缘由:
作者今天读一本书,偶然看到了这样的一段话:
“经过20多年的快速发展,我国网络安全工作的理论和实践均取得了长足进步,但网络安全的现实问题和潜在风险仍与日俱增。只要将国内外的网络安全工作略作比较,就不难发现,我们在网络安全战略、理念、理论、技术以及产品研发、市场服务等方面,无论是引进消化,还是自主创新,甚至综合集成,均有不俗的表现,与西方的差距越来越小,唯有在网络安全工作务实上,与国外的差距较大,究其原因,安全策略的缺失乃是最大症结所在。所谓安全策略,即根据国家的相关政策法规,依据行业规范和技术标准,针对本单位的特定安全目标和要求,研究制定具体的安全要求 、职责分工及工作举措”。
作者对上述的观点完全赞同,并且在以往的文章中也提及过“安全策略”对于网络安全工作的重要意义。安全三分靠技术、七分靠管理,而安全策略恰恰是管理中最核心的环节。也许是因为我们重“情”的文化属性,隶属“理”属性的安全策略关注的要少一些,才有了我们与国外上述的差距。不过这也没啥,认识差距就是最好的开始,只要知道安全策略的相关工作是后续网络安全工作重点要补的课就ok了。
举两个例子(感觉一下策略的重要性):
1、政府机构:
一名公务人员上班时用大量时间浏览互联网。由于本单位没有一项安全策略说明,哪些行为属于个人过分用单位信息系统,因此管理层无法对这名公务员进行处罚。领导层后来又发现,该公务人员下载了很多非法(涉黄)材料,于是以此为理由将其解雇。该向公务人员申诉投诉,称自己是被无理解雇,因为从来没人告诉他不得下载色情材料。最终此公务人员的申诉被采纳,最终恢职。
如果这个单位当时有一项策略对个人使用信息系统做出明确规定,这个结局原本不会出现
2、一个报业公司:
一家地方报业公司没有制定策略对员工离职后必须销用户ID和口令权限做出规定。一名记者离开这家报业公司,此后不久,这家报业公司遇到麻烦:作为竞争对手的另一家当地报业公司不断获取他们独家采访报道的资料,检查过系统日志后发现,正是那位离职记者不断连接前主的计算机盗走采访素材供新报业公司使用。
如果这家报业公司制定有员工离职后撤销其访问权限的策略,这样的未经授权访问原本是可以避免的。
编制策略的范围:
针对不同的应用单位,安全策略的侧重点会有所不同,但整体范围上还是有一些相同之处。参考国外在这方面的经验并结合作者的经历,应用单位需要在如下10个方面进行安全策略设计:
1、网络安全组织(内部组织、外部相关方)
2、资产管理(资产责任、分类分级)
3、人力资源安全(雇佣前、受雇期间、终止或变化)
4、物理和环境安全(安全区域、设备)
5、通信与操作管理(规则与职责、第三方交付管理、系统计划与验收、防范恶意、备份、网络安全管理、介质管理、交换、监控等)
6、访问控制(要求、用户、网络、系统、应用等)
7、系统获取、开发、维护
8、安全事件管理(报告、管理与改进)
9、业务连续性管理
10、合规性管理(政策法规、标准、审计)
如何编制安全策略(单独组织、整合力量):
设计和编制安全策略,是网络安全工作的一项重要任务,是关系到网络安全整体工作成果的最关键环节。鉴于安全策略涉及方方面面的内容,相关工作即专业又全面,所以设计和编制安全策略是一项艰巨的任务,作者建议采用如下的原则:
1、必须单独组织,成立专门的工作组,赋予最高执行权力
2、整合所有参与单位或部门,形成长效的联动机制
3、必须寻找和依赖专业机构/专业人士的协助
几点安全策略落实的小建议:
1、将策略张贴到内网或其他等同的地方
2、编写自评价问卷
3、编写遵守安全策略同意书
4、通过考试确定是否理解策略
5、任命安全协调员
6、培训信息安全协调员
7、筹备和举办基本安全培训班
8、针对应用制定安全策略
9、建立信息安全管理委员会
相关思考:
认识到网络安全策略的重要意义,以及当下我们在这方面关注严重不足的现状,所有的网络安全工作参与者都需要进行反思和学习,尽快补齐这个短腿,作者给出的建议如下:
1、学习,提高认识:请参阅美国信息安全专家查尔斯·克雷森·伍德(Charles Cresson Wood)编撰的《Information Security Policies Made Easy》。上述有些内容就来源于此书
2、完善,提升能力:把资源投入进行调整,在以前技术、功能、产品的基础上,各个环节进行安全策略的设计和落实。无论你是用户、供货商、集成商
最后要说:
和国外在“安全策略”方面上差距,我们正确认识即可,原因是多方面的,不必深究
要知道,网络安全工作需要体系化开展,唯什么论都是片面的
网络安全必然走向智能化,这是最大的不可逆的趋势
无策略不安全,无策略不算法、无算法不智能
请大家重视安全策略方面的工作,在产品、方案、系统、体系等基础之上,通过安全策略的设计和落实,帮助用户更好的实现安全目标(对上:更好地践行责任和履行义务,对外:更好地保护自己的合法权益,对内:更好地保障内部治理的有效落实)和安全价值,才能取得更好的发展机会
安全策略相关工作还有价值,也不太容易做好,建议多依靠专业机构/人士
最后,感谢送我书的朋友!
【注:以上仅是作者肤浅认识,仅供参考】
来源:与智慧做朋友
作者:李志勇
声明:文章中部分图例来源于网络,版权并不属于作者
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。