有兩種方式可以用來制定一個(gè)策略管理方案：手動(dòng)或自動(dòng)。如果采用前者，使用手動(dòng)干預(yù)的辦法來追蹤策略執(zhí)行情況，如果采用后者，軟件工具可以用來檢查策略執(zhí)行情況。

制定一個(gè)手動(dòng)策略管理解決方案的第一步是創(chuàng)建一套可以反映你的策略目標(biāo)的流程；流程和指導(dǎo)方針將為日常操作提供必要的細(xì)節(jié)。

一些典型的流程包括防病毒、密碼過期和日志監(jiān)視。每個(gè)流程和指導(dǎo)方針都是對(duì)策略具體章節(jié)的解釋，而且用作實(shí)施和配置具體軟件解決方案的標(biāo)準(zhǔn)。

使用我們的示例流程，通過制定防病毒解決方案在企業(yè)內(nèi)部使用，防病毒策略設(shè)定了一個(gè)基調(diào)。防病毒流程將準(zhǔn)確地概括出這個(gè)策略是如何執(zhí)行的，如何解決更新和緊急事件響應(yīng)這樣的問題。正常情況下，它是通過一個(gè)中央控制臺(tái)來管理的，防病毒規(guī)則被發(fā)送到工作站和服務(wù)器上。

一個(gè)可被接受并使用的策略可以被理解為幾個(gè)流程，它們被用來解決電子郵件使用、數(shù)據(jù)存儲(chǔ)和互聯(lián)網(wǎng)使用等問題。一個(gè)WEB使用流程概括了雇員允許訪問的網(wǎng)站，執(zhí)行對(duì)訪問的限制所采取的技術(shù)，比如WEB內(nèi)容過濾，以及檢查設(shè)備日志的頻率。

另一個(gè)例子是微軟的Windows操作系統(tǒng)中的密碼過期設(shè)置。如果策略要求復(fù)雜密碼，那么指導(dǎo)方針里就會(huì)規(guī)定密碼的最長(zhǎng)生命期，在活動(dòng)目錄中將被設(shè)置成使用密碼的最大生命期。

了解信息安全策略是如何用來創(chuàng)建實(shí)用而且可執(zhí)行的控制的，這一點(diǎn)很容易。但是，這個(gè)過程相當(dāng)費(fèi)力，有些人必須進(jìn)行干涉以便使位于不同控制點(diǎn)的數(shù)據(jù)相關(guān)聯(lián)，包括防病毒程序、入侵檢測(cè)系統(tǒng)、防火墻和認(rèn)證系統(tǒng)（比如活動(dòng)目錄）。手動(dòng)監(jiān)測(cè)策略的執(zhí)行情況是非常繁瑣的，潛在的問題包括以下內(nèi)容：

◆防病毒管理控制臺(tái)偶爾可能丟失一些服務(wù)器或工作站的連接，這樣就會(huì)在公司網(wǎng)絡(luò)上造成暴露點(diǎn)，檢測(cè)這個(gè)策略偏離和對(duì)它進(jìn)行糾正可能相當(dāng)費(fèi)時(shí)。

◆對(duì)于內(nèi)容管理提供商來說，將網(wǎng)站錯(cuò)誤地進(jìn)行分類并不是前所未聞的事。舉例來說，巧克力制造商Hershey公司的網(wǎng)站曾經(jīng)就被錯(cuò)誤地劃分為色情網(wǎng)站。這樣的錯(cuò)誤可以導(dǎo)致誤報(bào)，而且，如果某個(gè)站點(diǎn)根本沒有被分類，就有可能給用戶一個(gè)繞過系統(tǒng)的方式。監(jiān)視這樣的情況是相當(dāng)費(fèi)時(shí)而且令人沮喪的。另外，管理用戶異?！@些用戶可以繞過過濾系統(tǒng)進(jìn)行研究——使事情變得更復(fù)雜，因?yàn)樾枰欉@些異常行為，來寫合規(guī)報(bào)告。

◆盡管象活動(dòng)目錄這樣的系統(tǒng)可以規(guī)定用戶必須使用復(fù)雜密碼，但用戶也有可能繞過這樣的控制使用一個(gè)弱密碼。由此，對(duì)于安全管理員來說，不定期地使用密碼破解工具來審計(jì)用戶的密碼是非常重要的?！　?/P>

自動(dòng)化來拯救

在進(jìn)行手動(dòng)策略管理時(shí)需要花費(fèi)大量的時(shí)間和精力，從這點(diǎn)上看，自動(dòng)化工具是一個(gè)相當(dāng)有吸引力的選擇，特別是對(duì)大企業(yè)來說。

在最近幾年里，一些廠商推出了它們的策略管理解決方案，包括Elemental Security、Solsoft和BindView（今年早些時(shí)候被Symantec收購）。大部分廠商的產(chǎn)品將管理軟件和策略的創(chuàng)建連接起來，基本上管理者只需要?jiǎng)?chuàng)建策略，軟件會(huì)執(zhí)行它們并檢查策略遵守情況。

Elemental Security公司的策略管理是以主機(jī)為中心的，通過網(wǎng)絡(luò)將策略實(shí)施到服務(wù)器和工作站。Solsoft采用以網(wǎng)絡(luò)為中心的辦法，通過網(wǎng)絡(luò)將策略分到各種網(wǎng)絡(luò)設(shè)備中。BindView也使用以主機(jī)為中心的架構(gòu)，但也提供了一個(gè)附加組件可以輔助撰寫策略，把策略下發(fā)到用戶，以及追蹤用戶的接受和異常情況。

自動(dòng)化工具的工作是將你的安全策略和流程下發(fā)，然后在各控制點(diǎn)進(jìn)行實(shí)施。如上所述，一些工具通過控制網(wǎng)絡(luò)設(shè)備來進(jìn)行操作，它們將策略轉(zhuǎn)換成網(wǎng)絡(luò)設(shè)備（如路由器）的配置條件。通過基于主機(jī)的工具，策略被轉(zhuǎn)換成配置命令。

策略管理產(chǎn)品特別有用的地方是，它們可以為不同的標(biāo)準(zhǔn)提供模板，比如ISO 17799和CobiT，而且可以使用相關(guān)的規(guī)章來交叉關(guān)聯(lián)它們。你可以根據(jù)提供的模板來為你的機(jī)構(gòu)選擇必要的策略。

策略管理產(chǎn)品的另一個(gè)功能是，它可以整合到整個(gè)企業(yè)中，從不同的數(shù)據(jù)源得到數(shù)據(jù)，包括備份、防病毒、內(nèi)容過濾解決方案、防火墻、操作系統(tǒng)和路由器。這些數(shù)據(jù)的自動(dòng)獲取減少了用戶必須篩選的數(shù)據(jù)總量。一些自動(dòng)化工具還可以和漏洞管理系統(tǒng)相結(jié)合，保證系統(tǒng)更新以及解決突發(fā)威脅和零日攻擊。

策略管理工具自動(dòng)關(guān)聯(lián)大量不同數(shù)據(jù)的能力還有利于法規(guī)遵守和報(bào)告，因?yàn)樗试S用戶獲取具體法規(guī)的遵守情況數(shù)據(jù)。安全專業(yè)人員的主要抱怨是外部、內(nèi)部審計(jì)方和政府監(jiān)管部門對(duì)相同審計(jì)相關(guān)信息的重復(fù)請(qǐng)求。這些工具允許你為不同組織生成定制的報(bào)告，而不必為解決類似問題去完成幾次不同的審計(jì)。

自動(dòng)化策略管理工具還能監(jiān)視違反策略和追蹤異常情況。一個(gè)關(guān)鍵的益處是所有的報(bào)告集中在一個(gè)管理控制臺(tái)上，這樣就更容易追蹤它們（與手動(dòng)方式相比）。但是它們畢竟不是真正的主動(dòng)監(jiān)視產(chǎn)品——它們不會(huì)像火災(zāi)警報(bào)那樣自動(dòng)工作。但是，Symantec計(jì)劃將BindView的產(chǎn)品整合到管理事件技術(shù)中；其它工具被設(shè)計(jì)用來與安全事件管理產(chǎn)品整合。

沒有一個(gè)產(chǎn)品是即插即用的——所有產(chǎn)品都需要花時(shí)間進(jìn)行實(shí)施；有些甚至要求公司來將他們的策略轉(zhuǎn)換成一種具體的格式。實(shí)施的時(shí)間會(huì)根據(jù)產(chǎn)品以及組織策略狀態(tài)的變化而變化。

軟件費(fèi)用和實(shí)施時(shí)間是使用自動(dòng)化工具的兩個(gè)主要考慮因素。舉例來說，Elemental Security Platform 2.0大約需要花費(fèi)3萬5千美，每臺(tái)服務(wù)器需要花費(fèi)大約600美元，每臺(tái)工作站或筆記本電腦需要花費(fèi)大約60美元。　　

哪種方式更好？

無論是手動(dòng)還是自動(dòng)化方式，都可以把工作做好，但是它們也有自身的限制。在大型企業(yè)里，自動(dòng)化策略管理工具可以提供極大的幫助，但是對(duì)于比較小的企業(yè)來說，自動(dòng)化策略管理工具可能就不太適合了 。

自動(dòng)化工具可能存在的另一個(gè)問題是，它不能為企業(yè)制定特制的策略，用戶可以修改公司來適應(yīng)這些策略。如今，很多自動(dòng)化產(chǎn)品只能在市場(chǎng)上占用很少份額——無論是基于網(wǎng)絡(luò)的還是基于主機(jī)的產(chǎn)品。要做到真正有效，一個(gè)策略管理解決方案即要用到手動(dòng)方式還要自動(dòng)方式。Symantec公司正計(jì)劃在它的產(chǎn)品中加入基于網(wǎng)絡(luò)的組件來向這個(gè)方向邁進(jìn)。

在日常工作中，策略制定和策略管理是一系列復(fù)雜的工作，但是公司必須面對(duì)這樣的挑戰(zhàn)，當(dāng)我們的IT基礎(chǔ)架構(gòu)變得越來越復(fù)雜，威脅越來越多，我們會(huì)越來越多地依賴于手動(dòng)和自動(dòng)化工具來執(zhí)行策略和報(bào)告執(zhí)行情況。隨著策略管理產(chǎn)品日漸成熟，我們將看到自動(dòng)化工具被更好的裝備，從而能全面地處理問題，而且它的價(jià)格也會(huì)下降至各種公司可以承受的范圍。

可以肯定的是，有效的策略管理在未來會(huì)變得更加重要。

【編輯推薦】

1. 手動(dòng)設(shè)置安全策略保證Windows 2008系統(tǒng)安全
2. 人性化的策略管理模式促進(jìn)企業(yè)人員管理有序進(jìn)行