教你快速的制定出一套有效单位安全方案
2008-12-20 13:43:41 来源:WEB开发网核心提示: 一个最大的困难或挑战是很少有安全专业人士深谙此道,很多单位从其它单位拷贝文档用于本单位,教你快速的制定出一套有效单位安全方案(2),虽然这些策略谈到了最佳的方法,但在实施技术控制时却离本单位的现实目标有相当大的差距,有一些策略可能会排除某些用户,这些排除部分不应当位于文档的主体部分而应当位
一个最大的困难或挑战是很少有安全专业人士深谙此道,很多单位从其它单位拷贝文档用于本单位,虽然这些策略谈到了最佳的方法,但在实施技术控制时却离本单位的现实目标有相当大的差距。
职权
这种策略应当得到高级管理部门或企业老总的授权,如果没有这种支持安全策略就无法实施,或将成为一纸空文。要清楚地阐明制定策略的原因,所有的人员都应当清楚不遵循安全要求的结果。
在没有得到认可的情况下增加安全要求将导致有关部门增加技术控制的预算。技术控制需要花钱,因此对于策略的认可是至关重要的。
框架
要知道,随着时间的推移,用户需要不断地增加策略,因为企业目标的改变,也需要考虑策略的采用问题,而用户的行为也会改变。使全体员工远离不安全的途径是我们应当考虑的主要问题,保护公司的信息资产至关重要。
将单位的预算牢记心头,要考虑到单位对技术控制的计划。如果策略建议了某种行为要求,但却没有技术来强化这种策略,那么用户将无法执行策略。
不要试图减轻全部可能的风险,安全策略应当清晰,应当让人看出应当做什么,不应当做什么。要在细节上下工夫,而不要轻描淡写。
一套全面的安全策略要求涉及到所有的业务单元,仔细地整理策略将有助于减少暴露的程度。一味地跟从其它单位的文档不利于排除安全风险。
一定要运用最少特权的规则。这会使得暴露的攻击面最小化,暴露得越少则风险越小。
要对策略的强制要求部分重点强调。如果你没有清楚地表明,那么用户们会感觉到这些东西是可选项而不是必选项。必要时对这些要求用专门的颜色强调,而对可选项部分可用斜体表述。
有一些策略可能会排除某些用户,这些排除部分不应当位于文档的主体部分而应当位于附录中,否则容易引起混淆。
更多精彩
赞助商链接