网络安全最大的不足和差距:安全策略

频道:生活百态 日期: 浏览:7414
缘由:

笔者今天在读一本书,偶然看到这样一段话:

“经过20多年的快速发展,我国网络安全理论和实践取得了长足进步,但网络安全的实际问题和潜在风险仍与日俱增。只要稍微对比一下国内外的网络安全工作,就不难发现,我们的网络安全战略、理念、理论、技术、产品研发、市场服务等。无论是引进消化,还是自主创新,甚至是全面整合,都有不错的表现,与西方的差距越来越小。只有当网络安全工作务实时,与国外的差距较大安全策略的缺失才是最大的症结所在。所谓安全战略,就是根据国家有关政策法规、行业规范和技术标准,以及本单位具体的安全目标和要求,研究制定具体的安全要求、职责分工和工作措施”。

笔者完全同意上述观点,在之前的文章中已经提到了“安全策略”对于网络安全的重要性。安全靠技术三分,管理七分,而安全策略恰恰是管理中的核心环节。也许正是因为我们重视“情感”的文化属性,较少关注属于“理性”属性的安全策略,所以才有了上述与国外的差距。但这没什么,知道差距是最好的开始,只要你了解安全策略的相关工作是后续网络安全工作重点要补的课就ok了.

网络安全最大的不足和差距:安全策略  第1张

举两个例子(感觉一下策略的重要性):

1、政府机构:

一个公务员上班要花很多时间浏览互联网。由于本单位没有安全政策,哪些行为属于个人过度使用单位信息系统,管理层无法处罚这名公务员。后来领导发现该公职人员下载了大量非法(色情)资料,于是以此为由将其辞退。该公务员抱怨说,他被不公正地解雇了,因为从来没有人告诉他不要下载色情材料。最后,公务员的申诉被接受,他终于复职了。

如果这个单位当时有一项策略对个人使用信息系统做出明确规定,这个结局原本不会出现

网络安全最大的不足和差距:安全策略  第2张

2、一个报业公司:

某地方报业公司没有制定政策规定员工离职后必须注销用户ID和密码权限。一个记者离开了报社,不久之后,报社陷入了困境。作为竞争对手的另一家当地报纸公司不断获得他们独家采访报道的信息。查了系统日志,发现是离职记者一直在连接前东家的电脑,窃取新报社的采访资料。

如果这家报业公司制定有员工离职后撤销其访问权限的策略,这样的未经授权访问原本是可以避免的。

网络安全最大的不足和差距:安全策略  第3张

编制策略的范围:

根据不同的应用单元,安全策略的侧重点会有所不同,但在整体范围上还是有一定的相似性。参考国外这方面的经验,结合笔者的经验,应用单位需要设计以下10个方面中的安全策略(细节就不展开了,太多了,共计1800多个策略):

1.网络安全组织(内部组织和外部相关方)

2.资产管理(资产责任、分类和分级)

="one-p">3、人力资源安全(雇佣前、受雇期间、终止或变化)

4、物理和环境安全(安全区域、设备)

5、通信与操作管理(规则与职责、第三方交付管理、系统计划与验收、防范恶意、备份、网络安全管理、介质管理、交换、监控等)

6、访问控制(要求、用户、网络、系统、应用等)

7、系统获取、开发、维护

8、安全事件管理(报告、管理与改进)

9、业务连续性管理

10、合规性管理(政策法规、标准、审计)

网络安全最大的不足和差距:安全策略  第4张

如何编制安全策略(单独组织、整合力量)

设计和编制安全策略,是网络安全工作的一项重要任务,是关系到网络安全整体工作成果的最关键环节。鉴于安全策略涉及方方面面的内容,相关工作即专业又全面,所以设计和编制安全策略是一项艰巨的任务,作者建议采用如下的原则:

1、必须单独组织,成立专门的工作组,赋予最高执行权力

2、整合所有参与单位或部门,形成长效的联动机制

3、必须寻找和依赖专业机构/专业人士的协助

几点安全策略落实的小建议:

1、将策略张贴到内网或其他等同的地方

2、编写自评价问卷

3、编写遵守安全策略同意书

4、通过考试确定是否理解策略

5、任命安全协调员

6、培训信息安全协调员

7、筹备和举办基本安全培训班

8、针对应用制定安全策略

9、建立信息安全管理委员会

网络安全最大的不足和差距:安全策略  第5张

相关思考:

认识到网络安全策略的重要意义,以及当下我们在这方面关注严重不足的现状,所有的网络安全工作参与者都需要进行反思和学习,尽快补齐这个短腿,作者给出的建议如下:

1、学习,提高认识:请参阅美国信息安全专家查尔斯·克雷森·伍德(Charles Cresson Wood)编撰的《Information Security Policies Made Easy》。上述有些内容就来源于此书

2、完善,提升能力:把资源投入进行调整,在以前技术、功能、产品的基础上,各个环节进行安全策略的设计和落实。无论你是用户、供货商、集成商

网络安全最大的不足和差距:安全策略  第6张

最后要说:

和国外在“安全策略”方面上差距,我们正确认识即可,原因是多方面的,不必深究

要知道,网络安全工作需要体系化开展,唯什么论都是片面的

网络安全必然走向智能化,这是最大的不可逆的趋势

无策略不安全,无策略不算法、无算法不智能

请大家重视安全策略方面的工作,在产品、方案、系统、体系等基础之上,通过安全策略的设计和落实,帮助用户更好的实现安全目标(对上:更好地践行责任和履行义务,对外:更好地保护自己的合法权益,对内:更好地保障内部治理的有效落实)和安全价值,才能取得更好的发展机会

安全策略相关工作还有价值,也不太容易做好,建议多依靠专业机构/人士

最后,感谢送我书的朋友!

【注:以上仅是作者肤浅认识,仅供参考】

来源:与智慧做朋友

作者:李志勇

声明:文章中部分图例来源于网络,版权并不属于作者

标签: 网络安全  信息安全  公务人员 

关键词:网络安全#安全策略#策略

上一篇:刚刚 上海通报!三个新人有社会感染 细节来了——铜陵新闻网

下一篇:32个城市的291站!极氪能源充电网络建设正在加速

留言 0

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。