四步搞定企業安全項目監控和度量文檔
責編:admin |2014-07-28 17:37:20為了更好地保護資產免受信息安全風險的威脅,企業需要一個結合了完善的信息安全策略和最新技術的安全項目。作為項目核心的安全策略體系先被制定出來后,才開始考慮技術和產品的選擇。
安全策略相當于企業安全項目的靈魂,只有在企業管理層全力支持安全策略的制定和實施,且安全策略規定的保護目標明確可行的前提下,安全項目才有可能被成功實施。
為了更好地保護企業的信息安全,我們需要在現有的企業安全策略體系中,增加如何對安全項目實施監控和效能度量的書面文檔,并制定相應的安全項目度量標準。這可以分四步來完成。
第一步定義監控
在安全策略中定義如何對安全項目進行監控,是對監控行為進行授權,使其能夠保持安全項目的良好運行的先決條件。
我們經常可以看到一些企業的安全手冊上規定“沒有經過授權的移動設備不能連接到公司的內部網絡”,卻沒有規定到底由誰來負責檢查,以及如何對違反該條令的人員進行處罰;或者規定“公司的每個網絡設備的流量都應受到監控”,卻沒有規定什么類型的網絡流量應該受到監控。這顯然是毫無用處的,但是類似的條令卻充斥在許多企業的安全手冊里。
因此,我們首先要在安全策略里對監控進行合理定義,內容包括:1)安全項目中什么指標需要進行監控;2)誰來執行該項監控。
在許多場合,尤其在出現嚴重違反安全策略事件的情況下,負責監控安全項目指標的人員常常需要直接向管理層匯報事件的發展情況.。這時,監控人員需要按照一定格式給管理層提交監控報告。為了方便管理監控報告,我們在制定安全策略的監控標準時,應該規定例行的安全項目監控報告的書寫格式。
監控報告應該包括以下一些元素:執行安全監控的日期;監控行為的執行人;執行監控行為的地點,如企業的某個部門、設施或辦公室;安全監控的主題;涉及的人員名字;監控結果和風險區域。
出于對隱私保護法律的遵守和對企業員工隱私的尊重,我們在制定監控策略時,還應該在安全策略中事先向企業員工聲明什么樣的行為會被監控和記錄,以及實施監控的原因。被監控的原因主要有:保證業務處理或業務交易有據可查,為達到法律法規的要求,防止企業系統的未授權操作,為符合培訓或服務標準的要求,防止犯罪行為等。
我們在制定安全策略時,為了節約成本和方便管理,應該對監控范圍進行限制。限制監控范圍的指定有以下幾個原則:
第一,監控敏感數據,而不是網絡通信流量,除非是使用網絡過濾技術防止信息資產的流失;
第二,對系統配置等這樣不經常變化的監控對象,可以用定時檢查代替持續檢查;
第三,重點關注企業的高風險區域。
最后,我們還需要在安全策略中對監控作一個標準的定義。比如說,監控可以定義為對網絡通信流量的過濾,系統和配置文件的校驗,數據的日志、記錄和復審等。
監控的定義還可以以安全策略中的一段文字或者單獨的文檔形式出現。比如說,有些企業是這樣定義的:“由于企業必須遵守法律、法規和隱私策略,而且企業有保護私有資產的需求,ABC部門將對本部門的所有網絡通信流量進行監控和記錄,以滿足法律法規的要求,同時有利于發現犯罪行為和未授權的使用及訪問行為,并保護企業私有資產的合理使用。本部門所進行的監控將根據法律法規和業務的要求進行書面記錄。注意監控的行為必須經過管理層的書面授權,沒有經過授權的監控行為都屬于違法行為。”
第二步制定安全基線
我們在安全策略中增加定義和授權監控的條款后,接下來要做的是制定實施監控時的安全基線。我們知道,基線是用于比較事物的一個標準,在安全策略中定義安全基線可以為企業的資產保護行為提供一個有效的度量標準。在確定安全基線之前,我們需要先考慮下面的問題:
·我們需要收集什么樣的信息和數據?為什么?
·企業業務運作對所收集數據的需求有哪些?
·數據應該在什么時候通過什么方式收集?
·數據的收集是否允許使用第三方或自開發的工具?這些工具需要滿足什么樣的要求?
·誰負責數據的收集和對所收集數據的銷毀工作?
·收集到的數據需要向誰提交?采取什么樣的格式?
·如何保證提交的數據簡單明了?
第三部安排監控計劃
在制定好安全策略監控所需的安全基線之后,我們必須合理安排安全項目的監控活動時間,還應該做好關于如何進行安全監控的工作說明。這樣,企業的IT人員才能以標準化的流程執行企業安全項目中的監控活動,管理層也可以掌握企業資產保護的情況。
企業定期安全監控所產生的監控結果,可以作為現有安全項目是否需要新增其他安全產品和人員的依據,也可以作為企業安全培訓效果的反饋。最重要的是,企業還可以借助對安全項目進行定期監控的結果,了解現有安全項目對企業業務產生的影響,從而進行靈活的調整以適應不斷變化的外部環境和業務需求。
監控計劃的安排根據企業的情況不同而不同,我們可以根據企業當前的IT環境和人員情況來確定,并將其寫入安全策略中。
第四步確定報告制度
安全策略對企業資產保護和安全項目效能的監控及度量結果,最終都會在提交給企業管理層的報告中得到體現。因此,一個完整的報告制度也應該通過安全策略確定下來。按照所提交的對象和進行報告的目的不同,安全監控和度量報告可以分成操作性和業務性報告兩種。
操作性報告的內容主要包含:按照風險類型劃分的安全策略違反事件次數,違反企業安全配置要求的設備數量,廢棄的賬戶數量,來自外界針對企業的不同類型的攻擊數量,病毒、蠕蟲和特洛伊木馬被攔截的數量,等等。
業務性報告主要用于在企業業務層次上對安全項目進行評估,主要的內容應該包括:由于失誤或錯誤配置導致的宕機時間和經濟損失、安全項目的超支情況、顯著的或接受的風險列表等。
大多數安全監控和度量報告結合了操作性的和業務性的報告元素。根據企業文化的不同,他們可以通過表格、會議演示或白板等不同的格式來展現。我們在編寫安全策略和進行安全項目的時候,也應該根據安全監控和度量報告受眾的不同,預先定義好報告的格式和所要呈現的信息,并將其寫入安全策略中,從而保證安全監控和度量報告的統一性和有效性。