如何清除安全死角？

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

    沒(méi)有幾家用戶(hù)敢說(shuō)自己擁有無(wú)懈可擊的信息安全計(jì)劃。事實(shí)上，在確保業(yè)務(wù)信息的可用性、完整性以及機(jī)密性方面，各行各業(yè)的用戶(hù)都面臨或大或小的挑戰(zhàn)。


    隨著安全威脅的與日俱增和日益復(fù)雜，越來(lái)越多的用戶(hù)開(kāi)始采取更主動(dòng)的方法來(lái)實(shí)現(xiàn)信息安全: 將安全現(xiàn)狀與確保業(yè)務(wù)連續(xù)性所需要的安全目標(biāo)進(jìn)行比較分析，以此確定存在的問(wèn)題和不足，并積極采取有針對(duì)性的措施，從而向創(chuàng)建和實(shí)現(xiàn)保護(hù)關(guān)鍵資產(chǎn)所需的可靠架構(gòu)邁出重要一步。

    明確業(yè)務(wù)要求

    一項(xiàng)信息安全計(jì)劃要想行之有效，就必須充分考慮人員、過(guò)程和技術(shù)三要素。因此用戶(hù)在確定存在安全差距時(shí)同樣需要考慮這些要素。

    在確定差距時(shí)，用戶(hù)首先需要確定關(guān)鍵業(yè)務(wù)目標(biāo)，然后概括出實(shí)現(xiàn)這些業(yè)務(wù)目標(biāo)所需要的安全條件。這些業(yè)務(wù)目標(biāo)和要求將成為企業(yè)制訂信息安全計(jì)劃的基準(zhǔn)。接下來(lái)，用戶(hù)需要確定公司的長(zhǎng)期戰(zhàn)略目標(biāo)、業(yè)務(wù)環(huán)境可能發(fā)生的變化、高優(yōu)先級(jí)的安全問(wèn)題以及其他戰(zhàn)略戰(zhàn)術(shù)問(wèn)題。

    細(xì)分評(píng)估過(guò)程

    以業(yè)務(wù)需求分析作基礎(chǔ)，接下來(lái)用戶(hù)需要將企業(yè)當(dāng)前的安全架構(gòu)與信息安全計(jì)劃的目標(biāo)進(jìn)行比較。這是一個(gè)費(fèi)時(shí)、費(fèi)力的過(guò)程。如果將人員、過(guò)程和技術(shù)評(píng)估細(xì)分到三個(gè)關(guān)鍵領(lǐng)域—戰(zhàn)略、組件與管理，這個(gè)過(guò)程就會(huì)得到大大簡(jiǎn)化。

    利用簡(jiǎn)單的評(píng)分方法對(duì)關(guān)鍵領(lǐng)域進(jìn)行分級(jí)，可以使評(píng)估工作更加容易進(jìn)行。例如，零分表示完全沒(méi)有實(shí)現(xiàn)，1分表示部分實(shí)現(xiàn)，2分表示全面實(shí)現(xiàn)。不過(guò)，對(duì)于許多用戶(hù)來(lái)說(shuō)，確定評(píng)估標(biāo)準(zhǔn)才是問(wèn)題的關(guān)鍵。

    回答一些關(guān)鍵問(wèn)題，可以幫助用戶(hù)有效地確定評(píng)估標(biāo)準(zhǔn)和劃分信息安全計(jì)劃的等級(jí)。每個(gè)問(wèn)題的答案都利用相同的評(píng)定標(biāo)準(zhǔn)進(jìn)行打分，這樣用戶(hù)就可以確定需要改進(jìn)的領(lǐng)域。

    在評(píng)估有關(guān)人員要素的戰(zhàn)略時(shí)，用戶(hù)可以詢(xún)問(wèn)以下問(wèn)題：是否以書(shū)面形式制定了信息安全戰(zhàn)略，戰(zhàn)略是否定期更新，是否涉及一致性檢測(cè)或認(rèn)證，公司將信息安全戰(zhàn)略定性為被動(dòng)的還是主動(dòng)的。

    在評(píng)估人員要素的組件時(shí)，用戶(hù)可以詢(xún)問(wèn)以下問(wèn)題: 是否擁有專(zhuān)職信息安全人員，是否由相應(yīng)稱(chēng)職的人員來(lái)領(lǐng)導(dǎo)，是否有正在執(zhí)行的培訓(xùn)計(jì)劃等等。

    在評(píng)估人員要素的管理問(wèn)題時(shí)，可以通過(guò)以下問(wèn)題來(lái)確定：是否定期向行政管理人員提交狀況報(bào)告，行政管理人員是否擁有信息安全計(jì)劃，信息安全計(jì)劃是否可以強(qiáng)制執(zhí)行等等。

    在評(píng)估信息安全計(jì)劃的過(guò)程與技術(shù)要素時(shí)，可以詢(xún)問(wèn)以下相關(guān)問(wèn)題：信息安全過(guò)程和策略便于通過(guò)公司的內(nèi)部網(wǎng)查看嗎？安全過(guò)程組件部署到位了嗎？（安全過(guò)程組件包括賬戶(hù)管理、安全意識(shí)、應(yīng)急響應(yīng)、安全漏洞掃描和可以接受的使用組件。）安全技術(shù)部署到位了嗎？（安全技術(shù)包括防病毒軟件、防火墻、安全漏洞管理和入侵檢測(cè)系統(tǒng)。）

    制訂路線(xiàn)圖與實(shí)施

    一旦確定信息安全現(xiàn)狀與理想狀態(tài)的差距，用戶(hù)就可以動(dòng)手制訂路線(xiàn)圖，以彌補(bǔ)當(dāng)前與未來(lái)信息安全計(jì)劃之間的差距。利用從業(yè)務(wù)需求分析和差距分析中得到的信息，用戶(hù)可以開(kāi)發(fā)所希望的安全架構(gòu)。

    行之有效的路線(xiàn)圖通常為彌補(bǔ)信息安全差距提供多種方案。路線(xiàn)圖應(yīng)當(dāng)包括今后兩年的戰(zhàn)略計(jì)劃以及更長(zhǎng)遠(yuǎn)的計(jì)劃。用戶(hù)可以選擇符合業(yè)務(wù)優(yōu)先重點(diǎn)的路線(xiàn)。公司應(yīng)當(dāng)對(duì)進(jìn)展情況進(jìn)行密切監(jiān)視，以確保改進(jìn)持續(xù)進(jìn)行，并不斷得到管理層的支持。

    通過(guò)確定關(guān)鍵業(yè)務(wù)需求、分析信息安全架構(gòu)的當(dāng)前狀況、劃定未來(lái)需要改進(jìn)的領(lǐng)域以及為實(shí)現(xiàn)信息安全目標(biāo)制定靈活的路線(xiàn)圖，用戶(hù)可以大大加強(qiáng)自己的安全優(yōu)勢(shì)。

    隨著保護(hù)信息資產(chǎn)的人員、過(guò)程和技術(shù)部署的到位，用戶(hù)就擁有了確保信息保密性、完整性和可用性所需要的資源。

    來(lái)源：CCW