如何清除安全死角?
没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上,在确保业务信息的可用性、完整性以及机密性方面,各行各业的用户都面临或大或小的挑战。
随着安全威胁的与日俱增和日益复杂,越来越多的用户开始采取更主动的方法来实现信息安全: 将安全现状与确保业务连续性所需要的安全目标进行比较分析,以此确定存在的问题和不足,并积极采取有针对性的措施,从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。
明确业务要求
一项信息安全计划要想行之有效,就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。
在确定差距时,用户首先需要确定关键业务目标,然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来,用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。
细分评估过程
以业务需求分析作基础,接下来用户需要将企业当前的安全架构与信息安全计划的目标进行比较。这是一个费时、费力的过程。如果将人员、过程和技术评估细分到三个关键领域—战略、组件与管理,这个过程就会得到大大简化。
利用简单的评分方法对关键领域进行分级,可以使评估工作更加容易进行。例如,零分表示完全没有实现,1分表示部分实现,2分表示全面实现。不过,对于许多用户来说,确定评估标准才是问题的关键。
回答一些关键问题,可以帮助用户有效地确定评估标准和划分信息安全计划的等级。每个问题的答案都利用相同的评定标准进行打分,这样用户就可以确定需要改进的领域。
在评估有关人员要素的战略时,用户可以询问以下问题:是否以书面形式制定了信息安全战略,战略是否定期更新,是否涉及一致性检测或认证,公司将信息安全战略定性为被动的还是主动的。
在评估人员要素的组件时,用户可以询问以下问题: 是否拥有专职信息安全人员,是否由相应称职的人员来领导,是否有正在执行的培训计划等等。
在评估人员要素的管理问题时,可以通过以下问题来确定:是否定期向行政管理人员提交状况报告,行政管理人员是否拥有信息安全计划,信息安全计划是否可以强制执行等等。
在评估信息安全计划的过程与技术要素时,可以询问以下相关问题:信息安全过程和策略便于通过公司的内部网查看吗?安全过程组件部署到位了吗?(安全过程组件包括账户管理、安全意识、应急响应、安全漏洞扫描和可以接受的使用组件。)安全技术部署到位了吗?(安全技术包括防病毒软件、防火墙、安全漏洞管理和入侵检测系统。)
制订路线图与实施
一旦确定信息安全现状与理想状态的差距,用户就可以动手制订路线图,以弥补当前与未来信息安全计划之间的差距。利用从业务需求分析和差距分析中得到的信息,用户可以开发所希望的安全架构。
行之有效的路线图通常为弥补信息安全差距提供多种方案。路线图应当包括今后两年的战略计划以及更长远的计划。用户可以选择符合业务优先重点的路线。公司应当对进展情况进行密切监视,以确保改进持续进行,并不断得到管理层的支持。
通过确定关键业务需求、分析信息安全架构的当前状况、划定未来需要改进的领域以及为实现信息安全目标制定灵活的路线图,用户可以大大加强自己的安全优势。
随着保护信息资产的人员、过程和技术部署的到位,用户就拥有了确保信息保密性、完整性和可用性所需要的资源。
来源:CCW
- 1WLAN的标准协议和产品
- 2应用基础是SOA还是SOBA
- 3对数据网发展趋势的思考
- 4搞不清防线被突破的原因
- 5巧妙化解DDoS攻击
- 6如何选择自动补丁管理策略?
- 7协作区在泛普OA软件的应用
- 8防止黑客入侵ADSL的一些技巧
- 9小心拨号连接欺骗
- 10实施软件能力成熟度CMM的新思路
- 11十个Linux bash小技巧
- 12基于并行制造执行系统的工具管理
- 132006七大值得期待的技术
- 142005年网络十大融合看点
- 15IRP工具能做什么
- 16信息安全:IT安全团队的责任简析
- 17竭尽WAN网之利
- 18灾难恢复的关键步骤
- 19大型企业组网实战:山西煤矿瓦斯监控系统互联
- 20谁知道沈阳地区哪家的OA办公系统专业度和服务都比较好吗?
- 21用XML保存配置设定
- 22计算机与PLC集成控制系统
- 23泛普协同OA系统采用了开放的技术架构
- 24信息技术应用之Web服务最佳实践之路
- 25使用日志子系统保护Linux安全
- 26磁盘备份优劣谈
- 27ERP系统整合瓶颈之接口设计
- 28为统一威胁管理(UTM)设备验明正身
- 29华数集团第二个OA里程碑则是实现了系统集成
- 30《财富》:2005年全球技术发展八大趋势