全一個概念的話，那就意味著沒有人做基礎的非技術安全規(guī)定了，同時還會對多個部門的職責界定造成影響，IT、人力資源、法律、審計等部門都回造成混亂。將上述受影響的部門集合在一起，討論一下信息是否是公司的資產(chǎn)，就像計算機和資料文檔一樣�？紤]公司如何對員工的工作、物理接入以及信息對每個人授權，確定下來并形成一個組策略，并向領導請示盡快落實下來，這樣的話可能就有時間來考慮如何管理安全了，而不要總是紙上談兵。

要明確信息是公司資產(chǎn)的一部分，有時甚至是公司最大的資產(chǎn)。信息的價值要比IT軟硬件的價值高，這點一定要明確。

“這對老板不適用”

雖然在塞班斯法案實施后，這一問題有所好轉，但有時公司高管還是拒絕遵從自己親自批準的安全策略。除非你工作一絲不茍，并準備跟他杠上了，否則大多數(shù)人會選擇睜一只眼閉一只眼。領導至少應該在員工面前以身作則，回到自己辦公室該怎么樣還怎么樣不管，但要給員工帶好頭。如果還想通過塞班斯法案檢查的話，最好還是按規(guī)矩辦為好。

“我們的信息安全官在IT部”

不管名號怎么叫，IT部門的安全專家只能是安全管理員，即使這個人保有信息安全官的頭銜。這里面的問題是通常信息安全官的職責是確認各種安全措施是否能夠有效地防護信息安全。安全管理員通常是設計這些安全措施的技術負責人，因此自我審計自己的工作效果。這就是“既當運動員，又當裁判員”的問題。除了軍事單位，公司內信息安全官的職位應該高于IT主管。

“我們有密碼策略”

嚴格來講，規(guī)定密碼長度、復雜度的文檔是一份技術標準或操作指南，而不應該叫作策略。策略是業(yè)務指令的容器，例如“個人在被授權使用公司資產(chǎn)之前必須確認身份并授權”。注意策略是要做什么，而不是如何做。雖然在某些軟件廠商的努力下，概念上有些混淆，“組策略對象”根本就不是策略。然而，我不是吹毛求疵的人，不會抓住術語的叫法不放。重要的是該密碼標準（或者說策略）根本不符合真正的策略要求，以致于IT人員花大量時間對此進行控制，而不去管未授權使用的問題，真是舍本逐末。沒有好的操作指導和要求，做再多其它努力也是無用功。

“我們經(jīng)理擁有全部密碼”

雖然這是CISSP的初級錯誤，但現(xiàn)實中確實有一些經(jīng)理要求這樣做。美其名曰怕有人突然辭職或生病不能到公司，無法進行相關工作。我上一次遇到這樣的神人是在一個小的政府機構里，里面全是律師，本應該知道這是不對的。然而，當我碰到這樣的情況，我會毫不猶豫叫停。這樣對經(jīng)理說很有效：如果你這樣做的話，他們犯任何錯誤，你都有嫌疑；永遠也不得消停。想早點退休的話，那就這么干吧。

“Web應用只有在....，才....”

使用IE也可以安全的瀏覽網(wǎng)頁，自己開發(fā)的客戶端/服務器應用也可以放在互聯(lián)網(wǎng)上，但如果發(fā)現(xiàn)某個應用只針對客戶的某種配置，那就意味著安全考慮的還不夠。大多設計良好的Web應用是跨平臺的，并通過虛擬環(huán)境進行測試。發(fā)現(xiàn)設計不良的Web應用特別受人關注，因為Windows安全地帶對于正確設置瀏覽器的要求比較低，這通常是為了內部應用能夠正常工作。但是當用戶用于中了MySpace病毒，瀏覽了含有拉登惡意軟件的電子郵件會怎么樣呢？通常該應用會被貶的一無是處，這時候再到質量保障部測試那不是耽誤事嗎。

“X品牌是我們的標準”

我對某個品牌沒有任何成見，但是當一家大型企業(yè)的硬件采購人員說“我們的標準是Dell（或其它品牌）”，那這里面的真正意思是“我們將技術標準扔了吧，只考慮采購成本，廠商提供什么我就用什么”。這就像我姨媽逛街購物，只看打折信息，不看這東西到底有什么用，買它是因為“它降價75%”。但對于我姨媽和IT人來說，做決定時要注意幾點，選擇一家廠商的產(chǎn)品是可以的，試用一段，如果不合要求就果斷換掉。

一家廠商當然不可能代表技術標準，不做功課就會有問題，當廠商改變了產(chǎn)品線，尤其是對網(wǎng)絡和安全設備來說，功能是否還能達到要求。當顧客都不知道想要什么的時候，似乎一切都是需要的。

“這些是從哪來的”

對于那些高科技設備找廠家直接服務還可以理解，但IT部門應該負起應負的責任，IT部門的幫助臺電話跟有些廠商的800電話一樣難打。企業(yè)的安全策略不是只用來讀的，應該切切實實的落實下來。

“我們將防火墻規(guī)則發(fā)送給了...”

大多數(shù)網(wǎng)絡管理員對于上述泄露密碼給主管一事心知肚明，但有些竟然隨便將防火墻規(guī)則拷貝用電子郵件發(fā)送出去；更遭的是，有些竟然讓廠家或者自由顧問對防火墻進行配置。這些規(guī)則，如果足夠復雜的話，會暴露整個企業(yè)的網(wǎng)絡拓撲以及安全防范。沒有特別需要的話，沒有一個認真的安全專家會拷貝別人的防火墻規(guī)則，系統(tǒng)審計員會查看規(guī)則的變動情況。如果發(fā)現(xiàn)防火墻規(guī)則外泄了，那就準備重新規(guī)劃企業(yè)IP設計吧。

標簽： 安全 標準 電子郵件 防火墻 服務器 互聯(lián)網(wǎng) 企業(yè) 網(wǎng)絡 問題 信息安全 選擇 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。