通过风险评估等方法　来制定网络安全的规划 - 网络技术

荣誉会员

UID 9897
精华 0
积分 1868
帖子 901
威望 901
金币 892
热心 9
阅读权限 50
注册 2006-3-22
状态离线

发表于 2006-3-28 22:23 资料个人空间短消息加为好友

我们都声称我们已经理解了网络安全的重要性。我们谈论着蠕虫，新发现的安全漏洞，修补方法和各种热点问题。我们知道保证所有最新的应用正常运行并能够立刻运行是我们的职责。还好有反病毒软件自动升级和防火墙。　
　　
　　但是安全性并不仅止于此。它需要形成一个体系，并采用结构化的方法，否则，你设计的系统将是漏洞百出。
　　
　　按照Microsoft Technet的Best Practices for Enterprise Security一文所述：
　　
　　计算机安全性是执行与数据安全性相关任务的所有技术的总的概念。有效地使用这些技术来保护企业网络需要把它们整合成为一个全面的安全计划。计划过程包括：
　　
　　对于潜在的环境风险有一个详细的了解（比如病毒、黑客，以及自然灾害）。
　　对于违反安全性所带来的风险做一个提前的因果关系分析，并找出对策。
　　为了在企业网络的各个方面整合安全措施建立一个经过周密计划的执行策略，而这要建立在理解和分析的基础上。一个结构化的，计划良好的方法不但能够大大节省你的时间，还能够保住你的工作。
　　
　　做一个风险评估
　　为了保护一个网络，你必须首先对于风险做一个全面的评估。这件工作说起来容易做起来难，但是也并不是不能够做到的。你所需要的只是正确的方法。需要记住的重要的事情是这不是一个人的展示（或者是IT部门的展示）。把眼界扩大一些--同时还要注意细节--你必须在公司内部广泛地进行咨询。
　　
　　首先，为你这一边争取一位执行官--他能够支持你的工作。这会使有关的所有人明白这不是“另一件IT部门的事情”，而是公司高层支持的一项行动。这也会使那些繁忙的经理们更加协作。
　　
　　现在坐下来思考。草拟一个你需要回答的问题的详细清单。和同事以及支持者们一起来做这件事。但是永远记住要保持这份清单是“开放的”--总是问问那些和你会面的人，看看他们还有什么考虑，或者认为还应该添加哪些内容。你可能会非常吃惊地发现这些建议非常有用。
　　
　　从哪里开始
　　从全面开始，慢慢深入细节。问问你自己--还有管理人员们、经理们和部门领导--你的公司的商业计划。你公司的年报非常有用，而且通常是这些信息的一个俯瞰式的来源（也是对你公司结构的一个很好的总结）。
　　
　　一个提示：不要简单地把带有截止日期的问卷发下去就了事。这样你很有可能获得一个匆匆忙忙的答案，甚至可能只是某个没有所有答案（或者没有时间或兴趣来完成它的人的）的人的观点。召开一些会议，并和大家会面。这种做法会带来额外的好处，它会让他们对安全性进行思考--即使在你离开以后。

而且，一个非常优秀的安全分析工具是微软IT Advisor系列里的免费的Security Advisor (ITASecur.exe)。你可以从网上下载它。
　　
　　衡量资产价值
　　当进行一个资产评估时，要记住去评估风险，你必须去测定价值。资产越有价值，它就越需要安全性方面的保护。这看起来很显而易见，但是人们却常常会忘记。而且这些“资产”并不总是那么显而易见。
　　
　　这里是一个例子：一个顾问和一个大型企业的CEO进行会谈。在富有成果的讨论的最后，双方都很相信他们已经把所有的事情都进行了非常好的保密。休息期间喝咖啡的时候，该CEO骄傲地谈起他的公司正在开发一种新产品，他相信这种产品会在市场上引起轰动。该顾问的进一步调查发现，开发该产品的工程师们把一些和该产品开发有关的高度机密的信息保存在他们的笔记本电脑里--而且没有进行加密。而关于这个项目的电子邮件也没有进行加密。
　　
　　一旦你对你们公司的结构，商业流程，通讯，资产等等诸如此类的东西有了更多的了解，你将会对哪些东西需要保护有一个更好的概念。现在是IT部门坐下来，讨论保护这些资产和流程的最好方法的时候了。而且确立即时的、短期的、中期的和长期的目标。
　　
　　现在也是确定培训需求的时候了。你的IT部门的员工能够胜任所有的这些任务吗？他们是否需要培训？
　　
　　一旦开始执行，要对于你的安全措施进行持续不断地监控。定期检查你的安全计划，因为随着公司的变化，安全计划也应该做出相应的调整。
　　
　　安全计划摘要
　　1. 获得支持
　　2. 在你开始前做好计划
　　3. 采用一种结构化的，但是开放式的方法
　　4. 进行广泛的商议
　　5. 执行
　　6. 监控
　　7. 重新访问，回顾，并进行修改

[广告] 免费域名(Free Subdomain) 免费空间(Free hosting) PR查询(Google Pagerank)

网友生活网 \| 网友学堂	如何获得金币？	诚招斑竹	IP归属地查询 PR查询收录查询 whois查询
免费超短2级域名,your.jpy.cc	传世私服 \| 传奇世界私服	注册亚洲交友中心，找个人来同居吧！	免费存储空间，免费网络硬盘