在该连载的上篇中,我们探讨了中小企业信息安全的现状,并集中阐述了中小企业在安全意识、投入能力、技术储备等方面所面临的问题。读罢该文,可能给大家一种在中小企业中实施信息安全步履维艰之感,但事实是否如此呢?可以说答案是否定的,因为在现实中,每个企业的客观情况都不同,我们所谈到的问题只是中小企业相对于较大规模企业的一些弱势,而由于中小企业固有的灵活性和可控性,只要在实施信息安全的过程中对这些问题多加注意,成功地完成信息安全工作还是相当乐观的。下面我们结合中小企业的情况,提供一些适合中小企业使用的安全工作框架和流程。
设计
在我们实施信息安全工程之前,需要制订一套完善的信息安全策略,该套策略是企业信息安全的基础,本文中所讲的信息安全策略不仅指最高阶的要求、描述和方向,也囊括了最细化的解决方案。
简单来说,企业的信息安全规划主要需要解决两个问题:要保护什么以及如何保护。从使用信息的设备到储存信息的位置,从Internet链接到公司雇员,信息安全工作面向的保护对象其实是相当广泛的,从保护措施来看,也不仅仅是人们惯常所想的权限控制、加密等等,根据信息安全策略的覆盖范围,资料室门锁的配备要求、性能指标、技术类型等也可能成为安全策略的重要内容。首先我们需要了解哪些信息资产属于需要保护的范畴,识别被保护对象这个任务可以通过信息分级、风险评估等技术完成。企业可以建立一套信息分级系统,将企业的所有信息资产划分到不同的级别当中,这样就可以相对容易的知道哪些是必须得到保护的(如专利技术和战略规划等),哪些是应该得到保护的(如客户信息和生产成本数据),以及哪些是不需要进行保护的(如产品宣传资料)。在进行信息分级工作的同时,还应该评估所有信息资产所面临的安全风险。信息分级体现了信息资产受到威胁时所造成的影响程度,而风险评估能够使我们了解到信息资产受到威胁的可能性。完成上述工作之后,我们会对被保护对象的情况有一个整体而清晰的认识,在这个基础上,我们就可以针对不同的对象设计出相应的安全措施。在设计安全措施时我们需要遵循一些基本原则:信息系统所面临的风险应小于其创造的价值以及在安全上的投入应低于所保护对象的价值;举例来说,企业的客户数据库中保存了所有客户的联系方式及信用卡信息,如果我们不对该数据库进行有效的安全管理,很可能有人通过盗用这些信息进行诈骗,这种风险通常就超过了我们利用这些数据库进行工作所带来的便利,而如果这些数据的综合价值在十万元左右,我们就不应该为保护这些数据购买一套价值二十万元的防火墙,这个投入额度显然远远超过了这些数据的价值,而且单纯的部署防火墙设备只能在一定程度上防止对数据库的恶意攻击而不能阻止员工对数据库的滥用。
实施
在安全实施过程中,主要的工作是进行设施的选择、部署、培训以及开展安全策略教育。安全设施的范畴很广,既有防病毒软件、防火墙、入侵检测系统这样常见的硬件设备,也有AAA、PKI这样的应用解决方案,还包括了授权规划、访问控制这样的的安全规程。我们需要根据安全策略中所设计的要求和内容,有效的完成实施工作,为企业的信息安全体系提供稳定的平台。对于信息安全实施及相关工作的几点建议是:一定不要在策略完备之前进行实施,这就好像在没有蓝图的情况下进行建筑施工一样,是极端危险并且毫无成功保障的;实施的成功有赖于决策层的支持,如果企业的管理者不能始终如一的支持该项目,那安全工作无异于一纸空谈;安全策略必须在企业中进行充分的宣传,这也是提高企业整体安全意识的重要步骤之一,只有所有的员工都深刻认识到安全工作的重要性,信息安全体系才能够正常的运作;在自身技术资源不足的时候,多征询当地专业信息安全机构的意见,这些机构通常乐意免费提供自己的知识储备和咨询力量,并且本地的机构通常能提供较好的应急响应。
管理
我们在该连载的上篇提到过,安全设施的建立并不是安全工作的终结,在完成了信息安全体系的实施工作之后,相关的管理和维护工作将面临着更大的考验,因为设计和实施工作通常有着较为明确的要求,并且具有较为固定的工作期限,而管理和维护工作则是一个不存在终点的进程,特别是由于中小企业安全意识薄弱和技术储备不足等问题的作用,随着时间的推移,安全系统的控制能力会不断的降低,这需要企业认真的施行安全管理,以保障安全系统的效用。
信息安全管理规程为应用环境变更和安全事故的响应提供了可参考的架构。任何企业都必须面对应用环境的变化,既使只增加了一个应用程序,或者一个职员的岗位发生变化,都可能对整个安全体系造成深刻的影响,所以变更管理在信息安全工作中起着相当关键的作用,变更管理工作的内容包括及时的识别变更并详细记录相关信息,对变更进行足够的评估,以确定其产生的影响是否会破坏原有的安全策略,如果该变更是可以接受的,我们才能够实现它,并且在实现之前要做好计划,在完成变更的同时,我们需要更新相应的安全策略并完成新策略的培训工作。响应安全事故也是信息安全工作中的主要组成部分,安全事故通常是指违反安全策略的行为,可能是信息基础设施被入侵,也可能是某个员工修改了不允许他访问的文档,管理安全事故需要企业的全体员工都清楚的理解和贯彻安全策略,因为对于安全事故来说,时间是非常非常重要的,尽早的识别安全事故的发生能够从很大程度上降低企业的损失,而且全员的良好参与能够有效的减少安全事故的发生几率。为了有效的对安全事故做出响应,应该事先针对安全策略建立起应急响应计划,即使没有足够的技术力量建立自己的应急响应小组,至少也应该在管理规程中标注出发生各种安全事故时,应该采取的步骤和需要联系的人员(包括其联系方式),而且对于重要的信息资产,还应该建立灾难恢复计划,以保证在经历了严重的安全事故后,能尽快的恢复到正常状态,保障企业的业务运行。
评估
除了以上的三个主要步骤之外,信息安全事务中还有一项容易被忽略的工作,那就是安全评估。在很多时候,系统管理员仅仅是定期用自己的扫描器对所有的节点进行扫描,事实证明这样的措施是远远不够的,除了有针对性的进行漏洞扫描之外,所有安全策略中包含的设施都应该被定期检查,而且应该对照当前的安全策略,以合适的频率进行补丁升级,按照系统清单跟踪系统漏洞及其它风险,定期审查安全系统所产生的日志。评估工作的最主要目的就是:尽可能早的发现潜在的问题。
在短短的篇幅里我们无法表述信息安全实施中的太多细节,而只能结合中小企业的信息安全要求,概略的对信息安全工作的框架和流程进行一番探讨,并希望这些精炼的信息能帮助中小企业的信息安全工作人员更好的规划自己的工作,不断的提升您系统的信息安全水平。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/57297,如需转载请自行联系原作者
