2007年实现网络安全要注意的七项举措

【原创翻译，版权所有，如欲转载，请注明原创翻译作者，及文章出处（赛迪网）。违者，赛迪网将保留追究其法律责任的权利！】

我们时刻都面临着网络安全问题，每天都要防止恶意邮件的入侵，还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外，还要考虑各种各样来自内部的威胁，比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。

面对如此压力，我们应该采取什么样的举措才能让2007年成为安全的一年？我们要防止重蹈过去的覆辙，不能把时间浪费在处理病毒泛滥带来的可怕后果上，不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。

在这里我不会深入介绍近来在网络安全领域中的一些概念，比如“unified threat management”或者“network admission control”，这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如，我认为加密解密的应用是一项重要的举措，而不是把它当作一种工具来进行介绍。我只是介绍这种措施，相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具，无论是商业工具还是开源工具都很多。

下面是我所列出的七项举措，按照重要的程度进行排列。
1) 制定实施企业安全政策
2) 开展安全意识培训
3) 经常开展信息安全自我评估
4) 进行有规律的公司自我评估
5) 在全公司范围能应用加密解密技术
6) 估计、保护、管理和跟踪所有公司资产
7) 考察和测试公司业务连续性和应急规划

上面列出的这些举措并不是全部，还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除，如果你一一实施了这七项措施，那么很快就能看见自己的系统在网络中安全性的提高。

下面对这七项举措进行详细地说明。

1) 制定实施企业安全政策

如果你的公司目前还没有任何安全政策，那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用，大多数这样的模式都是免费的，部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和ISO

27001/17799模式。前者是应用于电子商务领域的PCI模式，后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的开端，只要当你开始使用这些模式，但是很快你就会发现自己需要对它们进行具体化，扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而言，公司中的大部分都不是信息安全方面的专家，因此需要制定一套通俗易懂的政策，这些政策要考虑到公司中每一个部门的具体情况，而且要让所有人都可以理解和执行。例如，如果是对于IT公司来说，把标准模式具体化，需要你的CIO来协助制定一套网络安全政策。

如果觉得这些标准的模式对于你而言太纷繁复杂了，那么可以考虑从公司已有的安全政策开始。但是有一个原则，那就是这个政策必须覆盖所有可能的行为，哪怕刚开始的时候这些政策总共只有一页纸的内容，那么作为大纲它也必须包含基本的规则，让所有的行为都有所依据。基本的规则需要包括类似于权限控制，密码管理，灾备恢复等等。举个例子，你必须有一条政策来说明在突然事故中如何备份商业数据和客户私人数据，如何为系统建立镜像等等。

制定了安全政策之后还需要做哪些工作呢？你还需要同政策的执行者一起考虑这样的问题，就是如果有人违反了这些政策该怎么办？违反安全政策的行为是恶意的吗？例如，政策中规定数据库中数据是只允许察看的，如果有一个员工违反了这个政策，把数据库中的记载雇员情况的数据拷贝出来，并且张贴在公共网站上。如果遇到这样的问题，你该怎么办？事实上类似这样事件的发生，并不一定是源于恶意的泄漏机密，而是源自政策制定的不完整，没有让所有员工都了解这一政策，或者是没有明确地规定违反政策所应该采取的措施。你应该让所有的员工都了解这一政策并且明确规定违反这一政策的后果。

2) 开展安全意识培训

我们无数次地看见这样的事情，很多内部员工在不知情的情况下受到网络上其他人的攻击，比如网络钓鱼等，由此导致了公司内部数据的泄漏。比如一些员工喜欢浏览各种新闻网页，或者使用即时消息工具聊天，他们都有可能成为受到攻击的目标。他们可能不了解密码的设置需要注意些什么，不知道为什么不能打开未知地址发来的邮件中的附件。你需要对公司员工进行这方面的培训，指导他们正确使用公司的资源，保护公司的信息安全。

进行专门的课程培训，让这些培训在轻松的环境下进行。结合实际情况介绍一些安全常识。比如，向他们介绍在使用即时通信工具的时候应该注意些什么。或者当你在做邮件日志记录的时候往往需要按照一定的规范进行，这时候告诉员工们你都做了些什么样的工作，以及为什么要这样做。通过一些现实的例子来告诉他们在紧急情况下应该怎么办。让员工们理解为什么要求定期更换自己的密码，为什么不能把自己的密码写在便笺纸上。

整理出一套常见的问题解答，同时采取其他一些奖励措施，让员工们时刻保持对信息安全的兴趣，长此以往，能让员工们在日常的工作中养成良好的遵守安全政策的习惯。这是我们的真正目标。

目前有很多进行专门安全意识培训的公司，他们往往可以提供一些免费的资料，介绍了他们可以提供的培训的内容。另外还有一些安全手册一类的海报或者小卡片，可以随意贴在办公桌前，营造一个能时刻提醒员工信息安全重要性的环境。

3) 经常开展信息安全自我评估

你最近一次检查防火墙和入侵防御系统（IPS）的补丁和更新是否完成是在什么时候？

大多数的入侵防御系统都可以自动更新，但是至少你要检查系统地这项功能是被激活的。你是否检查了是否存在入侵网络的无线设备？每天有多少笔记本电脑会进出于公司？这些移动设备是否都使用了防火墙是否更新了病毒库？等等。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有