這幾年不管是審計員、監察主管還是IT經理都在說：要完善安全政策，減少信息風險。雖然這些話都是老生常談了，但安全政策管理實施起來很簡單，而且大多數企業都能實現。拿商業活動來舉例，從中你可能會找到關于基本的密碼、數據備份和電腦使用的條例。看上去似乎都沒有問題。但是這些政策通常不涉及Linux安全。為什么會出現這種情況呢？

當管理層不把注意力放在信息安全上時，人們大多會產生“安全政策只要覆蓋多數操作系統就可以了”的觀點，這就導致了Linux安全政策的疏忽。這種觀點都是建立在以下想法：“我們的關鍵商務程序——電子郵件服務器、金融系統和網站都在Windows上運行，而且我們的安全政策涵蓋了這些系統。這些就是我們審查的內容。我們要Linux做什么呢？”

管理層要為此負部分責任，因為他們沒有對此進行管理，也沒有說明自己和他人在信息風險最小化中的責任。但是網絡管理員和Linux管理員也有一定的責任：他們創建自己的系統——或用作測試或用作產品——卻不告之他人。這些系統通常都不在安全監管的范圍之內。這就是循環的開始。

當Linux安全成為問題時

這個循環看似不是問題，但實際上不是這樣的?？紤]以下的現象：

網絡管理員和開發人員使用的都是裝有Linux系統的筆記本電腦，他們的加密硬盤里都存儲涉及知識產權的敏感信息和客戶數據：當原代碼公開或數據外泄時會怎么樣呢？

企業電子商務系統中的Linux應用程序服務器沒有對一些常見攻擊進行防御，更沒有對安全漏洞進行測試：一個脆弱的密碼系統可以導致未授權訪問或者OpenSSL的非最新版受到拒絕服務攻擊，從而導致很長的故障期，這該怎么辦呢？

當用于保護網絡免受攻擊的Linux防火墻和網絡監控系統被非監管人員或無責任心的人員任意修改時：當防火墻規則被“稍稍”修改以致網絡訪問切斷，或者發生信息泄露，調查卻發現審計日志丟失時又會怎么樣呢？

筆者經?？吹竭@些情況發生在Linux系統中。不管出于什么原因，這些系統通常都徘徊在重要的安全政策之外，這時我們不希望的情況就出現了。這些問題對各種商業活動都會產生巨大影響?，F在談的不僅是安全政策管理的最佳實施情況，而且是不斷增加的電腦信息泄露、身份盜取和與規則遵從相關的法律案件。

Linux安全政策管理的必要性

Linux系統是所有商業網絡的一部分，應該得到與其它系統同樣的安全政策和安全監管。一些系統過去沒有審計或證明出存在漏洞并不代表它們的安全就不重要。我們退一步看看自己的信息安全政策，這些安全政策的存在并不代表它們就涵蓋了所有正確的領域，也不代表它們是健康、合理的。一個良好的安全政策管理驗證程序首先應該明白哪些信息系統存在風險（包括Linux系統）。基于這些危險和漏洞，然后決定哪個系統和商業領域需要哪種政策。接著為你的安全政策文件開發一個正式模板，以保證它們的一致性，這樣在引用時會很方便，理解起來也很簡單。

最后，周期性地檢查有沒有新的風險和監管政策。不僅要檢查Windows或者其它經常使用的系統，而是檢查所有的系統。所有的這些僅需對一個看似安全卻可能出現問題的Linux系統進行安全監管。