教你從容應對網絡安全威脅 續
管理短視是網絡安全最大隱憂
短視,可能是很多CIO最不愿意承認,卻總是會造成致命打擊。病毒一下子讓企業網絡處于癱瘓狀態,造成的直接經濟損失規模大的驚人。可令人費解的是,眾多企業寧可花大把的錢購買服務器、交換機、防火墻,卻很少愿意去加強企業網絡的管理安全措施。對于一個信息化的企業來說,網絡信息安全不僅僅是一個技術問題,也是一個管理問題。在很多病毒或安全漏洞出現不久,通常就會有相應的殺毒程序或者軟件補丁出現,但為什么還會讓熊貓這樣的病毒肆虐呢?
歸根結底還是因為很多企業沒有養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。保證網絡系統安全的第一步,首先要做到重視安全管理,不要“坐以待斃”。防火墻等設備就如網絡上的一把鎖,它控制著訪問網絡的權限,只允許特許用戶進出網絡。當然也不僅僅是在網絡設置防火墻,為了最有效地滿足網絡安全需求,還需要其它技術,如用戶驗證、虛擬專用網和入侵檢測。但更重要的是從管理和技術兩個角度結合起來推進網絡安全工作。
(1)網絡安全管理體系
隨著企業信息化建設的展開,網絡安全成為不得不面臨的嚴峻問題。安全體系的建立其實涉及到了管理和技術兩個層面,而管理層面的體系建設是首當其沖的。技術上的建設和加強只是網絡安全的一方面,而且單純的實現技術不是目的,技術只是圍繞企業具體的工作業務來開展應用。保障業務流程的網絡安全,從而進一步促進 IT在企業應用層面的拓展,這才我們應用安全技術最根本的目的。因此,“抓管理還是上技術”的最終定格為“三分技術、七分管理”,構建一個健全的網絡安全管理體系是擺在企業面前的重要一環。
從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等等,新技術層出不窮,單純依靠技術和產品保障企業信息安全雖然起到了一定效果,但是復雜多變的安全威脅和隱患靠產品難以消除。我們認為:“企業要把網絡安全提升到管理的高度上實施,然后落實到技術層次上做好保障。”
網絡安全管理體系應該如何架構?BS7799安全管理體系標準無疑是一個很好的幫助。它最早由英國商務部推動,由BSI將其發展成為標準。BS7799共分兩部分,第一部分是信息安全管理實踐指南,第二部分是信息安全管理體系規范。換言之,第二部分告訴我們應該做什么,第一部分則提供了一些如何做或者好做法的指導。
(2)網絡行為規范化管理
網絡行為的根本立足點,不是對設備的保護,也不是對數據的看守,而是規范企業員工網絡行為,這已經上升到了對人的管理的階段,通過技術設備和規章制度的結合來指導、規范員工正確使用單位的網絡資源。
網絡安全的根本政策,一定要包含內部的安全管理規范。許多企業花大成本買最好的防火墻,黑客或是熟悉該企業網絡環境的離職員工,還是有辦法繞過從墻外進來,這是因為沒有一套軟件可以在沒有網絡安全管理策略之下發揮作用。防火墻、防毒墻都是提供服務的工具之一,人,才是網絡安全最大的關鍵。CIO必須為網絡安全建立一套監督與使用的管理程序,并且徹底實行。
(3)安全意識最重要
面對不斷襲來的安全威脅,除了購買安全產品以外,我們還應該做些什么呢?這里需要指出:“安全意識最重要”。
安全設施的建立只是企業信息安全的第一步,如何在安全體系中有效徹底的貫徹安全制度,以及不斷深化全員安全意識才是關鍵所在。光依靠技術不能完全解決安全問題,因為過了一段時間,一些先進的技術可能就過時了,所以CIO應該有安全意識,重視自己企業的安全措施。加強安全意識的培訓,首先要集團的領導認識到網絡安全問題,另外也要對技術人員加強培訓,統一認識。
這些安全措施包括,培養員工的安全意識,養成良好的上網習慣,比如及時打好系統補丁、不要瀏覽不良網站、不隨意下載安裝來歷不明的軟件等等;對相關的技術管理人員進行技能培訓,對于重要數據一定要做好數據備份,否則會導致災難性的后果。
其它確保網絡安全的有效措施
現在網絡安全可以說是關系到企業命運的大事,不管愿意不愿意CIO其中的一個職責就是要保證網絡安全。如果公司的信息系統脆弱不堪,CIO必須對此負責。那么,CIO應該制定什么措施來履行這個職責呢?
(1)明確崗位職責,保障網絡安全
CIO重要責任之一是保障本公司網絡的安全、完整與可用性。這項工作不能外包出去,也責無旁貸,因此要在崗位職能上明確規定。CIO要有特許權,只要檢測到網絡安全違反行為,就要收集、分析與調查事件。例如職責上明確規定負責安全協調,確保影響網絡安全的職能是集成在業務流程過程中而不是獨立的任務。同時要進行評估網絡安全受到危及或有受到危及之嫌的每一個事件,并把網絡安全的質量、健全性和可靠性通知和報告高層管理人員。此外,CIO還應該指導開發人員,確保網絡安全成為IT系統設計不可或缺的一部分。
(2)力爭在網絡安全投入足夠預算
CIO要力爭并確保足夠資金投資于IT系統的安全項目。密切關注公司要為網絡安全劃撥一定金額的預算,以承擔安全成本,例如防病毒軟件、防火墻服務器、加密軟件、入侵檢測系統、集中安全管理等成本。公司高層主管有時會認為CIO對網絡安全過于大驚小怪。但CIO要清醒認識到:“至關重要的計算機設施出現安全問題造成嚴重損害的故障只是個時間問題。對于網絡安全,生于憂患,死于安樂的意識并不是傳說中的事情,擔憂有人對公司的網絡構成危害的心態,并非總是基于想象中的恐懼。如果你想到有競爭對手希望你公司遭到危害,那么謹小慎微對生存而言也許絕對必要。
(3)定期進行網絡安全檢討會議
網絡安全目標明確了之后,CIO應當就網絡安全問題定期地舉行檢討會議。一旦安全會議檢查到現有的業務運作存在網絡安全問題,或評估以往安全措施的執行情況存在問題時,CIO就需要設立一個解決網絡安全的時間框架。每月進行安全討論聽上去好像很多,尤其當公司各安全團隊是散布在不同的地區,但是CIO從中所獲得的回報是在當月接下來的日子中可以確保公司網絡安全,以確保公司業務能處理日常工作。
網絡安全的更多內容請閱讀:教你從容應對網絡安全威脅
【編輯推薦】
