信息安全演绎“进化论”.docxVIP

PAGE 1 PAGE 1 信息安全演绎“进化论”  每一个公司都期望在IT应用的操作简易性和整体系统的安全性之间寻求一种折衷的平衡，假如有一套为企业量身定制的安全需求等级制度，或许许多企业都情愿“对号入座”。  　　每一个公司都期望在IT应用的操作简易性和整体系统的安全性之间寻求一种折衷的平衡，假如有一套为企业量身定制的安全需求等级制度，或许许多企业都情愿“对号入座”。  整个网络中的计算机都未注册，没有病毒扫描，没有补丁，甚至没有防火墙。这是上周笔者参观完一家律师事务所后，对其网络的整体印象。  　　明显，这样的网络灾难随时可能扩散。尽管笔者一再指出，只有通过用户权限管理，或是安装防火墙，才能保护公司内部的数据资源，但是公司主管并未慎重对之。  　　这样，假如执行一套安全等级制度，或许存在上述类似网络问题的公司会重新考虑安全问题。就像马斯洛需求理论那样，对我们的网络进行不同阶段的测试，便能清晰网络的需求以及将来该如何发展。  　　第一阶段：蒙昧状态  　　在第一阶段，根本没有人考虑电脑的安全性。没有安装防火墙，仅有的杀毒软件也是买新机器时事先装配的，任何程序都不需要密码也不需验证用户，电脑被病毒感染或处于感染的威逼中是很平常的，多数职员连续使用他们，既使他们知道电脑有问题。  　　最终的结果是电子邮件蠕虫病毒接连爆发，机器经常死机或速度减慢。某一天，一个巨大的安全事件发生，客户或管理系统瘫痪，这样，IT管理者才意识到问题存在。  　　第二阶段：安全诉求  　　在第二阶段，信息管理部门对计算机安全显得谨慎。购买电子邮件服务器的杀毒软件，并安装在用户桌面。安装网络防火墙，增加密码长度。信息中心的某个人员可能会兼任电脑安全保护工作，他们的主要工作是多重系统密码的安排和清除。管理部门以为这样的安全措施便是一劳永逸。但不时涌现的蠕虫或病毒却在某个角落偷笑……  　　第三阶段：环境意识  　　这时，公司开始考虑一个真正的安全运行环境。公司全部职员需签署保密文件，增加密码长度，并要求至少每半年更改一次密码。杀毒软件被安装在全部的桌面上，并从指定的服务器自动更新，运用管理软件装补丁，并且安装附加的扫描程序以洞察恶意软件。  　　但好景不长，当发觉某员工在肆意破坏系统，而一名信息技术人员在阅读管理部门人员的电子邮件时，内部威逼成为一个真正的问题。  　　第四阶段：内控需求  　　管理部门让IT部门连续研究安全策略，并惩罚不遵循安全方针的员工。密码设置变得更为复杂，甚至安全顾问常常成为管理者的座上宾。  　　全部的IT团队成员都必需将安全视为头等大事，在全部相关重要决策中，管理部门赐予IT经理和安全负责人完全的支持。审计队在履行内部审计和为外部估价作预备时，信息安全措施与之随行。  　　尽管如此，一些安全事件仍旧发生。无论您怎样培训、指导，总有员工在没有任何安全防范措施的状况下随便打开邮件附件。最终，可能导致一个机密数据库从外部被破坏，并且威逼某一内部员工的计算机。而造成这一结果的原因可能只是某个员工从网上安装了最新的并且很酷的软件。  　　第五阶段：内外协同  　　安全团队和管理部门最终允许默认设置，并否认例外的策略不能发挥作用，并且制定严格的安全方案,锁定终端用户桌面，在各处进行否认缺省设置。公司的计算机图像是唯一在网络上允许的。  　　对于各系统漏洞的完全测试补丁，公司将依据危急系数进行统一安装。在向软件厂商购买产品之前，公司会告知他们自己的应用和安全需求。并且，公用的笔记本和掌上电脑都必需设有密码，并且资料都需加密。  　　最终，内部和外部危机被减到最小或不存在。而最新的计算机威逼仅仅是阅读资料带来的。最重要的是，公司的系统安全处于成熟的水平。系统安全性都从最初上升到更为严密的阶段，意味着更多掌握和更少自由。那么在一系列内部和外部影响驱动的过程中，您的公司处于何种位置？