家里有个七八年前的台式机,几乎两年不曾开机了,放着不用还占地方,正好这几天有空,就想收拾收拾它卖了。接上电源发现还能开机,检查硬盘里的东西发现好多以前的照片,引出一些回忆,然后一张一张看下去居然看了大半天。
就在这时,突然蓝屏了,然后死机了……再次重启发现找不到可引导设备,我心想坏了,大概率硬盘挂逼了,进BIOS,果然认不出硬盘了。换了线,换了SATA口都不起作用。最后不得不下单买了一个新硬盘……这样一来卖掉反而不值得了
哎!
本不富裕的家庭雪上加霜。
信息安全管理体系
接上一回,我们说了一些常用的信息安全管理制度文档,下面是一个总览,大概列举了一些我见过的文档,不全,但可以很方便的根据自己的实际情况进行更改。主要看架构和依赖关系
常见问题
对于安全基础薄弱的企业,在最初搭建信息安全基础架构的时候,常会出现的问题:
- 安全策略实施自下而上而非自上而下
信息安全管理策略一定要自上而下。管理层不重视,各个部门配合不积极,安全策略实施过程中会遇到巨大的困难。
有些企业实施安全策略是为了“面子工程”,例如审查需要、资本要求等等。尽管这样的企业不肯承认,但实际上它们大多不愿在信息安全上花费金钱与精力,“只要过等级保护就行了”这样的想法让很多企业的信息安全形同虚设。我见过太多企业临近年度审计的时候在疯狂的作假日志记录,做假备份的。
从投资效益上讲,即然已经花钱买了设备了,为什么不用起来呢?即然已经花钱做安全了,为什么不切实得到一些效果呢?而且信息安全管理会带来很多正向的影响。这话题太大,以后但开一篇说。 - 信息安全管理制度不清晰
导致安全部门缺乏统一的行动方向,达不到预期目标。 - 信息安全管理制度过于严苛
过于严苛的管理制度在信息安全基础薄弱的企业会遭遇很强的抵触情绪,在安全基础建设的初期阶段,管理制度应当集中精力解决关键业务上的严重风险和容易解决的风险。用有限的资源尽量多办事。 - 安全责任不明确
安全责任一定要明确,否则会出现互相扯皮的现象——安全人员指责业务不遵守制度;业务指责安全人员没有尽到监管义务。不可将安全责任全部放在一个部门或者某个人身上,应当分摊到安全部门和业务部门上。即出现安全问题,业务部门如果没有遵守安全规定,应当承担主要责任;业务部门如果遵守了安全规定,安全部门应当承担主要责任,业务部门应当适当承担次要责任,因为安全部门不可能完全了解业务部门的详细内容,如果业务中有安全隐患,安全部门由于人力和能力的限制而不能发现安全隐患,共担责任会迫使业务部门主动提出改进意见交由安全部门评估,避免“甩锅”的事情。 - 账号管理混乱
特殊权限账号一定要进行严格控制,严禁非生产类账号(员工账号,管理员账号等)共享。对于管理中的例外情况,要定期审计,检查是否仍需要例外。对账号权限定期审计,检查账号权限是否遵循最小化原则。
制定密码策略,严禁弱密码 - 缺乏控制访问或者访问策略混乱
对办公网络环境应当进行区域划分,避免病毒一次感染大量设备。建设访客网络,搭建认证机制。对办公网络做上网行为管理和访问权限的控制。机房进出要严格把控,机房内不得存放杂物(我见过在机房里放米面油等的,因为凉快……) - 缺乏安全基线
安全基线可以由CIS等组织免费获取,对企业设备实施统一部署,集中管理,AD DC方式或者其他第三方管理工具。对企业设备配置安全基线,配置安全基线时要注意是否符合企业现状,以CIS上的安全基线为例,L1级是指大多数企业会启用的配置,L2是指会对用户有明显使用上的阻碍的配置。根据企业的资产分类,关键资产应当适当严格,而对于普通资产应当根据实际情况放宽。以我的经验,很多公司能把L1级的安全基线启用70%就很了不起了。 - 员工不愿遵守安全管理制度
一般出现这种情况有两种原因,一是过于苛刻,影响了业务的发展;二是员工安全意识薄弱,觉得这些安全策略就是找茬。
对于第一种情况,应当及时进行调研并进行改进,但要有底线,例如特权账号随意使用的情况或者弱密码的情况,这个是要绝对禁止的。对于第二种,要定期进行安全宣贯。
如何搭建和完善一个好的信息安全架构
可以尝试ISO27001,ISO的特点就是体系架构非常完善,可以先从简单的开始,然后遵循P(Plan)D(Deploy)C(Check)A(Act)不断循环,一步一步进行改进,经过几轮之后就会有一个比较成熟的信息安全架构了。
当然,完全理解ISO27001和ISO27002是必须的。