实现自我安全检查机制之十步走战略

过去10年网络应用的爆炸式发展使得大到世界500强企业小致几人的企业都拥有了某种程度上的IT因素。

　　每一家企业都有自己宝贵的IT资产，诸如计算机，网络和数据。要实现对这些资产的保护需要大小企业都拥有自己独立的安全审查机制，这样就可以及时发现企业面临的安全问题以及如何应对风险。

　　以下10条建议将告诉你如何实现最基本的IT检查。虽然这些建议没有专业人士所做的那样广泛，但是让你在保护安全之路上起步了。

　　1. 构建安全审查的范围：列举资产清单和安全范围

　　安全审查的第一步就是列出计算机资产清单，然后我们才知道那些需要保护。列举有形资产的清单很简单，譬如计算机，服务器，文件夹。但是无形资产的清单就不是那么容易的事情了。为了保证列举的无形资产清单的连续性，安全审查范围是很有用的。

　　什么是安全审查范围

　　安全审查范围既是一个实体上的和概念上的界限，安全审查关注的只是界限之内的东西，界限之外的事情与安全审查无关。当然决定最终安全审查范围的是你自己，但是一般来说，安全范围应该是最小的界限，只是包含那些控制你企业安全必须的资产。

　　需要考虑的资产

　　一旦你决定了安全范围，接下来就要完善资产清单。我们要考虑所有潜在的资产并且决定那些资产是否应该包含在安全范围之内。一般来说，以下资产是必须列入清单的：

　　1. 台式机和笔记本

　　2. 路由器和网络工具

　　3. 打印机

　　4. 视频，不管是数码的或是类似的东西，还有含有公司敏感数据的照片

　　5. 销售数据，顾客信息数据，还有员工信息数据

　　6. 公司智能电话和掌上电脑

　　7. VoIP电话，IP PBX(private branch (telephone) exchange 专用分组交换机)以及相关的服务器

　　8. VoIP或是普通电话的通话记录

　　9. 电子邮件

　　10. 员工日常工作安排和活动的日志

　　11. 网页，特别是那些对用户信息请求的信息还有由网络脚本支持的对数据库访问的请求

　　12. 网络服务器

　　13. 监控视频

　　14. 员工出入证

　　15. 访问点(譬如门禁系统的扫描仪)

　　这一清单没有穷举所有的资产，你还要再三思考以下那些数据还没有包含进去。列举的资产清单越详细越好，这样将有助于你更加准确认识到那台计算机面临风险。

　　2. 建立“危险清单”

　　仅仅知道资产还不足以实现保护，还需要它们面临那些危险。这一步主要是列举一个你现阶段可能面临的一些风险。

　　应该包含哪些风险?

　　如果你的危险清单过于泛化，那么你就应该特别注意那些细枝末节的安全问题。当你决定那些风险应该包含在清单的时候，应该根据比例尺测试一下。例如，如果你考虑飓风是否会影响到你的服务器的时候，你因该对两方面加以考虑，尽管风险很小，但是一旦发生风险将是致命的。如果风险达到足以影响到你的企业的话，不管风险多么小都应该列入清单之中。

　　一般的“风险”包括哪些?

　　以下这些司空见惯的风险在你构建风险清单的时候可以作为参考：

　　1. 计算机和网络密码。是不是有一个日志中包含所有人的密码?ACL(Access Control List 有效服务列表)清单的安全程度如何?现在使用的密码时候足够安全?

　　2. 实体资产。台式机和笔记本是否会被来访者或是员工带出工作场所?

　　3. 实体资产的记录。它们是否存在?是否备份?

　　4. 数据备份。哪些虚拟资产需要备份，怎么样备份，放在哪，谁来管理备份?

　　5. 网络访问日志。每当有人访问数据的时候，这一访问是否被记录，谁，什么时间，什么地点等等。

　　6. 对敏感顾客信息的访问，诸如，信用卡信息。谁可以访问?怎么样实现访问控制?公司之外的网络是否可以实现访问?

　　7. 客户清单访问。网站是否允许通过后门进入客户机数据库?是否会被劫持?

　　8. 长途拨号。长途拨号是否会被限制，或是所有的拨号都是免费的?是否应该被限制?

　　9. 电子邮件。垃圾邮件过滤器是否安排妥当?员工是否需要进行垃圾邮件和网络钓鱼邮件的教育?公司发出去的邮件是不是不应该包含某种形式的超链接?

　　3. 过期的检测和预测未来

　　在这一阶段，你需要编辑当下危险清单，但是那些还没有发现的风险怎么办呢，更或是那些还没有开发出来的危险呢?一个好的安全检查不仅仅是关乎现实，也需要预测未来风险。

　　以史为鉴

　　要想预测未来，首先需要了解过去受到危险的历史。许多风险在史上不断的重复出现，将过去的风险进行归类整理，将相关的风险列入你的风险清单之中，这样你对计算机漏洞会有一个更加全面的认识。

　　检查安全趋势

　　通过网络和各大安全门户网站了解时下流行的一些网络安全风险是大有裨益的。

　　协同作战

　　面对外部风险的时候，一些竞争对手常常成为对方最大的资产。与竞争对手构建良好的关系可帮助你对网络安全风险有一个全面的了解。要做到与对手实现安全威胁信息的共享。

　　4. 安全等级分级

　　现在你已经列出了关于企业面临风险的清单和需要保护的资产的清单。但是这些清单需要有一个轻重缓急之分。在这一步中，你需要确定那些风险是最大的，这样才能将好钢用在刀刃上。

　　使用风险评估和概率演算工具

　　风险越大，安全等级越高。计算风险的公式如下：

　　风险=可能性 乘以 危害性

　　这一公式就是说，将危害性和发生危险的可能性相乘之积。所得的结果就是企业面临的风险。

　　计算可能性

　　可能性就是指危险真正发生的可能性。遗憾的是，市面上没有哪本书教你如何计算网站遭到劫持的可能性，因此你得自己计算。

　　计算可能性的第一步就是对公司的历史威胁做一下系统的研究，包括对手的历史，以及其它公司面临的一些历史威胁分析。最终你会得出的一个估算的数字。一般说来，估计越准确，风险评估也就越精确。

　　计算危害

　　一旦威胁发生产生的威害有多大?计算威胁的潜在危害的方法有很多。你可以吧企业的收入损失和资产换算称货币。或是计算恢复正常状态花费的人工。不管是使用什么样的计算方法，有一点是肯定的，你必须借此找出那些最重要的安全要素。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有