压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

為了更好地保護(hù)資產(chǎn)免受信息安全風(fēng)險(xiǎn)的威脅，企業(yè)需要一個(gè)結(jié)合了完善的信息安全策略和最新技術(shù)的安全項(xiàng)目。作為項(xiàng)目核心的安全策略體系先被制定出來(lái)后，才開(kāi)始考慮技術(shù)和產(chǎn)品的選擇。

安全策略相當(dāng)于企業(yè)安全項(xiàng)目的靈魂，只有在企業(yè)管理層全力支持安全策略的制定和實(shí)施，且安全策略規(guī)定的保護(hù)目標(biāo)明確可行的前提下，安全項(xiàng)目才有可能被成功實(shí)施。

為了更好地保護(hù)企業(yè)的信息安全，我們需要在現(xiàn)有的企業(yè)安全策略體系中，增加如何對(duì)安全項(xiàng)目實(shí)施監(jiān)控和效能度量的書(shū)面文檔，并制定相應(yīng)的安全項(xiàng)目度量標(biāo)準(zhǔn)。這可以分四步來(lái)完成。

第一步定義監(jiān)控

在安全策略中定義如何對(duì)安全項(xiàng)目進(jìn)行監(jiān)控，是對(duì)監(jiān)控行為進(jìn)行授權(quán)，使其能夠保持安全項(xiàng)目的良好運(yùn)行的先決條件。

我們經(jīng)常可以看到一些企業(yè)的安全手冊(cè)上規(guī)定“沒(méi)有經(jīng)過(guò)授權(quán)的移動(dòng)設(shè)備不能連接到公司的內(nèi)部網(wǎng)絡(luò)”，卻沒(méi)有規(guī)定到底由誰(shuí)來(lái)負(fù)責(zé)檢查，以及如何對(duì)違反該條令的人員進(jìn)行處罰；或者規(guī)定“公司的每個(gè)網(wǎng)絡(luò)設(shè)備的流量都應(yīng)受到監(jiān)控”，卻沒(méi)有規(guī)定什么類型的網(wǎng)絡(luò)流量應(yīng)該受到監(jiān)控。這顯然是毫無(wú)用處的，但是類似的條令卻充斥在許多企業(yè)的安全手冊(cè)里。

因此，我們首先要在安全策略里對(duì)監(jiān)控進(jìn)行合理定義，內(nèi)容包括：1）安全項(xiàng)目中什么指標(biāo)需要進(jìn)行監(jiān)控；2）誰(shuí)來(lái)執(zhí)行該項(xiàng)監(jiān)控。

在許多場(chǎng)合，尤其在出現(xiàn)嚴(yán)重違反安全策略事件的情況下，負(fù)責(zé)監(jiān)控安全項(xiàng)目指標(biāo)的人員常常需要直接向管理層匯報(bào)事件的發(fā)展情況.。這時(shí)，監(jiān)控人員需要按照一定格式給管理層提交監(jiān)控報(bào)告。為了方便管理監(jiān)控報(bào)告，我們?cè)谥贫ò踩呗缘谋O(jiān)控標(biāo)準(zhǔn)時(shí)，應(yīng)該規(guī)定例行的安全項(xiàng)目監(jiān)控報(bào)告的書(shū)寫(xiě)格式。

監(jiān)控報(bào)告應(yīng)該包括以下一些元素：執(zhí)行安全監(jiān)控的日期；監(jiān)控行為的執(zhí)行人；執(zhí)行監(jiān)控行為的地點(diǎn)，如企業(yè)的某個(gè)部門(mén)、設(shè)施或辦公室；安全監(jiān)控的主題；涉及的人員名字；監(jiān)控結(jié)果和風(fēng)險(xiǎn)區(qū)域。

出于對(duì)隱私保護(hù)法律的遵守和對(duì)企業(yè)員工隱私的尊重，我們?cè)谥贫ūO(jiān)控策略時(shí)，還應(yīng)該在安全策略中事先向企業(yè)員工聲明什么樣的行為會(huì)被監(jiān)控和記錄，以及實(shí)施監(jiān)控的原因。被監(jiān)控的原因主要有：保證業(yè)務(wù)處理或業(yè)務(wù)交易有據(jù)可查，為達(dá)到法律法規(guī)的要求，防止企業(yè)系統(tǒng)的未授權(quán)操作，為符合培訓(xùn)或服務(wù)標(biāo)準(zhǔn)的要求，防止犯罪行為等。

我們?cè)谥贫ò踩呗詴r(shí)，為了節(jié)約成本和方便管理，應(yīng)該對(duì)監(jiān)控范圍進(jìn)行限制。限制監(jiān)控范圍的指定有以下幾個(gè)原則：

第一，監(jiān)控敏感數(shù)據(jù)，而不是網(wǎng)絡(luò)通信流量，除非是使用網(wǎng)絡(luò)過(guò)濾技術(shù)防止信息資產(chǎn)的流失；

第二，對(duì)系統(tǒng)配置等這樣不經(jīng)常變化的監(jiān)控對(duì)象，可以用定時(shí)檢查代替持續(xù)檢查；

第三，重點(diǎn)關(guān)注企業(yè)的高風(fēng)險(xiǎn)區(qū)域。

最后，我們還需要在安全策略中對(duì)監(jiān)控作一個(gè)標(biāo)準(zhǔn)的定義。比如說(shuō)，監(jiān)控可以定義為對(duì)網(wǎng)絡(luò)通信流量的過(guò)濾，系統(tǒng)和配置文件的校驗(yàn)，數(shù)據(jù)的日志、記錄和復(fù)審等。

監(jiān)控的定義還可以以安全策略中的一段文字或者單獨(dú)的文檔形式出現(xiàn)。比如說(shuō)，有些企業(yè)是這樣定義的：“由于企業(yè)必須遵守法律、法規(guī)和隱私策略，而且企業(yè)有保護(hù)私有資產(chǎn)的需求，ABC部門(mén)將對(duì)本部門(mén)的所有網(wǎng)絡(luò)通信流量進(jìn)行監(jiān)控和記錄，以滿足法律法規(guī)的要求，同時(shí)有利于發(fā)現(xiàn)犯罪行為和未授權(quán)的使用及訪問(wèn)行為，并保護(hù)企業(yè)私有資產(chǎn)的合理使用。本部門(mén)所進(jìn)行的監(jiān)控將根據(jù)法律法規(guī)和業(yè)務(wù)的要求進(jìn)行書(shū)面記錄。注意監(jiān)控的行為必須經(jīng)過(guò)管理層的書(shū)面授權(quán)，沒(méi)有經(jīng)過(guò)授權(quán)的監(jiān)控行為都屬于違法行為。”

第二步制定安全基線

我們?cè)诎踩呗灾性黾佣x和授權(quán)監(jiān)控的條款后，接下來(lái)要做的是制定實(shí)施監(jiān)控時(shí)的安全基線。我們知道，基線是用于比較事物的一個(gè)標(biāo)準(zhǔn)，在安全策略中定義安全基線可以為企業(yè)的資產(chǎn)保護(hù)行為提供一個(gè)有效的度量標(biāo)準(zhǔn)。在確定安全基線之前，我們需要先考慮下面的問(wèn)題：

·我們需要收集什么樣的信息和數(shù)據(jù)？為什么？

·企業(yè)業(yè)務(wù)運(yùn)作對(duì)所收集數(shù)據(jù)的需求有哪些？

·數(shù)據(jù)應(yīng)該在什么時(shí)候通過(guò)什么方式收集？

·數(shù)據(jù)的收集是否允許使用第三方或自開(kāi)發(fā)的工具？這些工具需要滿足什么樣的要求？

·誰(shuí)負(fù)責(zé)數(shù)據(jù)的收集和對(duì)所收集數(shù)據(jù)的銷毀工作？

·收集到的數(shù)據(jù)需要向誰(shuí)提交？采取什么樣的格式？

·如何保證提交的數(shù)據(jù)簡(jiǎn)單明了？

第三部安排監(jiān)控計(jì)劃

在制定好安全策略監(jiān)控所需的安全基線之后，我們必須合理安排安全項(xiàng)目的監(jiān)控活動(dòng)時(shí)間，還應(yīng)該做好關(guān)于如何進(jìn)行安全監(jiān)控的工作說(shuō)明。這樣，企業(yè)的IT人員才能以標(biāo)準(zhǔn)化的流程執(zhí)行企業(yè)安全項(xiàng)目中的監(jiān)控活動(dòng)，管理層也可以掌握企業(yè)資產(chǎn)保護(hù)的情況。

企業(yè)定期安全監(jiān)控所產(chǎn)生的監(jiān)控結(jié)果，可以作為現(xiàn)有安全項(xiàng)目是否需要新增其他安全產(chǎn)品和人員的依據(jù)，也可以作為企業(yè)安全培訓(xùn)效果的反饋。最重要的是，企業(yè)還可以借助對(duì)安全項(xiàng)目進(jìn)行定期監(jiān)控的結(jié)果，了解現(xiàn)有安全項(xiàng)目對(duì)企業(yè)業(yè)務(wù)產(chǎn)生的影響，從而進(jìn)行靈活的調(diào)整以適應(yīng)不斷變化的外部環(huán)境和業(yè)務(wù)需求。

監(jiān)控計(jì)劃的安排根據(jù)企業(yè)的情況不同而不同，我們可以根據(jù)企業(yè)當(dāng)前的IT環(huán)境和人員情況來(lái)確定，并將其寫(xiě)入安全策略中。

第四步確定報(bào)告制度

安全策略對(duì)企業(yè)資產(chǎn)保護(hù)和安全項(xiàng)目效能的監(jiān)控及度量結(jié)果，最終都會(huì)在提交給企業(yè)管理層的報(bào)告中得到體現(xiàn)。因此，一個(gè)完整的報(bào)告制度也應(yīng)該通過(guò)安全策略確定下來(lái)。按照所提交的對(duì)象和進(jìn)行報(bào)告的目的不同，安全監(jiān)控和度量報(bào)告可以分成操作性和業(yè)務(wù)性報(bào)告兩種。

操作性報(bào)告的內(nèi)容主要包含：按照風(fēng)險(xiǎn)類型劃分的安全策略違反事件次數(shù)，違反企業(yè)安全配置要求的設(shè)備數(shù)量，廢棄的賬戶數(shù)量，來(lái)自外界針對(duì)企業(yè)的不同類型的攻擊數(shù)量，病毒、蠕蟲(chóng)和特洛伊木馬被攔截的數(shù)量，等等。

業(yè)務(wù)性報(bào)告主要用于在企業(yè)業(yè)務(wù)層次上對(duì)安全項(xiàng)目進(jìn)行評(píng)估，主要的內(nèi)容應(yīng)該包括：由于失誤或錯(cuò)誤配置導(dǎo)致的宕機(jī)時(shí)間和經(jīng)濟(jì)損失、安全項(xiàng)目的超支情況、顯著的或接受的風(fēng)險(xiǎn)列表等。

大多數(shù)安全監(jiān)控和度量報(bào)告結(jié)合了操作性的和業(yè)務(wù)性的報(bào)告元素。根據(jù)企業(yè)文化的不同，他們可以通過(guò)表格、會(huì)議演示或白板等不同的格式來(lái)展現(xiàn)。我們?cè)诰帉?xiě)安全策略和進(jìn)行安全項(xiàng)目的時(shí)候，也應(yīng)該根據(jù)安全監(jiān)控和度量報(bào)告受眾的不同，預(yù)先定義好報(bào)告的格式和所要呈現(xiàn)的信息，并將其寫(xiě)入安全策略中，從而保證安全監(jiān)控和度量報(bào)告的統(tǒng)一性和有效性